https://www.ngetnews.com/news/articleView.html?idxno=510702
IT 전문가에 물어보니…"카카오페이 정보유출, 암호 해독 너무 쉬워"
카카오페이가 알리페이에 고객 개인정보를 넘겼다는 사실이 알려지며 파문이 일고 있다.개인정보 일방향 암호화로 알리페이에서 개인정보 해석이 불가하다는 카카오페이 주장과 달리 금융감
www.ngetnews.com
일다시피 카카오페이가 알리페이측으로 고객 동의없이 4045만명의 개인신용정보 542억건을 넘겼다.
이걸 정보유출로 지적을 하는건 맞지 않다.
카카오페이측의 이윤을 위해서 알리페이에 스스로 제공했는데 이걸 유출로 보면 안되고, 불법형태의 매매라고 봐야되고, 매국행위로 봐야하지 않을까?
보안. 안보를 본인들의 이득을 위해서 스스로 제공했는데??
카카오페이 입장에서는 암호화를 법적 정보 제공은 없었다는 기존 입장은 고수했다. 카카오페이는 “알리페이와 업무 위·수탁 관계에 따라 개인을 특정할 수 없는 비식별화 정보를 제공했다. 원문 데이터를 유추하거나 복호화(암호화되기 전으로 복구)될 수 없는 방식으로 보내고 있다”고 했다.
비식별화 정보를 제공했다고 한다. 하지만 암호화된 정보는 이미 넘어갔잖아?
자 이걸 토대로 금감원에서는 일반인도 복호화가 가능할 정도로 쉬운 SHA-256을 썼다고 대응을 했다.
금감원에서 지적한 건 2가지이다.
1. 카카오페이가 알리페이에 업무를 위탁하는 내용이 계약서에 없다.
2. 일반인도 복호화가 가능할 정도로 쉬운 SHA-256을 사용하였다.
1번의 경우는 매우 큰 리스크로 사실상 회사의 존폐가 걸릴만한 위험한 번법행위이다.
그렇지만, 소량의 벌금을 내고 끝나는 솜방망이 처벌을 너무나도 당연스레 적용하는 비리의 대한민국을 보여줄 것이 분명하고..
2번의 경우는 SHA-256은 일반인도 복호화하기 쉽다?
이건 동의할 수는 없다. 왜냐하면 말이 안되기 때문이다.
일반인이 내 비밀번호 알고리즘을 SHA-256을 했냐? Salt를 적용했냐? 이런거 본 적이 있나?....
그리고 SHA-256 자체를 가지고 걸고 넘어진다면 전세계가 취약한데?
금감원에서 저렇게 나온 이유는 아마도 카카오페이에서도 Salt를 사용하지 않았기 때문에 저런 말이 나왔을 것이다.
Salt(랜덤값)은 상당히 중요한 요소이다. Salt를 사용하지 않으면 암호화로 인정되지도 않기 때문이다...
카카오는 사회악으로 거듭나고 있는데.. 필요악을 자체하는 느낌이다..
에이미야 국이 싱겁구나 Salt 팍팍 넣어라!
댓글