金融アプリ「Toss」を運用する韓国企業ビバリパブリカが全国20万カ所を超える事業所に設置した決済端末を巡り、韓国の消費者の個人情報が中国に流出しかねないとする指摘が浮上した。既存の付加価値通信網（VAN）業者とは異なり、同社は中国企業の中国国内の工場で端末を生産しているためだ。端末を生産する際、顧客決済情報に暗号化するためのセキュリティーキーも中国側の手に渡るが、それが個人情報流出に悪用される可能性がある。

　朝鮮ビズの取材を総合すると、ビバリパブリカのオフライン決済子会社であるトスプレースは決済端末の生産を中国の商米科技（SUNMI）に委託している。韓国の既存のVAN業者で決済端末の生産を中国メーカーに委託している例は限定的だ。

　1980年代末に登場したVAN業界は、海外に顧客情報が流出することを防ぐため、現在でも韓国国内のメーカーに生産を委託するのが通例だという。通常決済端末業者は会社固有の「セキュリティーキー」を委託先の工場に渡す。セキュリティーキーは顧客カード情報を暗号化するために必要な一種のアルゴリズムだ。工場で決済端末に基本ソフトウエア（OS）などのシステムとセキュリティーキーを書き込むことになる。

　顧客が商品を購入するために決済端末にカードを差し込むと、カード情報がVAN業者を経てカード会社に送信される。カード会社のシステムで決済承認が出れば、その情報が再び決済端末に送信され、決済が完了する。この際、決済端末、VAN業者、カード会社の間がやりとりする顧客情報がハッキングされないように暗号化するのがセキュリティキーの役割だ。

　このセキュリティキーを悪用すれば、暗号を解いて顧客カード情報を入手することが可能になる。18年間、韓国のVAN業者でプログラマーとして働いた関係者は「セキュリティーキーが工場に渡る際にも暗号化されるが、これはVAN業者と工場以外の第三者に保安キーが流出することに備えるためだ」とし、「セキュリティーキーを端末に書き込むためには暗号を解かなければならないため、端末生産過程で工場従業員の誰かはセキュリティーキーの原本を見ることになる」と指摘した。さらに、「セキュリティキーの原本を悪用すれば、顧客の決済情報を別のサーバーに復号状態で送信し、不正に入手することができる」と説明した。

　トスプレースがセキュリティーキーを中国企業に提供しているのかどうかを同社に繰り返し問い合わせたが、回答はなかった。また、工場従業員の誰がセキュリティーキーの原本を見ることになるのかという質問にも答えなかった。

　工場にセキュリティーキーを提供しなければならないのは他社も同様だ。しかし、トスプレース以外は国内企業で決済端末を生産するため、セキュリティーキーの流出が発生しても捜査機関の介入が容易だ。昨年末に決済端末を発売したネイバーペイは国内業者の中国工場で機器を生産しているが、年内に国内工場に生産を移管する計画とされる。

　VAN業者は顧客とカード会社の間の「情報ルート」の役割を果たしているため、以前からハッカーの目標になってきた。2017年には北朝鮮のハッカー組織がコンビニ、銀行などのATMをハッキングし、利用客の個人情報23万件が流出した。

　2014年にクレジットカード3社（NH農協、KB国民、ロッテ）で1億件を越える個人情報が流出したが、VAN業者が主な流出経路だった。このケースでは内部関係者がサーバーにあった顧客の個人情報を違法な信用情報販売業者に転売していたことが明らかになった。

　一部には「第2のクーパン問題」が起きかねないとする懸念の声もある。クーパン問題は元社員の中国人が外部に持ち出したセキュリティーキーを悪用し、3000万件を超える個人情報を流出させた事件だ。VAN業界関係者は「顧客情報流出が懸念され、トスプレースに問い合わせたところ、『中国に社員が常駐しているので問題ない』という回答だった」と話した。

　トスプレース関係者は「中国の業者は顧客データにアクセス権限がない」と話した。中国企業を選んだ理由については「需要に対応するための安定的な生産体制とコスト競争力を確保するため、生産拠点として検証を経た中国の工場を使っている。世界的なメーカーが中国を主な生産ハブとして活用するのは非常に一般的な選択だ」と説明した。

チェ・ジョンソク記者