모바일 결제 보안 동향 및 시사점
석지미*․정부연**
7)
1. 개 요
최근 애플이 신제품 출시와 함께 ‘애플페이(Apple pay)’라는 모바일 결제 서비스를 발표했고, 국내에서도 최대의 모바일 메신저 기업인 다음카카오가 모바일 결제 서비 스 ‘카카오 페이’를 출시하면서 모바일 결제 서비스에 대한 관심과 시장 성장에 대한 기대감이 확산되고 있다. 이미 온라인 전문 결제대행업체(PG)들이 존재하고 있는 상 황에서 인터넷플랫폼업체, 통신사, 카드사 등 다수의 기업들이 모바일 결제 서비스 진 출이 지속적으로 증가하는 추세이다.
각 업체들은 시장을 선도하기 위해 경쟁적으로 다양한 방법과 기술을 도입하며 결 제 프로세스를 간소화 하고 있다. 이러한 사용의 편리성이 확대됨에도 불구하고 해킹, 개인정보 유출 등의 보안 위협은 여전히 증가하고 있어서 모바일 결제 시장의 확대에 가장 큰 장애요인으로 작용하고 있다. 따라서 향후 모바일 결제 시장이 활성화되기 위해서는 보안 문제 해결이 가장 핵심적인 요소 중 하나일 것이다.
이에 본 고에서는 모바일 결제 패러다임 변화에 대해 살펴보고 각 주요 업체의 보 안 방법, 국내외 규제 동향 등 모바일 결제 보안 현황에 대해 관련 시사점을 도출하고
* 정보통신정책연구원 정보사회분석실 연구원, (043)531-4266, [email protected]
자 한다.
2. 모바일 결제 패러다임 변화
(1) 모바일 결제 시장 급성장
Gartner(2013. 5)에 따르면 모바일 결제 시장 규모는 2012년 1,631억 달러에서 2017년까지 연평균 35%씩 성장한 7,214억 달러에 육박할 것으로 전망하고 있다.
[그림 1] 전세계 모바일 결제 서비스 시장 규모(결제액 기준)
(단위: 백만 달러)
자료: Gartner(2013. 5. 15)
이와 같이 전세계적으로 모바일 결제 시장이 계속해서 성장하는 추세에 따라 국내 에서도 스마트폰을 이용하는 모바일 뱅킹 이용 건수 비중이 45.5%로, 꾸준히 증가하 는 추세를 보이며 온라인 기반의 결제에서 모바일 기반의 결제로 변화되는 양상을 보 이고 있다.
[그림 2] 인터넷뱅킹 이용실적 구성비
(일평균, 이용건수 기준)
자료: 한국은행(2014. 8. 19)
(2) 결제대행업체(PG) 중심에서 인터넷플랫폼업체로 경쟁 확대
초기의 모바일 결제 시장은 2000년대 초, 중반에 미국과 중국의 최대 전자상거래 업체 사이트인 이베이와 타오바오에 기반을 둔 페이팔(PayPal)과 알리페이(Alipay)와 같은 PG전문업체1)가 시장에 진출해 현재까지 시장을 선도하고 있다.
2010년대 들어서는 2011년 구글의 구글월렛(google wallet)을 비롯하여 2014년 하반 기 출시 발표한 애플의 애플페이(Apple pay)와 국내업체 카카오의 카카오페이(Kakao pay), 상용화를 앞두고 있는 페이스북 등 인터넷플랫폼 업체들이 진출하면서 새로운 강자로 떠오르고 있다. 이와 더불어 이동통신사, 유통업체 등 다양한 업종의 기업이 모바일 결제 시장에 진출했거나 진출할 예정으로 다양한 기업들이 모바일 결제 시장 에서 경쟁하고 있다. 더불어 제공되는 금융서비스 영역도 모바일 결제뿐만 아니라 송 금서비스 및 토털 금융서비스로 확대되고 있다.
