서비스사업본부 보안분석팀 김수미

1. 간편결제 서비스의 등장

2009년 등장한 스마트폰의 보급률 증가는 금융거래나 쇼핑 등 PC로만 이용했던 서비스를 모바일 환경에서도 이용할 수 있도록 이용 범위가 확장되었다. 특히 모바일 환경에서 이용하는 주요 서비스 중 하나인 간편결재 서비스 ‘페이’는 핀테크(FinTech) 기술이 적용된 대표적인 서비스로 최근 스마트폰 사용자의 상당수가 사용 중일 정도로 무섭게 서비스 이용률이 상승하고 있다. 

‘페이’는 모바일 환경에서 신용카드나 은행계좌를 사용하여 대금을 지급하는 간편결제 서비스의 하나로 페이코, 네이버페이, 카카오페이, 시럽페이, 애플페이, 삼성페이, 엘지페이 등 국내에만 10여종 이상의 서비스가 존재한다. 결제를 위해서는 태깅 방식의 NFC, 마그네틱, 스캔식의 바코드, QR코드, 비접촉식 BLE(저전력 블루투스 기술) 등의 기술이 활용되고 있다.

앞서 언급한 핀테크는 금융(Financial)과 기술(Technology)의 합성어로, IT기술을 기반으로 한 송금, 결제, 자산관리 등 모든 금융서비스를 의미한다. 이 중 간편결제는 기존 인터넷 결제 수단인 인터넷뱅킹, 온라인 카드결제 등의 복잡함과 불편함을 감소 시키며 핀테크 시장의 샛별로 떠오르고 있다. 

간편결제에 대해 설명하기 앞서 핀테크의 5가지 금융 서비스 영역을 살펴보면 아래와 같다.

[표 1] 핀테크 사업 영역

2. 전자상거래의 역사

'페이'는 핀테크 서비스 영역 중 ‘결제‘에 속하는 기술로, 편리함을 무기로 2013년 부터 사용자들의 전폭적인 지지를 받으며 2017년 현재에는 수많은 페이서비스들이 생겨났다.

‘페이’가 보편화 되기 전, 1988년부터 1998년까지는 카드사와 오프라인 가맹점, VAN사를 중심으로 하여 결재 서비스가 활성화 되었으며, 이후 전자결재대행(PG)를 통한 온라인 결제를 거쳐 현재는 모바일 환경에서 결재를 지원하는 핀터크 서비스 ‘페이’까지 발전하게 되었다. 

[그림 1] 전자상거래 결제 환경 변화

3. 국내 간편결제 서비스 현황

국내 간편결제 서비스는 2013년을 시작으로 현재까지 10종이 넘을 정도로 많은 기업에서 출시하며 발전을 이루어 왔으며 인터넷, 모바일 사용자라면 모르는 이가 없을 정도로 우리 생활에 깊숙이 파고들고 있다.

[표 2] 국내 간편결제 서비스 현황 (출처 : 각 기업)

하지만 간편결제 서비스 중 플랫폼 형태로 되어있는 서비스들은 간편결제를 이용하기 위해 별도의 App설치는 기본이며 10단계가 넘는 가입절차와 약관동의 등 복잡한 가입절차와 문자 또는 공인인증서를 이용한 본인인증이 필요하다. 이름, 주민등록번호, 휴대폰 인증, 신용카드 등록, 약관동의 등 수많은 단계를 거친 가입이 필요하며 ‘페이’마다 제휴된 카드사만 한정적으로 이용할 수 있어 사용자 편의성이 많이 부족하다.

[그림 2] 간편결제  결제 프로세스

4. 간편결제 서비스의 발전

간편결제 서비스가 이토록 복잡한 이유 중 하나로 ‘법’을 들 수 있다. 여신전문금융업법 19조 2항의 본인확인의무에 따르면 ‘신용카드가맹점은 신용카드로 거래를 할 때마다 그 신용카드를 본인이 정당하게 사용하고 있는지를 확인해야 한다’라는 조항이 있다. 이 조항을 준수하기 위해 공인인증서나 휴대폰본인인증을 통해 카드사용자임을 확인 받아야 하는 본인인증이 의무화 되어있어 어떤 간편결제를 사용하더라도 복잡한 등록과정은 꼭 필요하다.

