간편 결제 서비스는 어느새 우리 일상에 자연스럽게 녹아들었다. 지난해 11월 1200명을 대상으로 한 금융보안원의 조사에 따르면 대상자 중 87.9%가 간편 결제 서비스를 이용한 경험이 있다고 응답했다. 같은 조사에서 이용자들은 편리성보다 보안성을 중시한다고 응답했다. 이용자들의 보안에 관심을 보이는 경향과는 반대로 금융 사고의 규모는 커지고 있다. 지난 5월 27일(수) 금융감독원 발표 자료에 따르면 피해 금액이 큰 대형 금융 사고가 증가하고 있다. 이용자가 증가할수록 보안에 관한 우려도 함께 늘어나는 간편 결제 서비스는 무엇이고, 이를 안전하게 이용하는 방법에는 무엇이 있을지 알아보자.

결제 방식에 편의를 추가하다
간편 결제 서비스는 금융 서비스에 정보기술을 접목한 *핀테크(Fintech)의 일종이다. 간편 결제 서비스는 복잡한 절차 없이 기기에 등록된 생체 정보나 신용카드 정보의 간단한 인증만으로도 결제가 승인된다. 간편 결제 서비스가 시작되면서 온·오프라인에서의 빠른 결제가 가능해졌다. 빠른 결제는 쉬운 소비로 이어져 간편 결제 거래 건수가 증가했다. 모바일 전자 결제 시장이 커지자 간편 결제 서비스도 다양한 방식으로 구현됐다.

NFC간편결제는 근거리 무선 통신기술(Near Field Communication, 이하 NFC)에 기반한 간편 결제 서비스다. NFC를 이용하면 약 10cm 이내의 거리에서 무선으로 정보를 전달할 수 있다. NFC간편결제는 NFC 결제 서비스와 구분된다. NFC간편결제는 스마트폰 자체가 결제 단말기로 활용되는 반면, NFC 결제 서비스는 NFC에 담긴 카드 정보를 결제 단말기가 인식해 결제한다. NFC간편결제에서 스마트폰이 카드 리더기 역할을 한다면 NFC 결제 서비스에서 스마트폰은 카드 역할을 하는 셈이다. 따라서 NFC 결제 서비스를 진행하려면 NFC 전용의 결제 단말기가 있어야 한다. 이는 NFC 결제 서비스인 애플페이(Apple Pay)가 상용화되기 어렵다고 지적되는 원인이기도 하다.

마그네틱 보안 전송(Magnetic Secure Transmission, 이하 MST) 기술을 활용한 간편 결제 서비스도 있다. MST는 전자기 신호를 이용해 정보를 전달하는 기술이다. 이는 실물 신용카드의 결제 원리와 같다. 자성(磁性)을 띠는 신용카드의 검은 띠 부분을 결제 단말기에 가까이하면 신용카드와 결제 단말기 사이에 자기장이 발생한다. 이때 신용카드에서 결제 단말기로 금융 정보가 전달되면서 결제가 진행된다. MST 간편 결제 서비스에선 스마트폰이 신용카드 역할을 대신한다. 따라서 MST 간편 결제 서비스는 신용카드 없이 스마트폰만으로도 결제를 진행할 수 있다. NFC 결제 서비스와 다르게 전용 결제 단말기가 필요하지 않다는 것도 MST 간편 결제의 장점이다. 즉 MST 간편 결제는 보통의 결제 단말기가 있는 매장이라면 어디서든 이용이 가능하다.

간편 결제 서비스로는 바코드를 이용할 수도 있다. 이는 소비자가 간편 결제를 지원하는 앱에 결제를 요청해 자신의 바코드를 받거나, 매장에서 제시한 바코드를 스캔하는 방식이다. 바코드 결제 방식은 1차원과 2차원으로 나뉜다. 1차원 바코드는 기프티콘(Gifticon)과 같이 굵기가 다른 막대를 조합한 선형 바코드다. 2차원 바코드는 QR코드 형식으로 기존 1차원 바코드보다 많은 정보를 담을 수 있다. 2차원 바코드는 생성자에 따라 가맹점 제시(Merchant Presented Mode, 이하 MPM) 방식과 소비자 제시(Customer Presented Mode, 이하 CPM) 방식으로 다시 나뉜다. 즉 MPM은 가맹점이, CPM은 고객이 바코드를 생성하는 방식이다. 제로페이(Zero Pay)와 페이코(PAYCO) 등이 MPM 방식의 2차원 바코드 간편 결제 서비스이고, 쓱페이(SSGPAY)는 CPM 방식의 2차원 바코드 간편 결제 서비스다.


간편 결제의 ‘보안 잡음’
간편 결제 서비스가 널리 쓰이면서 보안을 우려하는 목소리도 높아졌다. 간편 결제 서비스에서 소비자의 개인정보 수집은 필수 요소다. 이에 소비자의 금융 정보의 관리 방식에 관심이 주목됐다. 신동휘 스틸리언(STEALIEN) 보안기술연구소 소장은 “간편 결제 서비스는 모든 결제가 모바일 앱으로 진행된다”며 “간편 결제는 금전적인 손익과 직결되므로 모바일 앱의 보안성을 높이는 기술이 필요하다”고 말했다.

NFC 기능을 보유한 스마트폰이 보급되면서 소비자의 개인정보가 위협받는 범위도 늘었다. 금융보안원 보안연구부가 지난 2016년 발표한 자료에 따르면 NFC 방식엔 도청, 신호 변조 및 삽입 등 다양한 위협이 발생할 수 있다. 김미선 외 3인의 연구자는 NFC 기능으로 정보를 주고받을 때 도청자가 신호를 가로챌 수 있는 것을 NFC의 근본적 문제로 봤다. 이때 도청자는 신호를 읽는 것만이 아니라 신호를 수정하거나 새로운 신호를 대신 삽입해 이용자에게 혼란을 줄 수도 있다. 따라서 도청자는 정보를 주고받는 두 주체 사이에서 자신이 서로의 상대인 것처럼 속여 각각의 정보를 탈취할 수 있다.

MST 결제 방식도 보안 위협에서 완전히 벗어나긴 어렵다. MST 결제 방식은 신용카드 위조 전문 장비인 스키머(Skimmer)를 통한 정보 유출의 위험이 있다. 스키머는 신용카드의 검은 띠 부분에 기록된 정보를 해독하고 위조하는 장치다. MST 결제 서비스에서 스키머가 사용됐다면 공격자에게 금융 정보가 유출돼 금융 사고가 일어날 수 있다.

바코드를 통한 결제 수단 역시 안전하지만은 않다. CPM 방식은 한 번 결제할 때마다 일회성 QR코드를 새롭게 생성하지 않는다면 사용자의 바코드가 유출돼 부정 거래가 발생할 수 있다. MPM 방식에선 매장의 QR코드를 임의로 수정해 제삼자가 이득을 보는 절도 행위가 발생할 수도 있다. 지난 2017년 YTN이 보도에 따르면 당시 중국에선 매장이 제시한 QR코드 위에 가짜 QR코드를 부착해 1억7000만원을 가로채는 금융 범죄가 발생했다.

결제 방식이 가진 취약점을 보완할 수 있는 기술적 방안이 있다. 신 소장은 “NFC 결제 방식의 경우 정보를 중간에 가로채는 것도 문제지만 이를 공격자가 분석할 수 있는지가 가장 큰 문제다”며 “공격자의 정보 분석을 방지하기 위해선 기술적으로 완전한 **프로토콜 설계가 필요하다”고 말했다. MST 결제 서비스는 결제 수단에 이용되는 암호화폐 수단인 토큰(Token)의 유효시간을 단축하여 보안을 강화할 수 있다. 마찬가지로 바코드 결제 정보의 부정 사용 또한 바코드의 유효기간을 짧게 설정해 재사용을 방지하는 대안을 통해 막을 수 있다.


방화벽 갖춘 안전한 금융 거래를 위해
간편 결제 서비스에 적용되는 개인정보 보호 기술들이 개발되고 있다. 결제정보 토큰화는 개인정보를 암호화해 보호하는 보안 기술이다. 토큰은 개인정보의 접근을 관리하기 위해 사용되는 임의의 수들이다. 결제정보 토큰화는 토큰을 어디에 저장하는지에 따라 하드웨어 기반, 소프트웨어 기반의 두 종류로 나뉜다. 하드웨어 기반 보호 기술은 애플페이, 삼성페이(Samsung Pay)에 적용됐고 소프트웨어 기반 보호 기술은 안드로이드페이(Android Pay)에 사용됐다.

