간편결제 안착을 위한 몇몇 보안 선결조건

그동안 간편결제를 구현하는데 발목을 잡고 있었던 대부분 규제가 풀리면서 관련 업계가 들썩이고 있다.

LG CNS가 스마트폰과 연동한 결제수단인 '엠페이'와 카카오 플랫폼을 연동한 '카카오 페이'를 선보일 계획이라는 소식이 알려진 가운데 이동통신사, 결제대행(PG)사 등도 앞다퉈 간편결제 수단을 내놓고 있다.

사용자 입장에서는 취향에 따라 기존보다 다양하고, 편리한 결제수단을 활용할 수 있게 됐다는 점에서는 환영할만한 일이다. 그러나 기존 액티브X 기반 공인인증서를 활용한 결제방식이 갖고 있었던 것 이상으로 보안성을 강화해야한다는 숙제가 남아있다. 다시 보안 문제를 차분하게 논의할 시점이 된 것이다.

금융감독원, 보안업계, 학계, PG사 등 전문가들에 따르면 간편결제 체계 아래 핵심적인 보안 논의는 온라인 이상거래탐지시스템(FDS) 강화, 땜질식 처방이 아닌 전체 결제 프로세스 상 보안성 강화로 요약된다.

먼저 온라인 상 FDS 강화는 새로운 간편결제 시장에서 필수사항으로 손꼽히고 있다.

기존 신용카드사들이 오프라인 결제 환경에서 주로 적용했던 FDS는 크게 두 가지 방법을 활용한다. 스코어링 기반과 룰 기반 정책이다. PG사 페이게이트 이동산 이사에 따르면 현재 비자카드는 '비자 사이버소스 DM', 마스터카드는 '마스터카드 데이터캐시'라는 서비스를 통해 FDS를 구현하고 있다.

이 중 스코어링은 거래 패턴이 정상적인 거래와 다를 경우 사례에 따라 점수를 매겨 일정 점수가 넘어가면 거래가 이뤄지지 않도록 하는 방식이다. 룰 방식은 예를 들어 70대 할아버지가 새벽에 게임 아이템을 구매한다던가 똑같은 IP로 서로 다른 카드로 결제가 이뤄질 경우 거래 자체를 막는 방법이다.

이와 관련 금감원 IT감독국 IT보안실 관계자는 국내에서 직접 결제를 확인하는 오프라인 거래와 달리 온라인에서 이뤄지는 비대면 거래의 경우 카드사들이 온라인쪽에서도 여러 사고이력 패턴을 분석해서 녹여내는 노력이 이뤄져야 할 것이라고 말했다.

간편결제를 도입한다고 하더라도 당분간 페이팔, 아마존 원클릭과 같은 서비스가 바로 국내에 도입되기는 어려울 것으로 보인다. 보안성 때문이다.

금감원 관계자는 페이팔의 경우에도 비대면 거래를 하는 과정에서 여러 건 사고가 났던 것으로 파악하고 있다며 단순히 ID와 비밀번호를 넣는 방식은 간편결제라고 하더라도 허용하기 어렵다고 잘라 말했다.

페이팔은 보안사고가 날 경우 보험을 통해 사용자들에 대한 피해보상을 수행하고 있다. 미국 등 해외 결제 업체들도 간편결제를 도입하면서 이런 방식을 쓰고 있다. 이밖에 결제가 이뤄지는 시간을 2일~3일로 늦춰 문제가 없는지 확인하는 등 방식이 적용되고 있다. 국내에서도 쉽고 편리한 결제가 도입되면 이런 방식들을 고려해 볼 수 있다.

새로운 간편결제 방식들이 등장하고 있는 시점에서 몇 개 솔루션이 아니라 하나의 프로세스로 보안에 접근해야 한다는 주장도 나오고 있다. 더 큰 그림을 봐야한다는 것이다.

보안회사 좋을 김영혁 상무는 새롭게 도입되는 간편결제가 간편한 것은 맞지만 얼마나 안전한가는 기존 보안 체계와는 달리 전체 시스템을 개선해야 하는 문제라 쉽지 않다며 기존에 카드사, 온라인 쇼핑몰 등 마켓, PG사, 실제 물건을 소비자들에게 전달하는 유통업체 등이 모두 하나의 프로세스를 통해 보안성을 유지하는 방향성을 유지할 필요가 있다고 밝혔다.

김 상무는 이와 함께 에스크로 서비스를 간편결제를 중심으로 신용카드, 계좌이체 등 전반에 도입할 필요가 있다는 의견을 냈다. 에스크로는 페이팔, 알리페이 등이 적용하고 있는 국내 PG사들이 일부 시범도입하고 있는 서비스로 소비자와 판매자 사이에 제3의 기관이 결제금을 예치하고 있다가 소비자가 물건을 받았을 경우에 실제 거래가 성사되도록 하는 방식이다.

기존 계좌이체, 신용카드 결제의 경우 결제를 하는 소비자에 대해서는 인증을 하지만 실제 돈을 받는 상대방에 대한 인증은 이뤄지지 않았다. 예를 들어 온라인 쇼핑몰 사업자를 가장한 해커나 사기범들에게 돈을 송금하는 것을 막기 위해 이러한 방법을 활용할 수 있다는 것이다.