마그네틱 카드를 대체할 차세대 결제 시스템 비교

애플페이를 비롯해 몇몇 전자, 모바일 지불 서비스들이 시장에 진입했지만 현실은 여전히 기존의 마그네틱 신용, 직불 카드가 장악하고 있다.

 

닉슨 정부(1969~1974) 시절, 마그네틱 카드는 활발히 보급되기 시작해 이후에는 오랜 시간 편리하고 안정적인 지불 수단으로 많은 지지를 받아왔다. 하지만 현재 마그네틱 카드는 데이터 유출, 카드 복제를 비롯한 각종 보안 사고로 골머리를 앓고 있다.

 

개인적인 경험으로 이야기를 시작해 보자면 필자는 지금껏 서너 번 신용카드를 재발급 받아봤다. 그 가운데 한번은 정보 유출로 허위 결제가 이루어져 재발급한 것이다. 그 사고 이후 지갑 속의 구형 신용 카드보다 안전한 시스템을 찾아야 겠다는 마음이 강해졌고, 모바일 지불이라는 새로운 방식에 관심을 가지기 시작했다.

 

사실 보안 구조의 관점에서 전통적인 신용카드는 말 그대로 재앙에 가깝다. 이유는 다음과 같다

 

- 계정 번호를 서버에 저장한다.
- 클라이언트에게 계정 번호가 노출된다.
- 데이터의 암호화는 거래 과정에서만 이루어 진다.(SSL, TLS등)
- 구매 상점에 고객 번호가 노출된다.
- 동일한 지불/계정번호가 재사용된다.

 

그러나 이는 빙산의 일각일 뿐이다. 마그네틱 카드는 이 외에도 수많은 문제점들을 안고 있다. 그렇다면, 오늘날 각광받고 있는 마그네틱 카드의 새로운 대체재들은 어떤 특징들이 있을까? 대표적인 세가지 대안을 분석해보도록 하겠다.

 

1. 모바일 기기 상의 신용카드 리더

 

스퀘어(Square)로 대표되는 이들 시스템은 편리한 배치를 장점으로 내세우며 중소규모 상점들을 중심으로 인기를 얻어가고 있다. 고객 입장에서도 이점이 있다. 리더(스마트폰 혹은 태블릿)는 단순한 POS 단말기의 역할만을 수행하는 것이 아니다. 대부분의 카드 리더기들은 ㄱ객의 신용/직불카드 정보를 암호화해 관리한다. 암호화된 정보는 솔루션 업체의 서버로 넘어가 해독이 이루어지기 때문에 결제 현장에서 발생할 수 있는 보안 위협에서 자유롭다.

 

모바일 기기 상의 신용카드 리더는 현재로서는 가장 활발히 활용되고 있는 대안 결제 시스템이라 할 수 있다. 결제 방식이 간단하고, 기존의 기술(마그네틱 카드)을 지원하는데가, 상대적으로 데이터가 침해될 가능성은 줄어들었기 때문이다.

 

하지만 모든 위협이 완전히 사라지는 것은 아니다. 암호화 과정이 마련되어 있긴 하지만 고객의 지불 데이터는 결국 서버에 저장되기 때문이다. 공급자의 서버 자체를 공략하는 해킹이 이루어진다면, 유출은 오히려 대규모로 이루어질 수도 있는 것이다.

 

2. 유로페이 마스터카드 앤 비자 시스템

 

EMV(Europay MasterCard and Visa) 카드는 스마트 칩 및 혹은 비접촉(RF기반) 칩을 내장하고 있다. EMV시스템은 일반적으로 칩과 PIN, 혹은 칩과 서명의 복수 인증을 요구한다. (거래완료를 위해 PIN을 입력하거나 서명을 남겨야 한다.)

 

EMV는 보다 계량적인 지불 시스템으로서 미국을 제외한 전세계에 널리 보급되어 있다. 미국 시장에도 2015~2016년 이내에 보급이 이루어질 계획이다. 오랜 논의의 결과물이다.

