2016년 더 많은 사람이 모바일, 간편 결제를 이용할 것이고, 관련해 보안 위협도 증가할 것이다.
 
2015년 간편/모바일 결제 시장에 대한 관심은 상당했다. 현재 시장에 나와 있는 간편/모바일 결제 수단은 NFC, 블루투스, QR코드, 모바일 앱, 모바일 지갑(Wallet) 등 다양하다. 사용자에게 익숙한 서비스 브랜드는 애플페이, 삼성페이, 카카오페이, 신세계페이, 알리페이 등이 있다.
 
올 해는 더 많은 '~ 페이'가 등장할 것이다. 마치 여러 회사가 각자 다른 혜택을 제공하는 신용카드로 시장에서 대결하듯이, 간편/모바일 결제도 다양한 수단 간 경쟁이 일어날 것이다. 소비자 입장에서 경쟁이 심화할 수록 혜택이 커진다.
 
문제는 간편/모바일 결제가 인기를 끌수록 이를 노리는 해커의 수도 많아질 것이란 '사실’이다. 금융 거래를 뚫고 들어가기는 쉽지 않다. 해커는 늘 그렇듯이 약한 고리를 찾는다. 결제는 여러 과정을 거친다. 가령 신용카드로 결제하면 해당 트랜잭션은 POS, VAN, 은행을 거치는 긴 여정에 오른다. 이 중 어느 한 곳에 보안 허점이 존재한다면? 대표적은 위협 유형은 모바일 맬웨어 배포, 루팅된 스마트 장치를 노리는 공격, 결제 관련 앱의 보안 허점 이용, 내부자에 의한 데이터 유출을 꼽을 수 있다.
 
간 편/모바일 결제의 위험성은 관련 기관에서도 주목하고 있다. 금융보안원에서 2016년 1월 발표한 주요 간편 결제 서비스 보안성 비교 분석 보고서를 보면 이런 우려가 눈에 띈다. 결제 서비스 제공 업체들은 다들 안전하다 말을 한다. 장치 업체들도 똑같은 소리를 한다. 하지만 일반 소비자 측면에서 이 말을 100% 믿기 좀 그렇다. 그렇다면 보안 업계 관계자 측면에서 접근한다면 어떻게 소비자의 신뢰를 얻을 것인가? 복잡하게 생각할 것 없다. 글로벌하게 통하는 보안 가이드라인을 만족시키면 된다.
 
대표적인 예가 'The PCI Mobile Payment Acceptance Security Guideline for Merchnants as End-User’이다. 이 가이드라인은 사용자 끝단에서 쓰이는 결제 관련 다양한 장치와 수단을 따라야 하는 최소한의 보안 방안을 소개하고 있다.
 
이 가이드라인이 강조하는 내용은 간단명료하다. 간편/모바일 결제의 안전을 보장하려면 생태계 전반에 걸쳐 보안 체제를 구축해야 한다는 것이다. 일례로 결제가 이루어지는 매장이나 식당, 카드사, 은행 등 트랜잭션이 이어지는 모든 곳에서 암호화가 이루어져야 한다. 이를 위해 PED(PIN-entry Device), EPP(Encrypting PIN PAD)를 써야 한다. EPP가 아닌 다른 결제 수단을 쓰려면 PCI PTS POI(PIN Transaction Security - Point of Interaction) 인증 장치를 선택하면 된다.
 
PCI DSS 가이드라인은 신용 카드 업계에서 오랜 기간 다듬어진 완성도 높은 표준이다. 이 표준안이 간편/모바일 결제 부문에 대해 제시하는 가이드라인 역시 그 수준이 높다. 각자의 보안 체제를 높이는 것도 필요하지만 생태계 차원에서 따를 기준을 잘 지키는 것이 더 중요하다고 생각한다.
 
모쪼록 올해는 서비스 편의성만 강조하지 말고 안전을 홍보하는 그런 서비스가 더 많아지길 기대한다.
 
참고로 가이드라인 원문은 다음 링크를 참조 바란다.
-www.pcisecuritystandards.org/_v1.pdf
 
[글. 박종필 젬알토 IDP 이사 kevin.park@safenet-inc.com]