• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

EMV로 체제 전환한 미국 보고 미리 배울 수 있는 것들 2015.10.12

EMV 도입 늦게 시작한 미국, 현재 카드 관련 사기 증가 중
EMV, 복제 사기엔 강력하나 무카드 사기엔 여전히 취약

[보안뉴스 문가용] 카드 산업 표준을 담당하고 있는 EMVCo.에 의하면 EMV를 도입한 가장 최후의 국가는 바로 미국이다. 나라가 커서 그런지 사람이 많아서 그런지 말도 많고 탈도 많아 지지부진 진행되긴 했지만 아무튼 여기까지 오긴 했다. 미국은 10월 1일부로 공식 EMV 체제 국가가 되었다.

왜 그렇게 오래 걸렸나? 일단 미국 금융가, 특히 은행들의 보안이 지나치게 잘 되어 있다는 것이 한 요인이다. 보안이 얼마나 훌륭한지 데이터 분석을 통해 수상한 행동 패턴을 파악하는 데에 도가 틀대로 텄다. 이렇게 좋은 시스템이 EMV가 도입되면 완전히 바뀌어야 하는데, 아깝기도 하고 그럴 대의명분이 부족했기 때문이다. 그렇기에 급작스런 변화보다 점진적이고 느린 변화밖에 있을 수가 없었다. 그나마도 주 별로 자치권이 강력한 상황이라서 이런 느린 변화라도 가능했다. 다만 EMV로 완전히 넘어가는 과도기 기간 동안 미국 전역은 금융 사기의 천국이 되어버렸다는 부작용은 있었다.

EMV로 굳이 변환했어야 했나? 금융사기 및 카드 복제를 막기 위해서는 EMV가 이전 자기 띠 방식보다 효과적이다. 자기 띠 형식의 카드는 복제가 쉬울 뿐 아니라 대량 생산도 간단하다. 그에 반해 칩 카드를 쓰는 EMV 방식은 복제가 원천적으로 불가능에 가깝다. EMV 카드를 가짜로 만들어 자기 띠 방식인 것처럼 꾸민다고 해도 EMV 기능이 호환되는 POS 단말에서 막혀버린다. EMV를 도입했을 때 칩에 들어있는 정보를 소비자가 제공하지 못하면 거래가 성립되지 않는다.

이는 대단한 발전이고 긍정적인 사항이다. 그러나 그렇다고 해서 EMV가 궁극의 해결책이 아니라는 점에서는 자기 띠와 크게 다르지 않다. EMV로는 무카드 거래 사기 혹은 CNP(card not present) 사기를 막을 수가 없다. 실제로 EMV를 일찍 도입한 국가들에서는 무카드 거래 사기가 카드 사기의 대부분을 차지하고 있기도 하다. 게다가 EMV라는 체제로 전환한다는 것 자체가 이미 취약점인데, 이게 하루아침에 뚝딱 해결되는 게 아니라는 것도 커다란 문제다. 심지어 ATM 기기들을 바꾸려면 적어도 수년 걸릴 것으로 보고 있다. 사기가 횡행할 기간이 수년이나 될 것이라는 뜻.

그렇다면 EMV가 완전히 도입될 때까지 눈 뜨고 코 베임 당하더라도 그대로 있어야 하는가? 그렇지 않다. 우리가 할 수 있는 일을 몇 가지 열거해보면 다음과 같다.

* 종단간 암호화 : POS에서부터 금융기관 및 처리기관의 방화벽까지 전송되는 모든 정보를 암호화한다.

* 토큰화 : 카드 번호의 값어치를 떨어트리는 기술이다. 카드와 연동되어 있는 실제 계정의 번호가 다른 값으로 전환되어서 저장된다면 누군가 훔쳐가도 별 소용이 없게 된다. 카드 번호를 노리는 범죄를 억제할 수 있다. 애플페이가 이 기능을 사용하고 있다.

* 지불시장의 표준(PCI DSS와 같은) 지키기 : 지불시장의 표준을 지킬 때 가장 큰 이점은 카드 관련 정보가 실제 그 모양 그대로 저장되지 않는다는 것이다. 이는 점점 표준을 지키느냐 마느냐에서부터 보안의 기본 개념으로 확장되고 있다.


* 인증 기술 추가 도입 : 인증 기술이 갈수록 다양해지고 있다. 안면, 지문을 활용한 생체 인식이 특히 대세로 떠오르고 있으며 암호를 두 개 사용한다던지 기기 자체를 인증하는 등의 방법이 주로 사용된다. 인증 기술을 몇 가지 깔아놓아도 보안이 업그레이드 된다.

* 사기 감지 기술 : 인증 기술과 마찬가지로 여러 사기 감지 기술도 늘어나고 있다. 데이터 분석을 통한 감지, 카드의 CVV 값을 통한 방지 등 깊이와 다양성 모두에서 발전이 빠른 분야다.

이러니 저러니 말도 많고 탈도 많았지만 미국에선 결국 10월 1일부터 EMV 방식이 도입되었다. 그래서 이제 모든 거래가 EMV 카드로도 이루어질 수 있어야 한다. 기업들 입장에선 새로운 사기 수법의 등장에 대처하기 위해 눈에 불을 켜야 할 것이다. 이게 얼핏 들으면 당연한 거 같은데 사실 그렇지 않다. 지금과 같은 과도기에 혼란이 야기되는 중요한 이유이기도 하다.

왜 그런가 하면, 예전엔 위조 카드로 인한 피해를 은행에서 보장해주었기 때문이다. 가짜인 걸 못 알아보고 거래를 승인한 책임이 은행에 있다는 정서가 밑바탕에 깔려 있었다. 하지만 10월부터 위조 카드로 인한 카드 사기 범죄가 발생했을 때 가장 먼저 책임을 져야 할 것은 EMV가 도입되지 않은 기업이 된다. 이제 가짜인 걸 발견해 낼 준비를 갖추지 않은 것에 대한 책임을 묻기 시작할 예정이라는 뜻. (예외가 있다면 2년간의 유예기간이 추가로 주어진 석유산업) 이런 정서의 변화 역시 혼란을 가중시키고 있다.

게다가 EMV는 현대의 핀테크 및 모바일 결제에도 유연하니 업체로서는 꼭 ‘강제로’ 바꾼다는 생각을 가질 필요는 없어 보인다. 애플페이, 삼성페이, 안드로이드페이로 결제하는 소비자가 늘어나는 때에 이는 뒤떨어지지 않기 위한 한 걸음일 수도 있다.


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>