플랫폼을 이용한 간편결제는 복잡한 가입절차와 한정적인 가맹점/제휴카드사 지원 때문에 국내에서는 이용률 증가에 한계가 있다. NFC결제가 오프라인에서 많이 이용되고 있지만 NFC를 이용한 결제는 해당 단말기가 꼭 필요하다. 왜냐하면 기존 오프라인 결제에서는 마그네틱이나 IC(integrated circuit)카드를 이용하여 결제하기 때문에 NFC단말기의 보유가 필수요건은 아니기 때문이다. 

2013년 삼성이 마그네틱 기술의 근간이 되는 ‘루프페이(LoopPay)’를 인수하며 기존에 오프라인 신용카드에 적용했던 마그네틱 방식과 NFC를 결합한 삼성페이가 등장한다.

신용/체크카드에서 이용한 마그네틱 기술은 실물카드에 카드번호와 유효기간 등 카드 정보를 저장한다.  카드를 리더기에 긁을 때 전자기 유도에 의해 카드 정보가 전기 신호로 변환되며 카드 결제 시스템을 통해 카드사에 전달되어 승인 요청 및 승인 허가를 받는 식으로 결제가 이루어진다.

[그림3] 실물카드와 페이에 이용되는 MST(Magnetic Secure Transmission) 기술

삼성은 이를 모바일에 적용하여 신용카드 정보를 모바일 디바이스 트러스트 존(보안영역)에 저장하고 애플리케이션 내에서 지문인식이나 홍채인식 등 개인 생체인증을 이용해 카드 인증을 마치면 일회용 가상 카드 정보를 생성한다. 

이 가상 카드 정보를 바탕으로 마그네틱 카드와 같이 자기장을 발생시켜 결제 시스템을 통해 카드사에 전달하는 과정을 거친다. 이 방식의 장점은 일회용 가상 카드 정보를 생성하고 결제가 완료/취소되거나 시간이 지나면(30초) 해당 정보가 자동으로 소멸되며 기존 실물카드처럼 영수증에 카드번호가 노출될 일이 없기 때문에 보안성이 높다고 볼 수 있다.

이와 같은 기술은 기존 온라인 결제나 한정적인 오프라인 결제만 가능했던 페이 플랫폼 기반 서비스들과 달리 기존 실물카드에 사용하는 마그네틱 기술을 이용하며, 인증 시 생체인식의 간편함과 오프라인 결제 및 온라인 결제에서도 동시에 사용가능 하다는 장점이 존재하여 혁신을 일으켰다. 

5. 오프라인 결제, ‘페이’에서 쓰이는 기술들

오프라인에서 모바일 디바이스를 이용한 간편결제 서비스에 사용되는 기술은 다음과 같다.

MST(Magnetic Secure Transmission) :

마그네틱을 이용한 보안 전송 기술이다.

1. 사용자가 등록한 신용카드가 모바일 디바이스 내에 암호화되어 저장

2. 지문이나, 홍채, 비밀번호 등으로 결제 시도

3. 신용카드의 정보를 일회용 가상 번호로 바꿔 자기장으로 신호를 보냄 (삼성, 엘지페이의 경우 제한시간 30초)

4. POS기에서 해당 신호를 인지하고 결제를 진행

단점 : 해당 기술을 사용하는 디바이스가 필요하며 디바이스 전원OFF 시 사용 불가

NFC(Near Field Communication) :

10cm 내의 데이터를 교환할 수 있는 비접촉식 근거리 무선 통신 기술이다.

1. NFC결제를 지원하는  페이 App에서 본인의 신용카드 등록

2. 스마트폰 속 내장되어 있는 NFC칩을 NFC 결제 단말기에 태그

2. MST와 마찬가지로 신용카드 정보를 자기장으로 전달

3. NFS 단말기에서 해당 신호를 인지하고 결제를 진행

단점 : NFC 단말기가 없을 시 사용 불능

BLE(Bluetooth Low Energy) : 

저전력 블루투스 페이먼트 기술로 비콘이라는 특정 신호를 보내는 장치를 이용하여 서비스하며 NFC와 MST와 달리 단말기 직접 접촉이 아닌 근거리 무선 통신 기술이다. 

