brunch

You can make anything
by writing

C.S.Lewis

by 최진홍 Mar 03. 2023

삼성페이와 애플페이, 그리고 보안

애플페이가 조만간 한국 시장에 진출할 것으로 알려진 가운데 간편결제 시스템에 대한 관심도 커지고 있다.

삼성페이에 주목할 필요가 있다. 2015년 온오프라인 플랫폼으로 출발했으며 갤럭시 하드웨어 단말기에 탑재된다. 삼성페이의 가장 중요한 중요한 강점은 일반적인 물리 신용카드와 동일한 MST(Magnetic Secure Transmission) 방식은 물론 NFC(Near Field Communication)도 지원한다는 점이다. 독자적인 NFC 기술을 바탕으로 서비스를 지원하고 있다. 최근에는 네이버페이와의 협업으로 온라인 영토도 크게 넓히는 중이다.


다양한 온라인 결제도 가능하며 교통카드 기능도 지원된다. 2021년 업데이트를 통해 단말기의 운영체제와 유심 통신사가 일치하지 않아도 교통카드 기능을 사용할 수 있게 되는 등 점점 유연한 서비스로 발전하고 있다는 평가다.


삼성페이의 보안은 어떨까. 기본적으로는 삼성의 자체 보안 플랫폼인 녹스의 보호를 받는다. 녹스는 실시간으로 하드웨어 단말기의 보안 리스크를 점검하고 혹시 발생할 수 있는 위협에 대응하는 역할을 맡는다. 그 연장선에서 토큰의 이동 과정에서 벌어지는 리스크도 잡아낸다는 방침이다.


현재 삼성페이의 결제 구조는, 결제 시 카드사들이 삼성페이에 일회용 신용카드 번호인 ‘토큰’을 제공하고, 그 토큰과 카드번호가 일치하면 결제가 승인되는 구조를 가지고 있다. 여기서 삼성페이는 카드번호 대신 임의로 부여된 토큰을 암호화시켜 결제 순간에 벌어지는 보안 리스크도 원천봉쇄한다.


알고리즘을 통해 통신망이 잡히지 않는 오프라인 환경에서도 중복 불가능한 다이내믹 코드를 생성하는 센스톤의 OTAC(One-Time Authentication Code) 기반의 OTAC Dynamic PAN이 눈길을 끈다. 고정된 카드 정보 대신 매번 바뀌는 다이내믹한 카드 번호를 제공해 카드 번호 유출로 인한 금융 사고를 미연에 방지할 수 있다는 설명이다.


알고리즘 방식으로 토큰 보안 방식을 뛰어넘는 개념으로 볼 수 있다. 기존 결제 프로세스와 동일하게 발급 및 등록이 가능하며, 서버와의 통신이 제한되어도 사용 가능한 OTAC 결제 토큰이다. 검증 시간 단축으로 운영 비용을 절감하고 편의성을 키우는 한편 보안성을 강화한 것이 특징이다.


한편 최근 삼성전자는 삼성페이의 기능을 확장, 지갑의 경지로 끌어올리고 있는 삼성월렛에도 집중하고 있다. 삼성페이를 기본으로 하지만 보안 인프라 녹스와 시너지를 내며 디지털 키 및 관련된 민감한 정보들을 모두 담을 수 있다. 현재 한국, 중국, 미국 등 21개국에서 운영되는 가운데 최근 호주 및 캐나다 등 8개 나라에도 추가 출시됐다.


조만간 한국 시장으로 진입하는 애플페이는 NFC만 가능하다. 물리적인 신용카드 방식의 MST가 지원되지 않기 때문에 가맹점은 NFC가 지원되는 단말기가 필요하다. 다만 한국의 가맹점 중 NFC가 지원되는 단말기를 보유한 곳은 10%에 불과하다. 그런 이유로 현대카드를 중심으로 애플페이와 협력하는 국내 카드사들이 가맹점에 '애플을 위한 NFC 단말기'를 무상공급하는 방안을 추진하는 중이다.