 

해외 출장이 잦은 직업 특성으로 필자는 몇년 전부터 EMV 카드를 경험할 수 있었다. 처음 사용을 할 때는 2중 인증 체계가 가려올 보안 역량 개선의 효과에 많은 기대를 했다. 하지만 사용을 게속할수록 한계 역시 눈에 띄었다. EMV 카드의 보안 역량은 분명 전통적인 신용카드보다는 뛰어나다. 그러나 이 카드들에도 마그네틱 선은 여전히 존재한다. 호환성의 문제 때문이다. 이로 인해 결제 지점에서 정보가 유출될 가능성은 여전히 남아있게 된다.

 

칩 자체에도 문제가 존재한다. 사용자의 계정 번호를 POS 단말기에 보여준다는 부분이다. POS 자체를 공략한 해킹 시도에 관하여는 여전히 취약점이 존재하는 것이다. PIN 번호 역시 정직 대상이기에 유출은 얼마든지 가능하다.

 

3. 구글월렛과 애플페이

 

마지막은 스마트폰과 POS 단말기 간의 근거리 커뮤니케이션(NFC) 기술을 활용하는 비접촉 지불 시스템이다. 구글월렛과 애플페이 두 시스템은 모두 거래 상점에 실제 계정 번호를 노출하지 않는 토큰화 기법을 이용한다. 스마트폰이나 POS 단말기에 침입한 악성코드로 토큰을 도청하는 것은 물론 가능하다. 하지만 해당 정보는 전혀 재사용이 불가능하다. 모든 토큰은 일회용으로 제공되기 때문이다.

 

하지만 계정 데이터를 다루는 방식에 있어서는 구글월렛과 애플페이, 두 시스템 간에 상당한 차이가 있다. 자사의 클라우드 서비스를 통해 계정 데이터를 직접 관리하는 구글과는 달리, 애플은 고객의 계정 데이터를 상점에게도 자사에도 노출하지 않는다. 역할을 카드사에 일임하는 것이다.

 

 

EMV 방식과 관련해서도 약간의 이견은 있지만 대체로 토큰화 방식이 안전하다는 의견이 많다. 그런데 왜 모두가 토큰화를 받아들이지 않고 있는 것일까.

 

기본적으로 구글월렛이나 애플페이는 최신의 스마트폰이 있어야 이용이 가능하기 때문이다. 배보다 배꼽이 큰 상황이 있을 수 있는 것이다.

 

수요가 적다 보니 상점들의 서비스 지원 역시 그리 적극적으로 이루어 지지는 않고 있다. 결국은 시간이 해결해 줄 문제다. 이미 은행권에서는 이들 시스템을 지원하는 움직임이 활발히 이루어지고 있고, 그 밖의 곳곳에서도 지원 발표가 이어지고 있다.

 

앞서 언급한 스퀘어의 월렛 앱 역시 올해 말 개시를 목표로 애플페이 호환 작업을 진행중이다. 스퀘어의 애플페이 생태계 참여는 이 결제 시스템의 시장 안착에 매우 중요한 역할을 할 전망이다. 중소규모 사업장들이 값비싼 신용POS 단말기를 장만하지 않고도 시스템을 지원할 수 있게 될 것이기 때문이다.

 

미국 내에서 이루어지고 있는 구글 월렛과 애플페이의 성장은 일면 유럽 시장에서의 EMV 도입 시기를 연상케 한다. 이들 시스템의 완벽한 성공 여부는 그것이 특정 지역을 넘어 국제 표준으로 자리잡고 난 뒤에야 결론 내릴 수 있을 것이다.

 

여기서 소개만 차세대 결제 수단들 가은데 완벽하게 안전한 옵션은 없다. 그러나 이들 모두 마그네틱 카드와 비교하면 분명히 우수한 방식들이다. 다만 필자가 걱정하는 상황이라면 익숙함과 시장 지배력이라는 강력한 무기에 취한 기업과 소매상들이 시장 환경 개선의 가능성을 짓밟아버리는 것뿐이다. 우려가 상상으로만 끝나길 바란다.

 

 

출처 : "2015핀테크 완전정복"