글로벌 칼럼 | 마그네틱 카드를 “대체”할 차세대 결제 시스템 비교

Computerworld
애플 페이를 비롯해 몇몇 전자, 모바일 지불 옵션들이 시장에 진입했지만 현실은 여전히 기존의 마그네틱 신용, 직불 카드가 장악하고 있다.



닉슨 정부(1969~1974) 시절, 마그네틱 카드는 활발히 보급되기 시작해 이후에는 오랜 시간 편리하고 안정적인 지불 수단으로 많은 지지를 받아왔다. 하지만 현재 마그네틱 카드는 데이터 유출, 카드 복제를 비롯한 각종 보안 사고로 골머리를 앓고 있다.

개인적인 경험으로 이야기를 시작해보자면, 필자는 지금껏 서너 번 신용 카드를 재발급 받아봤다. 그 중 한 번은 정보 유출로 허위 결제가 이뤄져 재발급한 것이다. 그 사고 이후 지갑 속의 구형 신용 카드보다 안전한 시스템을 찾아야겠다는 마음이 강해졌고, 모바일 지불이라는 새로운 방식에 관심을 가지기 시작했다.

사실 보안 구조의 관점에서, 전통적인 신용 카드는 말 그대로 재앙에 가깝다. 이유는 다음과 같다:
  • - 계정 번호를 서버에 저장한다.
  • - 클라이언트에게 계정 번호가 노출된다.
  • - 데이터의 암호화는 거래 과정에서만 이뤄진다(SSL, TLS 등)
  • - 구매 상점에 고객 번호가 노출된다.
  • - 동일한 지불/계정 번호가 재사용된다.


그러나 이는 빙산의 일각일 뿐이다. 마그네틱 카드는 이 외에도 수많은 문제점들을 안고 있다.

그렇다면, 오늘날 각광받고 있는 마크네틱 카드의 새로운 대체재들은 어떤 특징이 있을까? 대표적인 세 가지 대안을 분석해보자.

1. 모바일 기기 상의 신용카드 리더
스퀘어(Square)로 대표되는 이들 시스템은 편리한 배치를 장점으로 내세우며 중소규모 상점들을 중심으로 인기를 얻어가고 있다. 고객 입장에서도 이점이 있다. 리더(스마트폰 혹은 태블릿)는 단순한 POS 단말기의 역할만을 수행하는 것이 아니다. 대부분의 카드 리더기들은 고객의 신용/직불 카드 정보를 암호화해 관리한다. 암호화된 정보는 솔루션 업체의 서버로 넘어가 해독이 이뤄지기 때문에 결제 현장에서 발생할 수 있는 보안 위협에서 자유롭다.

모바일 기기 상의 신용카드 리더는 현재로서는 가장 활발히 활용되고 있는 대안 결제 시스템이라 할 수 있다. 결제 방식이 간단하고, 기존의 기술(마그네틱 카드)을 지원하는데다, 상대적으로 데이터가 침해될 가능성은 줄어들었기 때문이다.

하지만 모든 위협이 완전히 사라지는 것은 아니다. 암호화 과정이 마련되어 있긴 하지만 고객의 지불 데이터는 결국 서버에 저장되기 때문이다. 공급자의 서버 자체를 공략하는 해킹이 이뤄진다면, 유출은 오히려 대규모로 이뤄질 수도 있다.

평가: 신용 카드의 편리함은 유지하면서 보안 수준을 개선했다. 마다할 이유가 있는가?

2. 유로페이 마스터카드 앤 비자 시스템
EMV(Europay MasterCard and Visa) 카드는 스마트 칩 및/혹은 비접촉(RF 기반) 칩을 내장하고 있다. ‘EMV 시스템은 일반적으로 칩과 PIN’, 혹은 ‘칩과 서명’의 복수 인증을 요구한다. (거래 완료를 위해 PIN을 입력하거나 서명을 남겨야 한다.)

EMV는 보다 계량적인 지불 시스템으로서 미국을 제외한 전세계에 널리 보급되어 있다. 미국 시장에도 2015~2016년 이내에 보급이 이뤄질 계획이다. 오랜 논의의 결과물이다.

