디지털 디바이스 / 모바일 / 미래기술 / 보안

글로벌 칼럼 | 마그네틱 카드를 “대체”할 차세대 결제 시스템 비교

Kenneth van Wyk | Computerworld 2015.03.02
애플 페이를 비롯해 몇몇 전자, 모바일 지불 옵션들이 시장에 진입했지만 현실은 여전히 기존의 마그네틱 신용, 직불 카드가 장악하고 있다.



닉슨 정부(1969~1974) 시절, 마그네틱 카드는 활발히 보급되기 시작해 이후에는 오랜 시간 편리하고 안정적인 지불 수단으로 많은 지지를 받아왔다. 하지만 현재 마그네틱 카드는 데이터 유출, 카드 복제를 비롯한 각종 보안 사고로 골머리를 앓고 있다.

개인적인 경험으로 이야기를 시작해보자면, 필자는 지금껏 서너 번 신용 카드를 재발급 받아봤다. 그 중 한 번은 정보 유출로 허위 결제가 이뤄져 재발급한 것이다. 그 사고 이후 지갑 속의 구형 신용 카드보다 안전한 시스템을 찾아야겠다는 마음이 강해졌고, 모바일 지불이라는 새로운 방식에 관심을 가지기 시작했다.

사실 보안 구조의 관점에서, 전통적인 신용 카드는 말 그대로 재앙에 가깝다. 이유는 다음과 같다:
  • - 계정 번호를 서버에 저장한다.
  • - 클라이언트에게 계정 번호가 노출된다.
  • - 데이터의 암호화는 거래 과정에서만 이뤄진다(SSL, TLS 등)
  • - 구매 상점에 고객 번호가 노출된다.
  • - 동일한 지불/계정 번호가 재사용된다.


그러나 이는 빙산의 일각일 뿐이다. 마그네틱 카드는 이 외에도 수많은 문제점들을 안고 있다.

그렇다면, 오늘날 각광받고 있는 마크네틱 카드의 새로운 대체재들은 어떤 특징이 있을까? 대표적인 세 가지 대안을 분석해보자.

1. 모바일 기기 상의 신용카드 리더
스퀘어(Square)로 대표되는 이들 시스템은 편리한 배치를 장점으로 내세우며 중소규모 상점들을 중심으로 인기를 얻어가고 있다. 고객 입장에서도 이점이 있다. 리더(스마트폰 혹은 태블릿)는 단순한 POS 단말기의 역할만을 수행하는 것이 아니다. 대부분의 카드 리더기들은 고객의 신용/직불 카드 정보를 암호화해 관리한다. 암호화된 정보는 솔루션 업체의 서버로 넘어가 해독이 이뤄지기 때문에 결제 현장에서 발생할 수 있는 보안 위협에서 자유롭다.

모바일 기기 상의 신용카드 리더는 현재로서는 가장 활발히 활용되고 있는 대안 결제 시스템이라 할 수 있다. 결제 방식이 간단하고, 기존의 기술(마그네틱 카드)을 지원하는데다, 상대적으로 데이터가 침해될 가능성은 줄어들었기 때문이다.

하지만 모든 위협이 완전히 사라지는 것은 아니다. 암호화 과정이 마련되어 있긴 하지만 고객의 지불 데이터는 결국 서버에 저장되기 때문이다. 공급자의 서버 자체를 공략하는 해킹이 이뤄진다면, 유출은 오히려 대규모로 이뤄질 수도 있다.

평가: 신용 카드의 편리함은 유지하면서 보안 수준을 개선했다. 마다할 이유가 있는가?

2. 유로페이 마스터카드 앤 비자 시스템
EMV(Europay MasterCard and Visa) 카드는 스마트 칩 및/혹은 비접촉(RF 기반) 칩을 내장하고 있다. ‘EMV 시스템은 일반적으로 칩과 PIN’, 혹은 ‘칩과 서명’의 복수 인증을 요구한다. (거래 완료를 위해 PIN을 입력하거나 서명을 남겨야 한다.)

EMV는 보다 계량적인 지불 시스템으로서 미국을 제외한 전세계에 널리 보급되어 있다. 미국 시장에도 2015~2016년 이내에 보급이 이뤄질 계획이다. 오랜 논의의 결과물이다.

해외 출장이 잦은 직업 특성으로 필자는 몇 년 전부터 EMV 카드를 경험할 수 있었다. 처음 사용을 할 때에는 2중 인증 체계가 가져올 보안 역량 개선의 효과에 많은 기대를 했다. 하지만 사용을 계속할수록 한계 역시 눈에 띄었다. EMV 카드의 보안 역량은 분명 전통적인 신용 카드보다는 뛰어나다. 그러나 이 카드들에도 마그네틱 선은 여전히 존재한다. 호환성의 문제 때문이다. 이로 인해 결제 지점에서 정보가 유출될 가능성은 여전히 남아있게 된다.

칩 자체에도 문제가 존재한다. 사용자의 계정 번호를 POS 단말기에 보여준다는 부분이다. POS 자체를 공략한 해킹 시도에 관하여는 여전히 취약점이 존재하는 것이다. PIN 번호 역시 정적 대상이기에 유출은 얼마든지 가능하다. 필자가 지난 해 싱가포르에서 겪은 피해도 이런 이유로 발생한 것이었다.

평가: 마그네틱 카드보다는 분명히 우월하지만, 이 역시 완벽하진 않다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.