미국 유통업체인 타깃이 관리하는 POS시스템으로부터 수천만건 이상 고객정보가 유출되면서 신용카드, 현금카드 등에 대한 정보의 중요성이 날로 부각되고 있다. 더구나 최근 들어 카드정보를 스마트폰에 저장해 활용하는 결제방식이 등장하면서 정보가 유출됐을 때 몰래 결제가 이뤄질 수 있는 위험성은 더 높아졌다.
이런 와중에 페이팔에 인수된 결제 플랫폼 구축 및 운영회사인 브레인트리는 온라인 혹은 모바일 결제에 도움이 될 만한 보안방식들을 소개했다.
관련 내용을 다룬 테크크런치에 따르면 가장 먼저 검토할 것은 '결제카드산업 데이터보안표준(PIC-DSS)'이다. 국내서도 지난해 카드사 정보유출사고 발생 뒤 금융당국은 PCI-DSS를 적극적으로 수용할 것을 권고했다.
2006년 비자, 마스터카드, 아메리칸익스프레스, 디스커버, JCB 등 글로벌 결제 네트워크가 만든 PCI-DSS는 해외 결제 환경에서 가장 많이 활용하고 있는 보안기준 중 하나다.
이 중 최근 발표된 'PCI3.0'은 웹브라우저 기반 카드 사용자의 정보를 담은 데이터 스토리지를 반드시 아웃소싱하라고 권하고 있다. 카드 정보를 믿고 맡길 수 있는 별도 업체를 통해 수행토록해 유출위험을 줄여야한다는 설명이다.
브레인트리측은 "(자사를 포함해) 이러한 아웃소싱을 제공하는 사업자들이 사용자 경험을 방해하지 않으면서도 적당한 수준의 보안성을 유지해야한다"고 밝혔다.
두번째로는 결제 게이트웨이에 대한 안전성을 확보하는 일이다. 오프라인에 POS단말기가 있다면 온라인에서는 결제 게이트웨이가 신용카드 정보를 송수신하고 관리하는 역할을 한다.
시장조사업체 너드월렛 소속 신용카드 전문가인 션 맥케이는 "판매자들은 결제 게이트웨어 대해 매우 신중하게 생각할 필요가 있다"며 "그들이 소비자들에게 원하는 수준의 보안성을 제공할 수 있도록 해야한다"고 강조했다. 이를 위해 그는 결제 게이트웨이에 '포인트투포인트암호화(P2PE)'를 적용해 또 다른 보안계층을 제공할 수 있도록 해야한다고 설명했다.
관련기사
- 삼성페이-애플페이, 핵심 보안기술 '토큰화'2015.11.24
- 비자, 애플페이 유럽 진출 길닦나2015.11.24
- 신용카드 결제 정보만으로 신원확인한다2015.11.24
- 세이프넷 "핀테크-IoT 보안 키워드는 키관리"2015.11.24
온라인 결제 방식을 선택할 때 고려해야할 많은 사항들이 있다. 특히 판매자 입장에서 편하다는 이유로 턴키 솔루션을 사용하게 되면 거래 프로세스의 사용자경험(UX)을 놓치고, 기존 구매자들이 이탈하는 악영향을 미칠 수도 있다는 점을 주의해야한다는 것이다.
이밖에도 삼성페이나 애플페이 등에도 적용된 토큰화(Tokenization) 기술도 보안성을 높이는 수단이다. 해외에서는 유로페이, 마스터카드, 비자가 공동개발한 'EMV'라는 IC칩을 활용해 암호화된 거래데이터를 전송하고 거래를 위한 고유코드를 생성한다. 글로벌 환경에서는 이러한 칩이 탑재된 EMV카드와 토큰화 기술을 조합시켰다. 버스토큰처럼 실제 돈을 대신하는 별도의 식별값을 암호화해 송수신하는 방법으로 카드정보가 유출되지 않도록 관리한다는 설명이다.
