소비자 입장에서는 굉장히 편리한 결제 방식으로 각광

HCE와 SF라는 양 갈래길, 아직은 어느 쪽으로도 치우침 없어

[보안뉴스 문가용] 지불 및 결제 문화가 빠르게 변하고 있고, 더 빠르게 변할 예정이다. 핸드폰은 이제 전화기를 넘어 컴퓨터가 되더니 이제는 우리의 지갑이 되려고 한다. 이미 핸드폰 결제 건수가 하루에 수백만에서 수천만 단위까지 이르고 있고 이는 단순히 인터넷 쇼핑 뿐 아니라 고지서를 내고 주식에 투자하는 것까지 아우르고 있다. 이런 현상은 앞으로 더욱 늘어나면 늘어났지 결코 줄어들진 않을 것이다.

이런 모바일 기기의 지갑화를 부추기는 건 ‘비접속’이라는 기술, 즉 NFC(Near Field Communications)의 개발 및 발전이다. 카드를 긁거나 비밀번호를 입력하는 등의 불편함을 제거하기 때문이다. 그러므로 훨씬 빠르고 암호를 기억해내느라 미간을 찌푸릴 일도 없다. 최근 영국에서는 이런 NFC 기술을 몇몇 은행에서 도입해 HCE(Host Card Emulation)라는 걸 개발해 발표하기도 했다. HCE란 NFC를 사용하는 소프트웨어 테크놀로지로 간단하고 배포에 드는 비용도 무척 낮다.

하지만 아무리 편하다고 해도 새로운 결제 기술이 등장할 때마다 보안 및 안전 문제를 생각하지 않을 수 없다. 신용카드가 처음 나왔을 때도 사람들은 한 동안 현금을 고집했었다. 이 결제 기술은 여태까지 신기술들이 다 그랬듯 해커들에게 더 많은 기회를 제공하지는 않을까?

NFC로 결제하는 건 위에서도 말했듯 굉장히 편하다. 결제 터미널 몇 센티미터 앞에서 NFC가 활성화된 기기를 가져가기만 하면 된다. 그러면 거래가 완료된다. 그 이면에는 물론 여러 가지 인증 절차와 보안 확인 작업이 처리된다. 여기에 사용되는 특별한 하드웨어가 있는데 바로 SE(Secure Element)라는 칩이다. 이 칩은 크립토그래피 작업을 해서 민감한 정보를 안전한 환경 속에 저장해두는 역할을 담당한다.

그러다가 구글 안드로이드 4.4, 이른바 킷캣이 등장하면서 HCE가 더 빠르게 확산되었다. 구글이 킷캣에서 SE 칩 없이 HCE가 활성화되도록 한 것이다. 지불 및 결제 시장 종사자들은 이를 두고 NFC를 빠르게 대중화시키면서 또한 여태까지 모바일 거래의 문지기나 다름없었던 통신사들을 간편하게 우회할 수 있는 방법이라고 평한다. 결국 속도를 위해 안정성을 어느 정도 버렸다는 이야기인데, 글쎄, 이게 과연 괜찮은 ‘흥정’이었는지는 잘 모르겠다.

HCE의 문제

HCE의 가장 큰 약점은 ‘소프트웨어’에 기반된 솔루션이라는 것이다. 그러므로 해킹에 태생적인 약점을 가지고 있다. 게다가 흔히 일어나는 모바일 기기의 루팅과 맞물리면 이는 어마어마한 정보 유출에 기여하게 된다. 그렇다고 HCE 자체를 부정한다는 건 구더기 무서워 장 못 담그는 꼴이다. 어떻게 해야 이 강력하고 발칙한 신기술을 안전하게 계속 사용할 수 있을까?

안타깝지만, 그리고 식상하지만, 모바일 세상에서 이뤄지는 거래와 그 보안성에 대한 답은 딱 하나일 수가 없다. 하지만 이런 고민의 출발은 ‘좋은 보안’에 대한 질문으로부터 시작해야 한다. 즉, 과연 사용자 ID와 암호 조합이 좋은 보안의 요건을 만족시키는가,를 물어야 한다는 것이다. 답은 당연히 ‘아니다’이다. 좋은 보안에 필요한 건 실시간으로 작동하며 다중의 요소들을 가진, 다층성 구조를 가졌으면서도 사용자가 불편을 느끼지 않는 그 무언가다. 비접촉 NFC로 하는 결제 기술은 SE이든 HCE든 실시간으로 확인이 가능한, 프라이버시를 침해하지 않는 위치추적 기술을 갖춰 지금 결제를 실행하고 있는 사람이 진짜 주인인지를 점검해주는 보안기술과 합해져야 하고, 충분히 가능하다.

위에 열거한 것보다 더 많은 요소가 개인 인증에 필요하다고 한다면 목소리라는 요소를 첨가할 수 있다. 이 역시 모바일 기기로 제공 및 생성이 가능하고 아마도 최고 수준의 인증 수단일지도 모른다. 게다가 모바일 기기에서의 사용도 간편하다. 이런 보안 장치가 마련되어 있다면 거래가 거절되는 경우 발동하는 감사 추적의 결과 역시 대단히 신뢰할 수 있게 된다. 감사 추적 결과의 신뢰문제는 지불 및 결제 산업에서 소비자에게나 서비스 제공자에게나 골칫거리인데, 이것 역시 자연스레 해결될 수 있는 것이다.

보이지 않는 보안

이런 철저한 이중, 삼중의 보안 장치는 무엇을 뜻하는가? 거래에서의 보안은 시작점에서만 지키는 것이 아니라 최종 승인 단계에까지 이루어져야 한다는 것이다. 그리고 이런 구조를 완성시키려면 신뢰할 수 있는, 그러나 등록 과정이 어렵지 않은 기기가 뒷받침 되어야 한다. 그래야 이렇게 ‘보이지 않는 보안’ 작업을 마음 놓고 맡기고 그 편리함만을 즐길 수 있는 것이다.

현재 시장에서는 SE 기반의 NFC 기술과 HCE 기반의 NFC 기술이 모두 활발하게 연구되고 있다. NFC 기반의 지불 문화가 정착된다고 했을 때 어느 쪽이 우위에 설 것인가 예측하는 게 지금으로서는 힘들다. 경쟁이 치열할 것은 분명하다. 소비자 입장에서 이 둘은 크게 다르지 않다. 하지만 둘의 ‘보안 처리 과정’은 확연하게 다르다. 어느 쪽이 더 우수한 보안성을 가지고 있느냐의 문제와 함께 어느 쪽이 더 소비자의 편리성을 추구하는가도 승자를 결정하는 중요한 요인이 될 것으로 보인다.

이제 막 떠오르려고 하는 신기술에 대한 우려와 예견, 그에 대한 바람은 누구나 가질 수 있는 것이지만 그것이 혁신의 장애가 되어서는 안 된다. 결국 여러 시행착오의 시간을 거쳐 간편하면서도 안전한 결제 방법은 분명히 탄생할 것이다. 그러나 그 시행착오가 여태까지 그러했듯 소비자의 희생으로 귀결되어서는 안 된다. 기술적으로 이를 막을 방법이 없다면 제도의 변화나 법의 힘으로 방법을 모색할 수도 있을 것이다. 각종 유출 사고가 헤드라인이 되는 때에, 권력을 가진 자들이 적극적으로 나서야 할 차례인지도 모르겠다. 특히 신기술의 정착과 대중화에 ‘정치력’이 중요한 요소가 된다는 점을 감안하면 더더욱 그렇다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>