출처=펜타시큐리티
출처=펜타시큐리티

편집자 주. 블록체인 기술이 실생활에 스며들어 다양한 IT 기술과 결합하고 있습니다. 새로 시작하는 보안업체 펜타시큐리티의 연재 기고 '쉽게 만나는 IT'는 이같은 현실을 풀어서 설명해 드립니다.

공인인증서, 보안카드 등 번거로운 과정 없이 결제가 가능한 간편 결제 시장의 규모가 커지고 있습니다. 한국은행의 발표에 따르면 2019년 간편결제 일평균 이용금액은 약 1,600억 원, 사용 건수는 530만 건을 돌파했습니다. 이는 그 전년도 대비 2배 이상 증가한 규모입니다. 이런 추세에 맞춰 사용자의 편의성을 높일 수 있는 간편결제 서비스가 등장하고 있습니다.

간편결제가 가지는 의미는 단순히 사용자의 편리함과 높은 접근성에 그치지 않습니다. 기존에 은행이나 카드사가 제공한 결제망을 통해서만 결제할 수 있었습니다. 하지만 바코드나 QR코드 방식을 통한 간편결제는 은행이나 증권사에 예치된 본인 계좌를 직접 활용할 수 있는 시대를 열었습니다.

​이러한 특징을 바탕으로 은행권뿐만 아니라 증권사, 저축은행에서도 유통업계와 제휴를 통해 간편결제 시장을 키우고 있습니다. 또 기존의 카드사도 결제 시장 변화에 대응하기 위해 다양한 서비스를 출시하고 있습니다. 한 카드사에서는 스마트폰 없이 얼굴만으로 결제 가능한 일명 '페이스 페이'를 시범운영하고 있습니다. 이 외에도 다양한 형태의 서비스가 공개되고 있지만 결국 결제를 위한 인프라 구축이 가장 큰 과제로 지적됩니다. 기존 카드 결제 방식은 전국 270만 개 가맹점을 가지고 있는 반면, 새로운 간편결제를 위해서는 NFC(Near Field Communication) 단말기 도입 시간과 비용이 진입장벽으로 작용하고 있습니다.

​페이스북의 간편결제 서비스? 보안은?

지난해 페이스북은 페이스북, 페이스북 메신저, 인스타그램, 왓츠앱 등 다양한 서비스에서 사용 가능한 통합 결제 수단 '페이스북 페이'를 공개했습니다. 이 서비스는 개인 간 송금뿐 아니라 기금 모금, 게임 내 아이템 구매, 결제 기능까지 지원합니다. 현재 미국에서 페이스북 페이 이용이 가능하지만, 국내 출시는 불확실한 상황입니다. 국내는 여신전문금융업법 등 까다로운 규제 때문에 도입까지는 시간이 걸릴 것으로 예상됩니다.

페이스북 페이는 별도의 앱 다운로드 없이 앱 내에서 사용할 수 있고 최초 1회 결제 정보를 입력해두면 비밀번호만으로 재이용할 수 있는 시스템입니다. 또 페이팔과 신용카드, 체크카드를 지원하고 있어 사용자의 편의성을 높였습니다. 페이스북 관계자는 "이용자의 금융정보를 암호화해 안전하게 관리한다. 보안 이슈는 없을 것”이라고 강조했습니다. 페이스북은 개인정보 유출 사고의 중심에 있었기 때문에 자체적인 보안 강화 방안에 대해 일부 공개했습니다. 우선 PIN 코드 설정 및 생체인증 시스템을 이용해 보안을 강화하겠다고 밝혔습니다. 또 사용자의 신용카드 정보나 계좌 등을 모두 암호화하고, 비정상적인 활동을 사전에 방지하는 부정 감시 시스템(FDS)도 도입한 것으로 알려졌습니다.

​간편결제 안전한가?

간편결제 서비스 환경의 안전성을 점검해볼 필요가 있습니다. 최근 아이폰의 얼굴 인식 잠금 기능이 뚫리는 사건이 있었습니다. 초등학생 아들이 아버지의 핸드폰 얼굴 인식 잠금을 풀고 고액의 게임 아이템 결제를 했습니다. 보안 전문가들은 생체인식 시스템이 100% 일치가 아니라 70~80%가 일치한다면 잠금이 해제되도록 설정해 놓는 경우가 많아 주의해야 한다고 경고하고 있습니다. 무엇보다 비밀번호와 같은 다른 보안 수단과 병행하는 것을 추천하고 있습니다. 대부분의 간편결제 서비스는 스마트폰을 활용하기 때문에, 스마트폰 환경의 위험성은 간편결제 서비스의 위험으로 직결될 수 있습니다. 이는 스마트폰의 정보 유출에서 그치는 것이 아니라 금전적 피해로 이어질 수 있다는 의미입니다.

​간편결제의 보안 기술

대표적인 간편결제 기술은 △NFC △토큰 △MST 등 3가지가 있습니다. 기술별로 노출될 수 있는 위협이 다르기 때문에 환경에 맞는 보안 기술이 필요합니다.

애플페이(Apple Pay)의 경우 토큰화를 통해 결제정보를 암호화하고 아이폰의 보안칩에 저장하는 구조입니다.

삼성전자는 결제마다 새로운 가상의 카드정보(토큰)를 생성합니다. 이 토큰으로 일회용 결제정보를 만들고 카드사로 전송하게 됩니다. 카드사는 이를 바탕으로 실제 정보와 일치 여부를 검증하고 결제를 승인합니다. 매번 새로운 가상의 카드가 만들어지는 방식이기 때문에 정보가 남지 않습니다.

네이버페이는 자체 개발한 아이디-가상카드 맵핑 기술을 적용했습니다. 사용자가 카드번호를 입력하면 아이디와 대응하는 가상의 번호를 부여해 실제 카드번호는 보호하는 방식입니다. 추가로 빅데이터 기반으로 사용자가 평소와 다른 구매 형태가 발견되면 결제를 중단시키는 부정거래방지 시스템도 도입했습니다.

​간편결제 보안성을 높이기 위해 다양한 기술들이 적용되고 있지만 완벽한 보안은 어렵습니다. 앞서 소개해 드린 간편결제 방식들도 취약점을 가지고 있습니다. 또 전문가들은 간편결제 서비스 업체들이 금융업이 아닌 IT업계로 분류되는 경우 보안 마인드가 다를 수밖에 없다고 설명합니다. 금융서비스는 리스크가 큰 산업이기 때문에 규제로 해결하는 경우가 많지만, 모바일 금융서비스 산업은 제도적 장치가 필요합니다.

펜타시큐리티

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지