Toss(Viva Republica)が全国20万店を超える店舗に普及させた決済端末を通じ、韓国の消費者の個人情報が中国へ流出し得るとの主張が提起された。既存の付加価値通信網(VAN)各社と異なり、Tossは中国企業の中国工場で端末を生産しているためだ。端末の生産には、顧客決済情報を暗号化・復号する際に用いるセキュリティキーも中国現地に渡るが、これが個人情報流出に悪用される可能性があるとの指摘である。
22日ChosunBizの取材を総合すると、Tossのオフライン決済事業部門の子会社であるTossプレイスは、決済端末の生産を中国のサンミ(SUNMI)テクノロジーに委託している。既存のVAN各社の中で、決済端末の生産を中国企業に任せるところはない。
1980年代末から登場したVAN業界は、海外への顧客情報流出を防ぐ観点から、今も国内企業に生産を委託しているという。通常、工場に決済端末の生産を任せるVAN社は、会社固有の「セキュリティキー」まで工場に渡す。セキュリティキーは顧客のカード情報を暗号化するために必要な一種のアルゴリズムである。工場で決済端末にオペレーティングシステム(OS)など各種システムとセキュリティキーまでインストールして初めて生産が完了する。
顧客が商品を購入しようとして決済端末にカードを挿入すると、当該カード情報がVAN社を経由してカード会社へ送信される。カード会社の電算を通じて決済承認が下りると、その情報が再び決済端末に送られ、決済が行われる。このとき決済端末、VAN社、カード会社の間を行き来する顧客情報がハッキングされないよう暗号化するのがセキュリティキーの役割である。
このセキュリティキーを悪用すれば暗号を解いて顧客のカード情報を閲覧することが可能になる。18年間国内VAN社のプログラマーとして勤務した関係者A氏は「セキュリティキーが工場に渡る際には暗号化されるが、これはVAN社と工場ではない第三者にセキュリティキーが流出した場合に備えたものだ」と述べ、「セキュリティキーを端末にインストールするには暗号を必ず解かなければならないため、端末の生産過程で工場の従業員の誰かは原本のセキュリティキーを見ることになる構造だ」と語った。続けて「原本のセキュリティキーを悪用すれば、顧客の決済情報を別のサーバーに復号(暗号を解くこと)した状態で出力し、抜き取ることができる」と述べた。
Tossプレイスがセキュリティキーを中国企業に渡しているかについてTossに複数回問い合わせたが、Tossは回答しなかった。工場の従業員の誰かが原本のセキュリティキーを見るのかという質問にも答えなかった。
工場にセキュリティキーを渡さねばならない点は他のVAN社も同様である。しかしToss以外はすべて国内企業で決済端末を生産しているため、セキュリティキー流出が発生しても捜査機関の介入が容易である。昨年末に決済端末を発売したNAVER Payは、国内企業の中国工場で端末を生産中だが、年内に国内工場へ生産を切り替える計画だとされる。
VAN社は顧客とカード会社の間の「情報の通路」としての役割を担う点から、従来よりハッカーの標的となってきた。2017年には北朝鮮のハッカー組織がコンビニや銀行などに設置された現金自動預払機(ATM)をハッキングし、当該機器を利用した顧客の個人情報23万件を盗み出した。
2014年にNH農協・KB国民・ロッテなどカード3社で1億件を超える個人情報が流出した際にも、VAN社が主要な流出経路として指摘された。当時、社員がサーバーにあった顧客の個人情報を違法な信用情報販売業者に金銭と引き換えに販売したことが明らかになった。
一部では「第2のクーパン事態」が起こり得るとの懸念も出ている。クーパン事態は、過去にクーパンの従業員だった中国人が外部に流出したセキュリティキーを悪用し、3000万件を超える個人情報を流出させた事件である。あるVAN業界関係者は「顧客情報の流出が懸念されTossに問い合わせたところ、『中国にTossの社員が常駐しているので問題ない』という趣旨の回答だった」と語った。
Toss関係者は「中国企業には顧客データへのアクセス権限がない」と述べた。中国企業を選んだ理由については「市場の需要に対応するための安定的な生産体制と原価競争力を確保するため、生産拠点として検証済みの中国工場を活用している」とし、「グローバル製造企業が中国を主要な生産ハブとして活用するのは極めて一般的な選択だ」とした。