지난 몇 년 동안 주요 전자회사, 소매유통업체, 보험사 등 수많은 업체가 네트워크 침탈사고를 당했다. 이들 업체는 PCI DSS 등 각종 규제의 적용대상이었으며 사고 발생 직전까지의 감사 결과 규제준수에 문제가 없다고 평가받았다. 그럼에도 이들은 결국 네트워크를 침탈로 인해 고객정보를 도난당했다. 한편 이 글을 읽는 이들 혹은 그 주변인들이 휴대폰을 분실, 도난당하거나 아니면 어딘가에 방치한 적이 있는 경우가 상당수일 것이다.
그렇다면 신용카드나 은행계좌 정보를 휴대폰처럼 잃어버릴 염려가 있는 기기에 입력하거나 아니면 언제든 해킹당할 우려가 있는 회사에 맡길 이유는 도대체 무엇인가? 결제를 할 때 신용카드를 주머니에서 꺼내는 게 그렇게 어려운 일인가? 만약 칩&핀 스타일의 신용카드를 접하고 사용하게 된다고 할 때 근거리무선통신(near field communication, NFC) 방식의 휴대기기라면 더 안전할 거라고 생각할 이유는 무엇인가?
먼저 이에 관련된 현용 기술을 살펴보고 무엇이 더 안전하거나 아니면 편리한지를 논하겠다.
칩&핀 (Chip & PIN)
칩&핀 신용카드(칩(Chip) 그리고 핀(PIN)은 브랜드 명칭)는 다른 스마트카드처럼 내장형 칩을 가지고 있으며 칩의 데이터에 접근하려면 PIN을 입력해야 한다. 칩&핀 카드를 사용하려면 먼저 카드를 인식장치에 읽히고 결제 실행시 금액을 정한 다음 숫자판으로 PIN을 입력한다. 카드 소지자가 보유한 카드와 카드 소지자가 알고 있는 PIN을 요구하며 인식장치와 카드의 물리적 접촉이 요구되기 때문에 카드 데이터를 읽어낼 때 전자파나 스키밍 등의 기술이 개입되지 않는다. 이 기술의 상세한 내용은 위키피디아에서 확인할 수 있다.
http://en.wikipedia.org/wiki/Chip_and_PIN
근거리무선통신 (NFC)
근거리무선통신(NFC) 칩은 차세대 RFID 기술이며 스마트폰, 스마트카드, 열쇠고리를 비롯하여 사실상 접촉 수준의 근거리에서 복수 기기의 라디오주파수 통신을 지원하는 기기에 내장된다. NFC 칩은 다른 칩을 읽거나 다른 칩으로 읽힐 수 있고 상호 통신도 가능하며 탭투페이(tap to pay) 기술에서 인기를 얻고 있다. 인식장치는13.56MHz로 작동하며 칩을 작동시키는 전파장을 생성한다. 일반적인 통신거리는 10cm 가량이지만 보다 강력한 송신기와 안테나를 적당한 주파수로 구동하면 더욱 먼 거리에도 도달할 수 있다. NFC는 데이터링크계층(OSI 2계층)에서 운용되며 칩에도 자체 OID가 있으나 이들 자체로는 네트워크카드 이상의 데이터를 보관하지 않는다. NFC 기기 간 통신은 스니핑(sniffing), 즉 가로채기에 취약하며 따라서 어플리케이션 차원에서 암호화를 통해 데이터 가로채기를 방지해야 한다. NFC에 대해 자세한 내용은 위키피디아에서 확인할 수 있다.
http://en.wikipedia.org/wiki/Near_field_communication
결제용 SIM (Payment SIM)
결제용 SIM은 구독자식별모듈(subscriber identification module, SIM)이 휴대기기를 통해 사용되도록 개조된 모듈이며 이동통신사(cellular carrier) 네트워크에서 해당 기기를 식별하는 한편 신용카드번호 등 결제데이터를 안전하게 보관할 수 있다. 결제용 SIM은 해당 이동통신사 네트워크의 요구사항과 결제카드산업 표준을 모두 준수해야만 결제실행수단으로 사용될 수 있다.
결제 단말기(terminal)
미국 주요 신용카드회사 3개사가 NFC/결제용 SIM이 내장된 기기와 호환되는 단말기를 보유하고 있다. 비자 단말기는 PayWave, 마스터카트 단말기는 PayPass, 아메리칸익스프레스 다말기는 ExpressPay라고 부른다.
애플페이 (Apple Pay)
애플은 소매유통업체 및 주요 신용카드 발급업체와 파트너쉽을 구축하고 새로운 결제시스템을 도입하려 한다. 최신 애플 기기는 신용카드 정보를 저장하기보다는 전용 하드웨어를 통해 안전한 결제를 실행하기 위해 NFC 기술을 운용하며 동적으로 일회용 결제코드를 생성한다. 사용자는 최신 아이폰에서 지원하는 지문인식기능을 가지고 기기 인증을 받아야 하며 아이패드나 애플워치의 경우 코드를 통해 인증을 받아야 한다. 현재 사용자들의 평가를 보면 상시로 휴대기기를 소지하고 있기 때문에 편리하며 지문이나 해제코드를 통해서만 인증을 받기 때문에 안전하게 여겨진다고 한다. 애플페이 서비스는 우선 미국에서 개시되며 가까운 미래에 전 세계로 확대될 전망이다.