시장에서는 애플페이의 파트너인 현대카드 행보에 주목하고 있다. 현재 현대카드는 신용카드 업계 톱3에 안착했으나 그 이상의 추가적인 도약에는 시간이 필요하다는 분석이다. 이 대목에서 현대카드는 비록 독점계약은 아니더라도 애플페이와 제일 먼저 손을 잡은 다음 국내 간편결제 시장에서 판을 흔들 전망이다.


무엇보다 애플페이는 MZ세대에게 큰 인기를 끌고있는 아이폰 서비스다. 물론 MZ세대들이 애플페이가 지원된다는 이유만으로 아이폰을 구매할 가능성은 낮지만, 기존 아이폰을 쓰는 MZ세대들이 자연스럽게 애플페이를 사용하게 되며 강력한 애플 생태계가 구축될 가능성은 높다. 나아가 MZ세대들이 애플페이를 통해 생애 첫 신용카드로 현대카드를 선택하게 되는 일도 많아질 전망이다. 현대카드와 애플페이가 당장 신용카드 및 간편결제 시장을 흔들 수 없어도, 장기적 관점에서는 결제 관련 데이터 및 생태계 전략 측면에서 노림수가 많아 보인다.


애플페이 구동방식은 CVV 키와 지불 토큰 등 활용해 결제 정보를 암호로 만든 다음 DAN과 금액 등의 추가 정보를 추가 생성하며 시작된다. 이 데이터가 카드사를 통해 결제 네트워크로 이동하며 토큰이 만들어진다. 이 정보가 식별된 후에도 몇 차례의 정보 이동이 더 벌어진 후 결제가 완료된다.  


이처럼 애플페이의 보안 인프라는 매우 강력한 것으로 정평이 났다. 애플 하드웨어 단말기에서 페이스ID 등을 필수로 생성해야 하며 애플페이의 결제정보는 사용자의 기기는 물론 애플 서버에도 보관되지 않는다. 심지어 가맹점, 즉 판매자도 애플페이로 결제하는 소비자의 최소정보만 받도록 되어 있어 보안 인프라에 대해서는 '최강'이라는 평가를 받는다.


최근 애플이 미국 등에서 선구매 후불제 서비스인 애플페이 레이터를 서비스하고 있다는 외신이 나오고 있다. 애플페이, 나아가 애플월렛 등을 통해 결제 인프라에서 존재감을 키우는 애플의 핀테크 영토가 점점 넓어지고 있다는 평가다.


다만 한국에서 서비스되는 애플페이의 보안과 관련해 별도로 눈여겨 볼 대목은 존재한다. 바로 결제정보의 보관이다. 국내에서 발생하는 모든 결제정보는 국내에 보관하는 것이 원칙이지만, 애플은 이를 거부했기 때문이다. 비자·마스터 등 국제 브랜드 카드사가 제공하는 토큰을 기반으로 결제한 후 카드 결제 승인을 위해 국내 사용자의 개인 신용카드 번호와 CVC 값, 가맹점 결제 정보를 국제 브랜드 카드사로 이관하는 방식을 고집하고 있다. 금융위원회가 최초 애플페이의 한국 시장 진출에 미온적이었던 이유였다. 다만 이 문제는 애플의 제안을 금융위가 수용하는 선에서 정리되고 있다.


한편 간편결제는 삼성페이와 애플페이만 존재하는 것은 아니다. 네이버페이 및 카카오페이, NHN 페이코 등도 활발하게 움직이고 있다. 다만 이들은 오프라인 결제 환경이 아닌, 온라인 중심의 간편결제 시스템을 지향한다. 별도의 오프라인 신용카드를 금융사들과의 협력으로 판매하기도 하지만 기본적으로 서비스 플랫폼과 연동되어 움직이는 중이다.


해당 포스팅은 센스톤으로부터 소정의 원고료를 지급받아 작성하였습니다.


브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari