2011.06.03

글로벌 칼럼 | 모바일 결제, 재앙은 시간문제다

Ira Winkler | InfoWorld
모바일 결제 서비스 ‘스퀘어’(Square)가 아이패드로 결제를 가능하게 해 줄 것이라고 기대하는 기사가 컴퓨터월드에 게재된 것을 봤을 때, 아무도 보안 문제를 언급하지 않는 것을 보고 개인적으로 매우 놀랐다.
 
스퀘어의 앱 뿐만이 아니다. 스퀘어 레지스터(Square Register)나 구글 월릿(Google Wallet) 등의 앱 또한 분명 유용하겠지만, 위험성을 내재하고 있다. 모바일 기기로 신용카드나 크레딧 프로세싱 시스템을 대체하겠다는 것은 시기상조로 보인다.
 
물론 개중에는 꽤 괜찮은 애플리케이션도 있다. 스퀘어 레지스터의 경우 특히 신용카드 사용 시 수수료가 적게 나오므로 중소상인들에게 매우 편리할 수도 있다. 규모가 작은 기업일수록 거기에서 얻는 이득도 클 것이다. 마찬가지로, 구글 월릿처럼 스마트폰과 터미널을 연결해  결제를 가능하게 해주는 애플리케이션도 금융 기능을 통합했다는 점에서 편리할 수도 있다.
 
하지만 딱 거기까지다.
 
우선 구글 월렛을 한번 살펴보자. 거대한 재앙의 씨앗이 될 것처럼 보인다. 구글은 3가지 보안 기능을 강조한다. 물건을 구입할 때 입력해야 하는 핀 넘버, 휴대폰이나 페이패스(Paypass)에 신용 카드를 장착해 줄 특수 칩, 그리고 결제 기기로 신용카드번호가 전송될 때 이를 암호화 시키는 페이패스 기술이 그것이다.
 
잘 모르는 사람에게는 충분해 보일 수도 있겠다. 하지만 휴대폰 그 자체가 안전하지 않다면 무용지물이다. 문제는 실제로 그렇다는 점이다. 드로이드(Droid)만 해도, 구글은 보안적 관점에서 봤을 때 애플리케이션을 제대로 처리하지 못하고 있다.
 
 
스마트폰 운영 체제는 프로그램들간의 데이터 교환을 통제하고, 입출력 기기와 다른 대부분의 하드웨어들도 관리한다. 만약 악성 소프트웨어가 휴대폰에 침투하면, 결제를 할 때 핀넘버를 빼내는 건 어렵지 않은 일이다.
 
특수한 칩에 신용카드 정보를 장착해 놓으면 안전하다고 생각할 수 있다. 그러나 결제를 하려고 데이터에 접근할 때마다 신용카드 정보는 오히려 위험에 노출되게 된다. 게다가 페이패스 기술이 송신된 데이터를 암호화 하기도 전에, 데이터 이미 운영체제에 들어가 있을 수 있다.
 
비유하자면 오토바이에 에어백을 달아놓고 안심하는 거나 다름 없다. 운이 좋으면 오토바이 사고가 났을 때 에어백이 목숨을 살릴 수도 있겠지만, 반드시 보호해준다는 보장은 어디에도 없다.
 
필자가 우려하는 이런 공격이 PC나 다른 결제 시스템에 가해질 염려도 물론 있다. 그리고, POS(point-of-sale) 시스템 역시 공격의 대상이 되어왔던 것도 사실이다.
 
그러나 특히 스마트폰 분야에서는 보안 의식도, 보안 도구도 턱없이 부족하기 때문에 문제가 되는 것이다. 단순히 악성 앵그리버드만 있어도 가장 중요한 데이터를 아무렇지도 않게 다른 사람이 볼 수 있는 것이 현실이다.
 
스퀘어 애플리케이션도 구글 월릿과 사정은 비슷하다. 스퀘어의 카드 케이스 앱은 구글의 보안 저장 칩이나 페이패스 암호화 기능조차도 없다. 무엇보다도, 탭(tab) 작동을 위해 위치 정보를 이용한다는 취약점이 있다.
 
카드 케이스는 또 네이티브 운영체제에 너무 많이 의지하는 경향이 있어 보안에 대한 우려를 자아낸다. 아이폰이나 아이패드가 점점 더 각광받는 결제수단이 된다는 것은 그만큼 사이버 범죄나 맬웨어(malware)의 표적이 될 확률도 커진다는 의미다. 윌리 서튼의 말처럼, 도둑은 돈이 있는 곳으로 모이게 마련이다.
 
사실 레지스터 애플리케이션에 대해서는 그래도 걱정이 조금 덜 되기는 한다. 하지만 아이패드를 레지스터로 사용하는 기업이 다른 용도로 아이패드를 사용하지 않는다는 보장은 없다. 인터넷 브라우징이나 데이터 액세스에 사용되는 기기라면 모두 맬웨어에 노출 될 위험이 있다. 그런 면에서 보면, 아이패드나 안드로이드 태블릿이 최소한의 보안 장치도 사용하지 않는다는 점은 분명 걱정할 만한 상황이다.
 
모든 종류의 금융 결제는 ‘최소한의 보안’보다는 더 나은 보안을 갖추어야 한다. 자세히 뜯어보면, 구글 월릿과 스퀘어도 보안이 불안정한 플랫폼에 그 기반을 두고 있다. 스마트폰과 태블릿의 보안 문제가 현저히 개선되지 않는 한, 이 기술들을 사용하는 것은 어리석은 일이라고 단언한다. 그리고 이 보안 문제는 스퀘어가 감당할 수 있는 문제가 아니며, 구글이나 다른 플랫폼 개발자들이 신경 써야 할 문제라고 주장한다. ciokr@idg.co.kr


2011.06.03

글로벌 칼럼 | 모바일 결제, 재앙은 시간문제다

Ira Winkler | InfoWorld
모바일 결제 서비스 ‘스퀘어’(Square)가 아이패드로 결제를 가능하게 해 줄 것이라고 기대하는 기사가 컴퓨터월드에 게재된 것을 봤을 때, 아무도 보안 문제를 언급하지 않는 것을 보고 개인적으로 매우 놀랐다.
 