개인정보 보호를 위해선 시스템 사용자의 노력도 필요하다. NFC에 기반한 간편 결제 서비스는 결제가 필요한 상황이 아니라면 NFC 기능을 꺼둬야 한다. NFC 기능을 비활성화하면 스키머가 단말기에 등록된 카드 정보에 접근하는 것을 차단할 수 있다. MST 방식의 간편 결제 서비스에선 실물 신용카드 사용 시 스키머를 피하는 방식과 동일한 보안 방법이 쓰인다. 가령 스키머는 결제 단말기에 설치되므로 결제 단말기의 모습이 평소와 다르다면 사용하지 말아야 한다. 인적이 드물거나 감시 카메라가 없는 곳에 설치된 무인 단말기, ATM 등도 사용을 지양해야 한다.

지출 명세를 자주 확인하는 습관은 금융 거래 피해를 줄이는 데 도움이 된다. 기억나지 않는 소비는 없는지, 갑자기 거금이 인출되지 않았는지 등을 빠르게 파악할 수 있어 구제 처리도 신속하게 이뤄질 수 있기 때문이다. 신 소장은 “결제 서비스 이용자는 정보 제공에 분별성을 갖춰야 한다”며 “이용자의 무조건적인 정보 제공 습관도 금융 사고의 원인이 될 수 있기 때문이다”고 강조했다. 부정 거래로 인한 피해액은 각 금융사에 피해 구제 신청서와 신분증을 제출하면 보상받을 수 있다. 피해 구제 신청서를 작성하기에 상황이 심각하다면 전화로 설명해도 된다. 단지 피해 구제를 넘어 행정소송, 민사소송 등의 법적 절차를 고려하고 있다면 관련 분야의 전문가에게 조언을 구하는 것도 하나의 방법이다.

기관과 사업자는 개인정보 유출 사고가 없도록 보안을 강화해야 한다. 지난달 7일(수)부터 26일(월)까지 진행된 국정감사에서 박광온 국회 정무위원회 의원은 개인정보보호위원회 자료에 기반해 지난 2016년부터 지난 9월까지 6천만 건 이상의 개인정보가 유출됐다고 분석했다. 김상의 국회 부의장은 “개인정보 탈취기술이 고도화된 데 비해 개인정보보호에 대한 기업의 관심과 기술은 빠르게 변하는 시대에 발맞추지 못하고 있는 것으로 생각된다”며 “정보보호 공시 및 해킹사고 조사를 의무화해 개인정보보호에 대한 기업의 법적 책임을 강화해야 한다”고 전한 것을 보안뉴스에서 보도했다.


정보통신기술의 발전은 간편한 금융 서비스와 더불어 보안 위험도 가져왔다. 그러나 최근 철저한 보안을 요구하는 목소리가 높아지고 있어 간편결제 서비스에 관한 불안은 점차 해결될 전망이다. 이를 위해선 기술의 개발과 이용자의 노력, 그리고 관리적 측면의 조치가 원만하게 이뤄져야 한다. 간편 결제 서비스 이용자들은 결제 서비스와 보안 기술의 발전으로 편리와 안전의 양립이 이뤄지길 기대하고 있다.


*핀테크(Fintech) : 금융(Finance)과 기술(Technology)의 합성어임. 정보기술 금융서비스 산업을 총칭함.
**프로토콜 : 정보의 원활한 전달을 위한 통신 규칙임.

참고문헌
금융보안원 보안연구부 (2016.08.24). 간편 지급결제에서 무선통신 기술 보안 위협 및 보안 고려사항.
김미선, 김현곤, 이범기, & 서재현. (2013). NFC 보안 기술 및 보안 취약점에 관한 연구. 스마트미디어저널, 2, 54-61.
김은비. (2018). 국내 모바일 간편결제 서비스 시장 현황과 시사점. KIET 산업경제, 46-57.