구글월릿 (Google Wallet)
애플페이는 혁신적이긴 하나 안드로이드 사용자 대부분은 적어도 몇 년 동안은 그들의 안드로이드 휴대기기를 통해 결제를 실행할 수 있다고도 한다. 애플페이와 구글월릿의 가장 큰 차이라면 구글월릿의 경우 기기 자체에 신용카드 정보를 보관한다는 점이다. 이 경우 결제방식이 특정 회사에 의존하는 정도를 줄일 수 있으며 주요 결제단말기를 지원하는 업체라면 어디든 호환이 되지만 한편 기기의 분실이나 도난이 발생한다면 기기에 담긴 신용카드정보도 분실 또는 도난당할 위험이 있다. 사용자는 PIN을 통해 기기 잠금을 해제해야 결제를 실행할 수 있다.
탭투페이 (Tap to Pay)
마이크로소프트 휴대폰도 탭투페이라는 유사한 기능을 지원한다. 마이르코소프트는 기기는 NFC와 결제용 SIM방식도 지원하기 때문에 이상에 소개한 3가지 방식 모두를 사용할 수 있으며 폰이 잠금 해제되었거나 화면이 켜져 있다면 언제든 사용 가능하다. 기기의 잠금을 먼저 해제하지 않아도 된다는 편리함은 회사 이메일정책이 복잡한PIN을 요구하는 데 지친 사용자들에게는 매력적으로 다가갈 수도 있겠지만 기기를 물리적으로 보유하기만 해도 결제를 할 수 있다는 점을 생각한다면 최초 잠금해제 없이 결제를 허용한다는 발상은 다소 섬뜩하게 여겨지기도 한다.
편의성 대 보안
현재 구글은 구매거래를 대행하면서 구매에 대한 수수료를 받는 형식을 취하고 있다. 보안분석가들은 구글월릿의 취약점을 발견했고 이들 중 상당수는 이미 해결됐으나 사용자가 악성 어플리케이션을 설치하도록 유도하도록 방법 등을 통해 여전히 핀에 대한 접근 또는 가로채기가 가능하다고 여겨진다. 애플의 경우 사기 거래가 발생할 경우 은행과 공동책임을 부담한다. 한편 마이크로소프트의 결제기능은 모바일OS 최신버전에 탑재되어 있지만 아직 이를 활용하는 어플리케이션이 없다.
어떤 방식을 선택하든 폰을 꺼내 핀을 입력하거나 손가락을 움직이고 나서 결제단말기에 대기만 하면 결제를 실행할 수 있다는 점은 무척 편리하다. 하지만 근처에서 누군가 작은 안테나를 소지하고 거래를 "가로채거나" 아니면 핀 입력을 훔쳐보고 나서 폰을 훔치면 어떻게 되는가?
필자는 사람들이 뭔가를 가져오는 사이 폰을 테이블에 두거나 주머니에서 반쯤 삐져나온 상태로 둔 모습을 보면 타인이 그들의 기기를 훔치는 일이 주머니에서 지갑을 훔치는 일보다도 쉽겠다는 생각을 지울 수 없다. 그리고 식당 등에서 휴대용 단말기를 도입하거나 프론트에서 계산하는 방식을 사용하지 않을 경우 웨이터에게 폰을 맡겨 결제를 실행한다는 모습은 상상하기 어렵다.
전통적인 마그네틱 신용카드는 소지자가 안 보는 사이에 스키밍(skimming)이나 문지르기만 해도 정보를 탈취당할 수 있으며 이런 일은 매일 벌어진다. 칩&핀 카드의 경우 실제 물리적 접족과 2중 인증을 요구하기 때문에 보다 안전하다고 여겨지지만 기기 자체에 숫자가 내장되고 구형 시스템에 대해서는 여전히 마그네틱선을 사용하기 때문에 취약점이 존재하기는 마찬가지다.
가장 안전한 휴대용 결제시스템이라면 칩&핀 또는 칩&생체인식 방식을 채택하고 마그네틱선과 눈에 보이는 숫자를 완전히 없애는 게 이상적이라고 하겠다. 물론 이를 처리할 수 있는 하드웨어가 발달하기 전까지는 실현 가능한 시나리오라고 볼 수는 없으며 따라서 현재로써는 애플페이가 다른 모바일 플랫폼으로도 확산되고 또한 주요 휴대전화 제조업체가 결제용 SIM을 비롯한 카드정보 안전보관공간의 잠금을 해제하는 지문인식기능을 추가하기를 바랄 수밖에 없겠다.
(이하 생략)
Casper Manes, Mobile payments raise the age-old question: Convenience or security?, 4.8. 2015.
http://www.gfi.com/blog/mobile-payments-raise-the-age-old-question-convenience-or-security/
'칼럼, 특집' 카테고리의 다른 글
비트코인 vs 금 - 신용 (0) | 2015.07.24 |
---|---|
비트코인 vs 금 - 거래비용과 중앙화 (0) | 2015.07.21 |
비트코인의 소유권과 보편성 (0) | 2015.06.24 |
블록체인 기술에 의한 공급체인 투명성 향상 (0) | 2015.06.22 |
비트코인의 쓰나미 (0) | 2015.06.22 |