• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

핀테크가 대세! 하지만 아직 안심하긴 일러 2015.03.03

기술 발전이 보안 구멍으로 이어지는 건 ‘해이’ 때문

EMV, 강력하긴 하지만 완벽하지도 않고 사용성이 줄어


[보안뉴스 문가용] 작년 한 해가 POS 관련 사고로 시끄럽더니 지불 기술 혹은 핀테크가 연일 화두다. 결국은 보안 때문이다. 그러나 아직까지 완벽한 보안체제가 존재하지 않았듯이 새롭게 나오는 지불 시스템들 역시 그럴 것이라는 전망이 대부분이다. 그렇기에 제1선으로 경계해야 할 것은 ‘이제 안전해’라고 안심하는 마음이다. 지불 기술과 시장의 현 주소를 간략하게 정리해보았다.

 

 ▲ 소야, 안심하다가는 그 접시에 네가 올라온다.

1. EMV는 아직 널리 퍼지지 않았다

기존의 마그네틱 타입 신용카드는 복제가 무척 쉬웠다. 당연히 데이터 복제도 쉬웠고 탈취도 쉬웠다. 그래서 도입된 EMV 혹은 칩앤핀(Chip-and-PIN) 기술은 그렇지 않다. 그래서 유럽은 이미 EMV를 널리 사용하고 있다. 통계에 따르면 99.9% POS 단말기가 EMV와 호환이 된다고 한다. 그러나 그건 유럽의 이야기. 미국만 해도 아직 한참 멀었다. 그래서 미국 전문가들은 이에 대해 대응이 너무 늦었다고 성토한다. 이제와 바꾸기 시작한다 한들 2~4년은 족히 걸릴 거라는 것이다. 가장 큰 이유는 카드발행사와 상가의 이해관계가 서로 다르기 때문이다. 카드사야 보통 사고에 대한 손실을 자기들이 물기 때문에 EMV로 바꾸면 이득이지만 상가들은 단말기를 또 마련해야 하니 손해인 것이다. 온갖 황금빛 발전에 대한 소식들은 현실이 아닐 수 있다. 아직 안심할 때는 아니다.


2, 책임은 누가 지는가?

위에서 카드사가 카드 관련 사기범죄에 대한 책임을 대부분 져왔다고 말했지만, 미국에서는 이게 10월부터 바뀔 예정이다. 이제는 사고 발생 시 보안 상태가 가장 약한 측에서 무조건 책임을 지게 될 전망이다. 카드사는 EMV 칩을 심었는데 상가에서 단말기를 구비하지 못했다면, 카드 사기 사건의 책임은 상가가 지게 된다.


3. 그렇다고 EMV가 만능은 아니다

앞서 말했듯 완벽한 보안체계는 없다. EMV가 아무리 강력하다 한들 언젠가 해커들은 뚫어낼 것이 분명하다. 가장 큰 이유 중 하나는 EMV의 단단함에 기대 보안 전문가들이나 카드사들이 어느 정도 해이해지기 때문이다. 그리고 또 다른 이유는 마그네틱이 EMV로 바뀌는 지금이 과도기라는 사실이다. 즉, 단말기나 카드나 마그네틱과 EMV를 모두 가지고 있는 경우가 많은데, 그렇기 때문에 아무리 EMV 기술을 장착했다 한들 기존 마그네틱 시스템이 가지고 있던 취약점에 고스란히 노출되어 있는 것이다. 그러므로 과도기를 최대한 줄이는 것이 보안에 있어 좋은 방편이 될 수 있다.


4. 다음 목표물은 토큰이 될 것

토큰화라는 것은 결제 진행 시 중요한 정보가 실제로 오가지 않아도 된다는 것이고, 이는 즉 해커들이 정보를 가로채봤자 전혀 소용이 없다는 뜻이다. 다시 말해 정보가 아니라 토큰을 노리면 된다는 것이다. 그러니 앞으로는 토큰을 노리는 해킹이 대다수가 될 것이라는 전망이다.

그렇다면 왜 굳이 토큰화를 해야 하는가? 정보를 훔쳐서 활용하는 것보다 토큰을 훔쳐서 활용하는 게 훨씬 어렵기 때문이다.


5. 애플 페이는 혁신적이다

지난 9월 애플은 아이폰 6과 애플 워치를 발표하면서 애플 페이라는 신개념 지불 방식도 세상에 공개했다. 접촉이 전혀 필요 없는 지불 방식이면서 동시에 토큰화 기술까지 갖추고 있었다. 아이폰 6과 이 개념이 만났을 때 아이폰 기기들은 또 다른 신용카드이자 POS 단말기가 되었다. 이 혁신이 지불 시장에 가져올 변화의 바람이 벌써부터 슬슬 일고 있다. 알리 페이, 삼성 페이가 뒤를 바짝 추격하며(혹은 이미 앞지르며) 추진력을 더해주고 있다.


6. 결국 ‘마찰’이 문젠데...

상가들이 단말기를 바꾸지 않는 이유는 ‘불편’해서다. 애플 페이며 EMV며 새로운 기술이 등장할 때마다 사용자 모두가 얼리 어답터가 되는 게 아니다. 누구는 이름만 듣고도 골치가 아플 수 있다. 그러니 혁신적이면서도 ‘쉬운’ 기술이 앞으로 대세가 될 가능성이 높다. 3D 시큐어(3D Secure)가 좋은 예다. 이미 비자, 마스터카드, 아메리칸 엑스프레스라는 대규모 업체들에 도입된 건 이유가 있다.


3D 시큐어는 카드 없이도 구매를 가능하게 해주는 기술로 사용자는 그저 3D 시큐어 웹 페이지로 들어가 인증만 하면 된다. 이미 유럽에서는 널리 쓰이고 있는 지불 방식이라고 한다. 다만 아마존 같은 경우는 이 방식을 차용할 계획이 없다고 알려져 있다. 3D 시큐어 역시 불편하기 때문이라고 한다.


7. 새로운 툴들은 계속해서 등장한다

애플 페이가 혁신적이라고 소개하며 삼성 페이와 알리 페이를 언급했다. 사용자가 이니셜을 말하는 것 만으로도 구글 플라소(Google Plaso)라는 POS 시스템에 대한 소문도 있다. 지불 시장은 이미 큰 손들이 눈독을 들이고 있는 시장이다. ‘숨겨진 마스터카드(Hidden Mastercard)’라는 것도 있다. 카드처럼 생긴 작은 컴퓨터인데, 여기에다 인증절차를 마치면 카드에서 랜덤으로 1회용 암호가 발급된다. 그리고 이 암호는 전자기띠로 전송되고, 이것으로 물품 구매가 가능해진다. 한번 구매가 완료되면 이 암호는 소멸된다.


또, 내추럴 시큐리티(Natural Security)라는 것도 있다. 바이오인증 기술을 활용하는 지불 기술이다. 그리고 내일, 모레, 다음 주 또 다른 것들이 속속 도착할 것이다. 이중 ‘나’와 맞는 지불 시스템은 뭐가 있을까? EMV로의 변화와 책임소재의 변화가 우리나라에 미칠 영향은 또 무엇일까? 변화의 한 가운데에서 주저앉거나 눌러앉는 건 금물이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>