1. 사용자가 비콘과 통신 할 수 있도록 해당 App을 다운로드 

2. App을 설치한 사용자가 반경 50~70m 내 비콘 신호에 접근

3. 스마트폰에서 해당 신호를 인지하여 결제 서비스 및 App에서 여러 정보(쇼핑정보, 쿠폰 등) 공유

단점 : 비콘 사용에 대한 개인정보침해, 스팸 및 보안 문제 등이 대두

바코드, QR코드(Quick Response Code) : 

바코드는 가로, QR코드는 가로, 세로 2차원으로 정보를 저장가능하며 숫자는 최대 7,089자 문자는 4,296자를 저장할 수 있다.

1. 사용자가 App에서 결제 요청

2. 서버에서 결제정보가 담긴 코드를 사용자의 스마트폰에 전송 (결제 시마다 코드 재갱신)

3. POS기에서 해당 코드를 인식하고 결제를 진행

단점 : App실행, 바코드 갱신 등 사용자 편의성 결여 및 특정 카드사로 제한

6. 문제는 보안, 해킹에 안전한가?

모바일 혁명은 금융 시장에도 직접적인 영향을 끼치기 시작했다.  하지만 국내 시장의 인증환경은 핀테크 활성화에 부정적인 영향을 끼치고 있다. 

공인인증서와 같은 복잡한 본인인증이 필요하지 않은 해외 간편결제 서비스와 같이 국내 핀테크 시장의 발전을 위해서는 모바일 결재 관련 규제 완화가 필요하지만 이를 위해서는 본인인증을 대체할 수 있는 보안은 필요가 아닌 필수 조건이다.  금융보안원에서 분석한 간편결제 서비스의 보호기술은 공통위협인 악성앱, 디바이스 탈취 위협과 서버저장, H/W기반, S/W기반으로 크게 분류할 수 있다. 

[표3] 금융보안원 간편결제 서비스 보안성 비교

금융보안원에서 분석한 간편결제 서비스의 보호기술은 공통위협인 악성앱에 의한 디바이스 탈취 위협과 서버저장, H/W기반, S/W기반으로 크게 분류할 수 있다.  서버저장은 신용카드, 사용자 정보를 별도의 서버에 정하기 때문에 생기는 위협으로 서버의 저장된 정보가 해커에 의해 외부로 유출되었을 경우 카드복제 등의 문제 발생 가능성이 존재한다.  

S/W 기반의 보호기술은 클라우드에 정보를 저장하여 결제하는 방법으로 저장된 정보가 기기 외에서도 접근 가능한 위협이 있다. H/W기반의 보호기술은 디바이스 내 신용카드 정보를 암호화하여 저장, 디바이스와 카드사에만 결제 정보가 존재하여 상대적으로 안전하다고 볼 수 있지만 디바이스 탈취 시 디바이스 내 저장된 개인정보, 금융정보, 생체인식 정보 등이 외부로 노출될 가능성이 있다.

사용자 수가 빠르게 증가하고 있는 MST, NFC 방식의 페이는 H/W기반 보호기술이며  생체인식 중 지문과 홍채인식을 사용한다. 제조사 측에서 안전하다고 하지만 최근 생체인식 해킹 이슈로 여전히 보안성 문제가 대두되고 있다. 이외 페이 서비스도 루팅 탐지, 암호화, 난독화 키보드 보안 등의 보안기술을 적용하고 있지만 여러 우회기법이 공개됨에 따라 보안에 안심할 수 없다. 

미래부 2015 개인정보 실태평가 자료에 따르면, 인터넷 이용자 4천명을 대상으로 간편결제 이용 설문조사 결과 61.4%의 사용자가 편리성보다 보안성에 비중을 둔다고 답변하였다. 이처럼 사용자들이 보안에 대한 의식과 관심이 높아지고 있음을 알 수 있다. 전자결재 서비스는 금전 부분과 사용자의 개인정보가 담겨있는 만큼 사용자 편의성 증대 뿐만 아니라 보안성을 확보하기 위한 기술적 및 관리적인 대책 강구가 꼭 필요하다.