10여년 전부터 온라인 간편결제 서비스를 선보인 페이팔과 알리페이는 글로벌 결제 시장에서 1, 2위를 다투는 기업들로 성장했다.
국내서 카카오페이, 페이나우 등 새로운 간편결제가 논의되고 있는 시점에서 이 회사들의 성공모델을 보안관점에서 살펴봤다. 이들은 어떻게 사용자들에게 안전하다는 보장을 해 줄 수 있었을까.
21일 국내 보안업계에 따르면 페이팔, 알리페이는 부정거래나 결제사기가 발생했을 때 선조치, 후조사를 기본 원칙으로 한다.
해외에서는 신용카드 관련 정보를 훔친 뒤 이 정보를 마그네틱 부분에 담은 가짜 카드를 통한 결제사기가 빈번하다. 사용자 신용정보번호, 유효기간, CVC 등 정보를 유출시킨 뒤 이 정보를 입력한 가짜 카드를 만들어 실제 결제에 악용하는 것이다. 국내에서도 경찰을 통해 유사 사례가 적발되기도 했다.
미국 대형 유통업체인 타깃에서 사용하는 POS단말기용 시스템에서 유출된 정보 역시 이러한 사기에 악용됐을 것으로 현지 전문가들은 추정하고 있다.
이밖에도 훔친 카드로 결제가 이뤄지거나, 한 개 IP에서 여러 개 서로 다른 카드가 필요 이상으로 많이 결제되는 경우, 해킹을 통한 온라인 결제사기 등이 심심찮게 벌어진다.
■선조치, 후조사가 기본원칙
사고가 발생하면 이들 회사는 분쟁조정 관리인력을 통해 구매자, 판매자 간 중재업무를 수행한다. 페이팔의 경우 전 세계에 약 3천명 가량 분재조정 관리인력을 보유하고 있는 것으로 알려졌다. 소비자들이 피해구제를 받지 못하고 시간이 지체되지 않도록 우선처리한 뒤에 사후 디지털포렌식 등 기법을 활용해 실제 사고 원인을 파악하고 대응방안을 보강하는 방식이다.
페이팔은 소비자와 판매자 사이에 각각 가상계좌를 둔 뒤 이곳에서 입출금이 이뤄진다. 대신 1%~5%의 수수료를 챙긴다. 본인명의 신용카드, 직불카드, 은행계좌 등으로 직접 결제가 되는 것이 아니라 중간에 페이팔이 제공하는 별도 계좌에 돈을 넣어두고 조금씩 출금하는 방식이다. 따라서 사고가 나더라도 자신의 계좌가 직접 탈취될 확률은 상당히 적다. 이 방식은 제3자 지불서비스 혹은 에스크로라고 불린다.
단순히 페이팔ID와 비밀번호만으로 로그인을 한 뒤 결제가 이뤄지지만 뒷단에서 여러가지 보안대책을 마련하고 있는 것이다.
알리페이 역시 에스크로 방식으로 구매자, 판매자 사이 임시계좌를 개설해 송금되는 자금을 일시보관했다가 서로 간 결제 확인을 받았을 경우에만 이체를 실행하는 방식을 사용했다. 이와 함께 가입시에는 이메일 인증, 문자메시지를 통해 본인을 확인하는 휴대폰 인증이 사용되며, 임시계좌에 돈을 예치시킬 때는 휴대폰 인증을 쓴다. 결제를 위해서는 페이팔과 마찬가지로 로그인 과정만 거치면 된다.
■민간 보안 기준 PCI-DSS 필수
두 회사는 2006년부터 비자, 마스터카드, 최근 참여한 유니온페이 등이 만든 신용카드 관련 국제보안 규정인 'PCI-DSS'를 준수하고 있다는 것도 공통점이다. 이를 통해 1년 단위로 주기적으로 보안성을 점검하고, 필요한 조치를 반영한다.
페이팔은 구글, 애플, 페이스북 등과 마찬가지로 자사 서비스에서 보안취약점에 대한 신고 포상제(버그 바운티 제도)를 운영 중이다. 원격코드실행 취약점의 경우 페이팔은 최대 1만달러 상금을 내걸고 있다.
페이팔과 알리페이가 공통적으로 적용한 핵심 보안 기술 중 하나는 이상거래탐지시스템(FDS)이다. 약 10년 넘게 결제 사업을 해왔던 이들 기업도 처음부터 FDS를 도입했었던 것은 아니다.
페이팔의 경우 서비스 도입 초기인 2001년 해커가 페이팔 계정에 침투해 다수 계정에서 소액을 자신의 계좌로 이체하는 사고가 발생했다. 한 달에 10억원꼴의 손해가 지속되고 있었던 상황에서 자체적으로 FDS를 구축했다.
알리페이도 2005년부터 실시간 모니터링을 위해 FDS를 도입하고 있다. 이밖에 기본적인 암호화 기술과 함께 앱을 기반으로 한 일회용 비밀번호(OTP) 서비스를 무료로 제공하고 있다.
금융보안연구원 성재모 본부장에 따르면 국내에서는 오프라인 결제의 경우 FDS를 구축하고 있으나 온라인 결제에 대해서는 준비가 많이 미흡한 상황이다.
성 본부장은 우리는 사고가 나면 경찰이 신고해서 관련 내용에 대한 입증이 돼야 보상해 주는 반면 페이팔, 알리페이 등은 사고가 나면 먼저 자체적인 보험시스템을 통해 보상을 해 준 뒤 필요한 분석업무를 수행한다는 점에서 다르다고 말했다.
■글로벌 간편결제 보안기술, 국내 사용자가 수용할까
이러한 방식이 국내 간편결제 시장에 본격적으로 도입될 수 있을지는 아직 미지수다. 금융보안업계에 따르면 PCI-DSS의 경우 국내 금융권에서 도입한 사례는 찾아보기 힘든 실정이다. 금융감독원측은 가상계좌를 활용한다고 하더라도 ID와 비밀번호만으로 이뤄지는 페이팔과 같은 결제는 보안우려로 도입이 어렵다는 입장이다.
관련기사
- 간편결제 안착을 위한 몇몇 보안 선결조건2014.08.21
- 간편결제가 뜰 수밖에 없는 이유2014.08.21
- 페이게이트, 비자-마스터카드 손잡고 금액인증 재개2014.08.21
- LG유플러스-구글, 간편결제 사업 제휴?2014.08.21
더구나 가상계좌를 통한 에스크로 방식의 거래는 국내 결제 환경에서 이뤄지는 실시간 거래와는 달리 수시간에서 수일까지 결제가 지연될 수 있다. 이 부분을 소비자, 판매자들이 수용할 수 있는가도 고려해야할 문제다.
결제, 보안 업무를 대행해주는 페이팔의 경우 수수료가 너무 비싸다는 얘기도 들린다. 페이팔이 PCI-DSS 규정을 준수하면서, FDS, 에스크로 서비스 등을 구현하는 과정을 고려하면 일종의 사고에 대한 보안비용을 사용자들이 일부 지불하게 되는 셈이다. 국내 소비자들이 수수료를 감내할 수 있을지도 검토 대상이다.
