• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

LG유플러스의 간편결제 서비스 보안강화사례 2015.02.03

사용자, 간편함과 보안성을 갖춘 인증수단 원해

보안대책 없는 간편결제·핀테크는 사상누각


[보안뉴스 김태형] 올해 초부터 금융과 정보기술이 융합된 ‘핀테크’가 급부상하고 있는 가운데 간편결제 시장에 기존 금융기관 외에 이동통신사와 인터넷서비스 기업들이 잇달아 진출하면서 활기를 띠고 있다.

▲ 간편결제 페이나우 서비스에 적용된 그래픽인증은 매번
   위치와 내용이 바뀌는 이미지를 조합해 본인인증을 하는
   지능형 인증 방식으로 보안성관 편리성을 갖춘 인증수단
   이다.

LG유플러스가 지난해 8월 간편결제 서비스 페이나우를 출시했고 다음카카오는 지난해 9월 뱅크월렛카카오와 카카오페이 등으로 모바일 결제시장에 진출했다. 또한 네이버도 일본에서 먼저 라인페이를 선보였으며 국내시장에는 올 상반기 중에 선보일 예정이다. 전자결제업체 KG이니시스도 간편결제 서비스인 케이페이에 휴대폰 결제를 추가하는 등 간편결제 시장이 점차 확대되고 있다.


여기에 SK텔레콤은 자회사인 SK플래닛을 통해 실시간계좌이체 서비스 앱인 ‘페이핀’을 제공하고 있으며 KT도 계열사인 BC카드를 통해 올해 모바일 간편결제 서비스시장 진출을 모색 중인 것으로 알려져 경쟁은 더욱 치열해지고 있는 양상이다.


하지만 간편결제 서비스가 편리성이 향상된 만큼 보안성도 강화되어야 핀테크가 활성화될 수 있다. 보안대책 없는 핀테크는 사상누각이나 다름 없기 때문이다.


하지만 LG유플러스가 지난해 출시한 간편결제 서비스 페이나우는 설치 뒤 한번만 결제정보를 등록하면 모바일과 PC에서 손쉽게 결제할 수 있으며, 보안성이 강화된 다양한 본인인증수단을 제공해 이용자가 스스로 선택하도록 했다는 점에서 차별화된다.


이에 대해 LG유플러스 간편결제 서비스 담당자는 “지난 2010년을 전후로 간편결제 서비스 붐이 일어났었다. 하지만 카드번호를 저장하지 않아야 하고 30만원 이상 결제시 공인인증서가 필요하다는 점 등 여러 가지 규제와 불편함으로 인해 대부분의 카드사에서 참여하지 않아 활성화되지 않았다”고 말했다.


이어서 그는 “그러다가 지난해 드라마 ‘별에서 온 그대’의 천송이 코트 구매가 외국인들에게 어렵다는 문제 제기 등으로 정부에서 액티브X와 공인인증서 없는 결제서비스 구현을 위해 규제를 완화하면서 최근 들어 간편결제 시장이 다시 주목받고 있다”면서 “특히 온라인 거래시 결제에 필요한 사전 인증을 다 없애도록 하면서 규제가 많이 완화됐지만 이에 대한 철저한 보안대책 없이 진행되는 간편결제 서비스는 문제가 있다는 지적에도 공감한다. 하지만 일단 서비스를 시작하면서 문제를 보완해가는 것이 맞다고 생각한다”고 덧붙였다.


온라인과 모바일 결제 시 간편하고 안전한 새로운 결제 시스템이 요구되고 있는 상황에서 페이나우는 액티브X나 공인인증서 없이도 애플리케이션을 설치하고 처음 1회만 결제정보를 등록하면 추가절차 없이 모바일과 PC에서 손쉽고 빠르게 결제할 수 있다는 것이 특징이다.


이와 관련 LG유플러스 담당자는 “페이나우는 강력한 보안성을 갖춘 본인 인증수단을 대거 적용해 대포폰 불법결제 등을 원천 차단할 수 있도록 했다. 이러한 인증 수단에는 △그래픽 본인 인증방식 △ARS 본인 인증방식 △패스워드 본인 인증방식 △안전패턴 본인 인증방식 △mOTP(mobile One Time Password) 본인 인증방식 등으로 이용자가 원하는 인증수단을 선택할 수 있게 했다”고 말했다.


이처럼 다양한 인증수단 중에서 지난해 10월부터 페이나우에 적용된 그래픽인증 방식은 사용자들이 아주 쉽고 안전하게 이용할 수 있다는 것이 특징이다.


이와 관련 그래픽인증 업체 디멘터 관계자는 “그래픽인증은 매번 위치와 내용이 바뀌는 이미지를 조합해 본인인증을 하는 지능형 인증 방식으로, 기존에 정형화된 숫자나 문자 중심의 비밀번호 방식에 비해 강력한 보안성이 특징이다. 매번 바뀌는 이미지의 순차적 조합방식이기 때문에 이론적으로 해킹을 비롯한 보안사고가 일어날 확률이 매우 희박하다”고 강조했다.


또한 그는 “이는 이용자가 사전에 설정한 4개의 그래픽 이미지를 순서대로 드래그&드롭(Drag&Drop) 방식으로 조합해야 인증이 되며, 매번 바뀌는 이미지 중에서 본인이 지정한 4개의 이미지가 없다면 비정상 사이트로 판단한다. 이렇게 되면 이 사이트는 가짜이므로 이용자들은 피싱·파밍 위험을 원천적으로 차단할 수 있다”고 덧붙였다.


LG유플러스 담당자는 “간편결제에서의 그래픽인증이 아직 사용자들에게 좀 낯설긴 하지만 사용방법만 알면 더욱 간편하고 안전하게 사용할 수 있다. 간편결제시 그래픽인증 도입은 아직 시작단계이지만 이처럼 편리성과 보안성을 함께 제공하면 사용자들에게 만족도를 높일 수 있다. 현재 페이나우 서비스의 그래픽인증은 이용자 만족도가 높은 편”이라고 말했다.


한편 페이나우에서 그래픽인증을 사용하려면 처음 앱을 설치하고 시작할 때 그래픽인증을 선택하거나 다른 인증을 사용하고 있다면 앱 설정에서 로그인 인증방식을 변경하면 된다. 그래픽인증 이외에도 LG유플러스가 특허를 보유하고 있는 안전패턴 방식 등을 이용자가 직접 선택할 수 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>