스퀘어의 앱 뿐만이 아니다. 스퀘어 레지스터(Square Register)나 구글 월릿(Google Wallet) 등의 앱 또한 분명 유용하겠지만, 위험성을 내재하고 있다. 모바일 기기로 신용카드나 크레딧 프로세싱 시스템을 대체하겠다는 것은 시기상조로 보인다.
 
물론 개중에는 꽤 괜찮은 애플리케이션도 있다. 스퀘어 레지스터의 경우 특히 신용카드 사용 시 수수료가 적게 나오므로 중소상인들에게 매우 편리할 수도 있다. 규모가 작은 기업일수록 거기에서 얻는 이득도 클 것이다. 마찬가지로, 구글 월릿처럼 스마트폰과 터미널을 연결해  결제를 가능하게 해주는 애플리케이션도 금융 기능을 통합했다는 점에서 편리할 수도 있다.
 
하지만 딱 거기까지다.
 
우선 구글 월렛을 한번 살펴보자. 거대한 재앙의 씨앗이 될 것처럼 보인다. 구글은 3가지 보안 기능을 강조한다. 물건을 구입할 때 입력해야 하는 핀 넘버, 휴대폰이나 페이패스(Paypass)에 신용 카드를 장착해 줄 특수 칩, 그리고 결제 기기로 신용카드번호가 전송될 때 이를 암호화 시키는 페이패스 기술이 그것이다.
 
잘 모르는 사람에게는 충분해 보일 수도 있겠다. 하지만 휴대폰 그 자체가 안전하지 않다면 무용지물이다. 문제는 실제로 그렇다는 점이다. 드로이드(Droid)만 해도, 구글은 보안적 관점에서 봤을 때 애플리케이션을 제대로 처리하지 못하고 있다.
 
 
스마트폰 운영 체제는 프로그램들간의 데이터 교환을 통제하고, 입출력 기기와 다른 대부분의 하드웨어들도 관리한다. 만약 악성 소프트웨어가 휴대폰에 침투하면, 결제를 할 때 핀넘버를 빼내는 건 어렵지 않은 일이다.
 
특수한 칩에 신용카드 정보를 장착해 놓으면 안전하다고 생각할 수 있다. 그러나 결제를 하려고 데이터에 접근할 때마다 신용카드 정보는 오히려 위험에 노출되게 된다. 게다가 페이패스 기술이 송신된 데이터를 암호화 하기도 전에, 데이터 이미 운영체제에 들어가 있을 수 있다.
 
비유하자면 오토바이에 에어백을 달아놓고 안심하는 거나 다름 없다. 운이 좋으면 오토바이 사고가 났을 때 에어백이 목숨을 살릴 수도 있겠지만, 반드시 보호해준다는 보장은 어디에도 없다.
 
필자가 우려하는 이런 공격이 PC나 다른 결제 시스템에 가해질 염려도 물론 있다. 그리고, POS(point-of-sale) 시스템 역시 공격의 대상이 되어왔던 것도 사실이다.
 
그러나 특히 스마트폰 분야에서는 보안 의식도, 보안 도구도 턱없이 부족하기 때문에 문제가 되는 것이다. 단순히 악성 앵그리버드만 있어도 가장 중요한 데이터를 아무렇지도 않게 다른 사람이 볼 수 있는 것이 현실이다.
 
스퀘어 애플리케이션도 구글 월릿과 사정은 비슷하다. 스퀘어의 카드 케이스 앱은 구글의 보안 저장 칩이나 페이패스 암호화 기능조차도 없다. 무엇보다도, 탭(tab) 작동을 위해 위치 정보를 이용한다는 취약점이 있다.
 
카드 케이스는 또 네이티브 운영체제에 너무 많이 의지하는 경향이 있어 보안에 대한 우려를 자아낸다. 아이폰이나 아이패드가 점점 더 각광받는 결제수단이 된다는 것은 그만큼 사이버 범죄나 맬웨어(malware)의 표적이 될 확률도 커진다는 의미다. 윌리 서튼의 말처럼, 도둑은 돈이 있는 곳으로 모이게 마련이다.
 
사실 레지스터 애플리케이션에 대해서는 그래도 걱정이 조금 덜 되기는 한다. 하지만 아이패드를 레지스터로 사용하는 기업이 다른 용도로 아이패드를 사용하지 않는다는 보장은 없다. 인터넷 브라우징이나 데이터 액세스에 사용되는 기기라면 모두 맬웨어에 노출 될 위험이 있다. 그런 면에서 보면, 아이패드나 안드로이드 태블릿이 최소한의 보안 장치도 사용하지 않는다는 점은 분명 걱정할 만한 상황이다.
 
모든 종류의 금융 결제는 ‘최소한의 보안’보다는 더 나은 보안을 갖추어야 한다. 자세히 뜯어보면, 구글 월릿과 스퀘어도 보안이 불안정한 플랫폼에 그 기반을 두고 있다. 스마트폰과 태블릿의 보안 문제가 현저히 개선되지 않는 한, 이 기술들을 사용하는 것은 어리석은 일이라고 단언한다. 그리고 이 보안 문제는 스퀘어가 감당할 수 있는 문제가 아니며, 구글이나 다른 플랫폼 개발자들이 신경 써야 할 문제라고 주장한다. ciokr@idg.co.kr


X