쿠노소프트 ‘시큐어투키(Secure2Key)’, 실물카드+스마트폰 패턴 인증방식
신용카드 도난·복제로부터 자유로운 ‘거래 전’ 본인인증 기술

[보안뉴스 민세아] 시장조사 전문기업 마크로밀엠브레인이 스마트폰을 사용하는 전국의 만 19세~59세 성인 남녀 1천명을 대상으로 지난 6월부터 8월까지 실시한 설문조사에 따르면 해킹 등의 보안 위험으로 인해 간편결제를 이용하지 않는다는 답변이 대다수를 차지한 것으로 알려졌다.


스마트폰을 이용한 모바일 간편결제 서비스가 상용화되면서 수면위로 떠오르는 문제는 역시나 ‘보안’이다. 아무리 간단하고 편리한 기능이라 하더라도 보안이 뒷받침되지 않으면 아무 소용이 없기 때문.

일반적으로 모바일 간편결제 서비스는 스마트폰에 신용카드의 카드번호, 만료일, CVC값, PIN번호 등의 정보를 입력·저장해 사용한다. 저장된 신용카드 정보를 이용해 가맹점에서 사전에 등록한 PIN번호로 인증한 후, 스마트폰을 단말기에 접촉해 사용한다. 지문인식이나 그래픽 인증을 하는 곳도 있다.

하지만 이러한 일련의 과정들이 모두 스마트폰 안에 저장된 내용을 바탕으로 진행되기 때문에 여전히 해킹에 대한 걱정과 불안까지 잠재울 수는 없다. 만에 하나라도 모바일 간편결제 시스템의 취약점을 이용한 해킹이 발생한다면 사용자들의 금전적인 피해와 개인정보 유출이 불가피하다.

이러한 가운데 최근 실물 카드와 함께 스마트폰 모바일 인증을 동시에 진행해야 결제가 이루어지는 프로그램이 이슈가 되면서 산업계와 해당 분야 관계자들의 이목을 끌고 있다.

‘거래 전 본인확인 기술’을 이용하는 ‘시큐어투키(Secure2Key, 이하 S2K)’가 그 주인공이다. S2K는 핀테크 전문 기업인 쿠노소프트(지앤디 코리아 총판)가 한국전자통신연구원(ETRI)과 공동으로 개발해 기술이전을 받은 프로그램이다.

S2K는 카드사가 사용자에게 거래확인을 요청하는 방식으로, 사용자 확인이 없다면 어떠한 거래도 승인되지 않는다. 기존 거래방식은 가맹점에서 실물(플라스틱) 카드를 카드리더기에 긁어 승인요청을 하면 카드사 및 금융사에서 결제정보를 확인한 후, 승인 결과를 다시 가맹점으로 보내는 방식이다.

S2K 기술을 적용하면 가맹점이 카드사 및 금융사로 보낸 정보를 사용자가 가지고 있는 스마트폰에서 인증하고, 인증된 정보를 카드사에서 가맹점으로 전송한다. 기존의 카드사 및 가맹점 인증 과정에 스마트폰 인증 과정이 추가된 것이다.


S2K는 사용자 입장에서 간편결제 서비스에 비해 결제 인증 방법이 매우 간편하다. 물론 실물 카드가 있어야 오프라인 결제가 가능하지만 굳이 폰에서 앱을 찾아서 누를 필요도 없고, 신용카드를 POS기에서 긁으면 스마트폰에서 자동으로 뜨는 앱에 슬라이드(패턴인증)만 하면 된다.

이로 인해 PIN번호를 외우고 누르기 힘든 노인이나 지문이 없는 경우도 쉽게 결제할 수 있다. 슬라이드뿐만 아니라 원하는 인증패턴을 지정할 수도 있다. 스마트폰으로 인증해야 결제가 완료되기 때문에 신용카드를 분실하거나 신용카드가 복제되더라도 걱정이 없다.

게임머니나 온라인 결제 시에도 이용 가능하다. 인도네시아나 중국의 게임시장이 매우 활성화되어 있는 만큼 게임머니와 관련한 해킹 범죄가 매우 빈번하게 발생하는데, S2K 서비스를 활용해 피해를 최소화할 수 있다. 실물 카드 결제방법과 비슷하게 온라인에서도 로그인 시 게임머니를 충전하거나 아이템 결제시 스마트폰 S2K 앱에서 인증해 최종 결제되도록 하는 방식이다. 뿐만 아니라 은행이체, 증권거래, 보험가입, 대출내역 확인 등의 분야에서도 폭넓게 사용될 수 있을 것으로 예상된다.

일정 시간동안 결제 가능한 횟수도 지정할 수 있다. 사전에 매번 승인하는 것이 불편할 경우 ‘사전 승인허용’ 기능을 이용해 일정 횟수만큼은 인증 없이도 결제가 가능하다.

S2K는 불법 아이디 도용이나 금융사고 등에 사전에 대응하는 방식이다. 부정사용에 대한 피해도 예방할 수 있으며, 본인확인으로 인해 부인방지 효과까지 가능하다. 현재 상용화된 모바일 간편결제 시스템처럼 앱에 신용카드 등의 사용자 정보를 저장하지도 않기 때문에 해킹으로 인한 개인정보 유출의 위협에서도 자유롭다.

기업 입장에서는 매번 SMS 인증이나 ARS 인증을 할 필요가 없어 비용을 절감할 수 있다는 장점이 있다. 기존 금융 단말, POS 시스템 등에 추가적인 변경을 할 필요도 없어 구축이 용이하다. 플러그인 방식으로 고객사의 앱에 탑재되기 때문에 추가 다운로드가 필요없는 것도 장점 중 하나다.

또한 인증을 위해 앱이 실행될 때 앱의 시작화면을 홍보 및 광고페이지로 활용해 추가적인 효과를 얻을 수 있다. 이를 새로운 홍보 채널로 이용해 광고 수익을 창출할 수 있는 것이다. 결제 인증을 할 때마다 자동으로 노출되기 때문에 기존 사이트보다 노출빈도가 잦다.

S2K는 현재 국내 최대 매출 규모를 자랑하는 카드사 두 곳과 인도네시아 유명 게임사 등에 시스템 도입 여부를 논의 중에 있다. S2K는 TTA 소프트웨어시험인증연구소에서 진행하는 기술성능 평가를 통해 GS인증을 획득했고, 지난 7월 ‘제10회 디지털 이노베이션’ 대상을 수상하기도 했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>