해외 출장이 잦은 직업 특성으로 필자는 몇 년 전부터 EMV 카드를 경험할 수 있었다. 처음 사용을 할 때에는 2중 인증 체계가 가져올 보안 역량 개선의 효과에 많은 기대를 했다. 하지만 사용을 계속할수록 한계 역시 눈에 띄었다. EMV 카드의 보안 역량은 분명 전통적인 신용 카드보다는 뛰어나다. 그러나 이 카드들에도 마그네틱 선은 여전히 존재한다. 호환성의 문제 때문이다. 이로 인해 결제 지점에서 정보가 유출될 가능성은 여전히 남아있게 된다.

칩 자체에도 문제가 존재한다. 사용자의 계정 번호를 POS 단말기에 보여준다는 부분이다. POS 자체를 공략한 해킹 시도에 관하여는 여전히 취약점이 존재하는 것이다. PIN 번호 역시 정적 대상이기에 유출은 얼마든지 가능하다. 필자가 지난 해 싱가포르에서 겪은 피해도 이런 이유로 발생한 것이었다.

평가: 마그네틱 카드보다는 분명히 우월하지만, 이 역시 완벽하진 않다.


3. 구글 윌릿과 애플 페이
마지막은 스마트폰과 POS 단말기 간의 근거리 커뮤니케이션(NFC) 기술을 활용하는 비접촉 지불 시스템이다. 구글 월릿과 애플 페이 두 시스템은 모두 거래 상점에 실제 계정 번호를 노출하지 않는 ‘토큰화(tokenization)’ 기법을 이용한다. 스마트폰이나 POS 단말기에 침입한 멀웨어로 토큰을 도청하는 것은 물론 가능하다. 하지만 해당 정보는 전혀 재사용이 불가능하다. 모든 토큰은 일회용으로 제공되기 때문이다.

하지만 계정 데이터를 다루는 방식에 있어서는 구글 월릿과 애플 페이, 두 시스템 간에 상당한 차이가 있다. 자사의 클라우드 서비스를 통해 계정 데이터를 직접 관리하는 구글과 달리, 애플은 고객의 계정 데이터를 상점에게도, 자사에도 노출하지 않는다. 계정 관리의 역할을 카드사에 일임하는 것이다.

평가: 마그네틱 카드보다는 분명 우월하며, EMV 방식과 관련해서도 약간의 이견은 있지만 대체로 토큰화 방식이 안전하다는 의견이 많다. 그런데 왜 모두가 토큰화를 받아들이지 않고 있는 것일까?

기본적으로 구글 월릿이나 애플 페이는 최신의 스마트폰이 있어야 이용이 가능하기 때문이다. 배보다 배꼽이 큰 상황이 있을 수 있는 것이다.

수요가 적다 보니 상점들의 서비스 지원 역시 그리 적극적으로 이뤄지지는 않고 있다. 결국은 시간이 해결해 줄 문제다. 이미 은행권에서는 이들 시스템을 지원하는 움직임이 활발히 이뤄지고 있고, 그 밖의 곳곳에서도 지원 발표가 연잇고 있다.

앞서 언급한 스퀘어의 월릿 앱 역시 올해 말 개시를 목표로 애플 페이 호환 작업을 진행 중이다. 스퀘어의 애플 페이 생태계 참여는 이 결제 시스템의 시장 안착에 매우 중요한 역할을 할 전망이다. 중소규모 사업장들이 값비싼 신형 POS 단말기를 장만하지 않고도 시스템을 지원할 수 있게 될 것이기 때문이다.

미국 내에서 이뤄지고 있는 구글 월릿과 애플 페이의 성장은 일면 유럽 시장에서의 EMV 도입 시기를 연상케 한다. 이들 시스템의 완벽한 성공 여부는 그것이 특정 지역을 넘어 국제 표준으로 자리잡고 난 뒤에야 결론 내릴 수 있을 것이다.

오늘 소개한 차세대 결제 수단들 가운데 완벽하게 안전한 옵션은 없다. 그러나 이들 모두 마그네틱 카드와 비교하면 분명히 우수한 방식들이다. 다만 필자가 걱정하는 상황이라면, ‘익숙함’과 시장 지배력이라는 강력한 무기에 취한 비즈니스와 소매상들이 시장 환경 개선의 가능성을 짓밟아버리는 것뿐이다. 우려가 상상으로만 끝나길 바란다. editor@itworld.co.kr