1) PG(Payment Gateway): 신용카드 가맹점의 일종으로서 인터넷사업자를 위해 결제업무를 대행하
<표 1> 국내외 기업의 모바일 결제 서비스 진출 현황
업종 업체(서비스명) 주요 내용
플랫폼 해외
구글 구글월렛 전자 지갑 서비스, e메일기반 송금서비스
애플 애플페이 전자 지갑 결제서비스
페이스북 미정 전자화폐 서비스(예정)
텐센트 텐페이 온/오프라인 결제서비스
국내 다음카카오 카카오페이 온라인 결제서비스, 송금서비스
네이버 라인페이 온라인 결제서비스, 충전기능(일본)
통신사
해외 verizon ISIS 온/오프라인 결제서비스
Safaricom M-페샤 온/오프라인 결제서비스 및 전자화폐 서비스 국내
SKT 스마트월렛 전자 지갑 서비스
KT 모카월렛 전자 지갑 서비스
LG U+ 페이나우플러스 온/오프라인 결제서비스
전자 상거래
해외
이베이 페이팔 자사 사이트 내 지급결제 서비스 알리바바 알리페이 자사 사이트 내 지급결제 서비스 및
공과금 결제 서비스, 금융서비스 아마존 아마존페이먼트 자사 사이트 내 지급결제 서비스
국내 - - -
카드사
해외 비자 페이웨이브 온/오프라인 결제 서비스
마스터카드 페이패스 온/오프라인 결제 서비스
국내
하나 SK 카드 모비박스 전자지갑 서비스
신한카드 스마트월렛 전자지갑 서비스
삼성카드 엠(M)포켓 전자지갑 서비스
KB국민카드 와이즈월렛 전자지갑 서비스
자료: 기사 자료 정리
(3) 결제 프로세스 단순화
최근 인터넷 플랫폼업들이 모바일 결제 시장에 진출하면서 가장 대표적으로 내세우 는 강점이 바로 결제 프로세스의 단순화이다. 과거의 모바일 결제 프로세스는 카드정
보를 매번 입력해야하는 번거로움과 공인인증서 실행, 비밀번호 입력 등 결제 프로세 스가 매우 복잡해 사용자의 편리성이 크게 저해되었다. 최근의 플랫폼업체들은 이러 한 모바일 결제의 단점을 해소하고 자사의 서비스를 사용하도록 유도하기 위해 경쟁 적으로 다양한 방식과 기술을 도입하며 결제 프로세스를 간소화 하고 있다. 카카오페 이의 경우 결제수단에서 카카오페이를 선택하고 결제카드 선택 후 결제비밀번호만 입 력하면 결제가 완료되고, 애플페이의 경우 오프라인에서는 NFC 단말에 휴대폰을 근 접시키고, 온라인에서는 등록된 카드를 선택한 후 Touch ID를 이용한 지문 인식 단 계를 거치면 바로 결제가 완료된다.
[그림 3] 모바일 결제 방식 비교
자료: 조선비즈(2014. 9. 15), KISDI 재구성
3. 모바일 결제 보안 현황
(1) 소비자
스마트폰의 대중화로 인하여 모바일 결제 시장 환경은 PC기반의 온라인 위주에서 모바일 기기를 이용해 온라인뿐만 아니라 오프라인까지 시장이 확대되고 있다. 모바 일에서의 데이터 보안은 PC에 비해 더 취약함에도 불구하고 더욱 편리한 모바일 사 용을 더 우선시하는 경향으로 인하여 보안 위협은 더욱 증대되는 상황이다. 국내에서 는 대표적으로 2014년 5월, 삼성카드의 모바일 카드인 삼성앱카드의 부정거래 사용 사고가 발생하여 300여건의 부정거래를 통해 6,000만원의 피해가 발생하였다.2) 사용 자들은 이러한 사고 발생 가능성으로 인해 ‘카드 정보를 휴대전화에 보관하는 것이 불안하다’ 및 ‘해킹이 걱정된다’는 점을 각각 59.5%, 56.0%로 선택하여 보안상의 이 유로 모바일 결제 서비스 사용을 꺼리고 있음을 알 수 있다. 이와 같이 모바일 결제 시장이 더욱 성장하기 위해서는 보안이 무엇보다도 중요한 요인임을 알 수 있다.
[그림 4] 모바일 결제 및 전자지갑 서비스 이용에 따른 불편 및 우려사항
자료: 한국방송통신전파진흥원(2013. 8. 30)
(2) 주요 사업자 동향
1) 페이팔(PayPal)
2014년 현재 203개국 1억 5천만명의 이용자를 보유하고 있는 페이팔(PayPal)은 전 문 PG업체로서, 미국 최대 전자상거래 기업인 이베이(ebay)의 전자 결제 시스템을 위 해 인수되어 운영되고 있다. 페이팔은 구매자와 판매자 사이에 임시계좌를 개설함으 로서 구매자가 송금하는 자금을 임시계좌에 일시적으로 보관하고, 물품 배송이 확인 되면 판매자에게 지불하는 방식인 에스크로(Escrow)방식을 사용함으로써 사고가 발 생하더라도 사용자의 계좌가 직접 탈취당할 확률을 낮추고 있다. 또한 글로벌 카드사 에서 설립한 PCI-DSS3) 인증을 통해 기본적인 보안성을 확보하였다. 이와 더불어 미 국 최대 전자상거래 기업인 이베이의 거대한 사용자 수와 이들의 거래 정보를 바탕으 로 장기간 구축된 빅데이터를 활용하여 이상 거래 탐지 시스템(FDS)을 운영하여, 정 보 유출 및 사고를 실시간으로 감시한다.
2) 구글 월렛(google wallet)
2011년 구글에서 출시한 구글 월렛(google wallet)은 플랫폼 업체로는 최초로 모바 일 결제 시장에 진출하였다. 그러나 서비스 개시 후 2013년까지도 앱 결제 건수가 1,000만 건에 못미치는 등4) 부진한 결과를 보여주고 있다. 이는 이동통신사와 같은 주요 협력사 수의 저조함과 경쟁사 증가에 기인하고 있지만 가장 결정적인 문제는 보 안문제에 있었다. 구글은 마스터 카드의 Mobile PayPass 기술을 사용하여 모든 금융 데이터를 암호화 시켰으며, 거래에 따른 정보는 모두 보안처리되어 보안 영역(Secure Element)에 저장되도록 하였다. 기본적으로는 결제 시 개인 식별 번호인 PIN(personal identification number)번호를 입력하는 방식을 통해 본인 인증 및 보안 문제를 해결
3) PCI-DSS(Payment Card Industry Data Security Standard): 카드정보 해킹 및 도난/분실 사고로 부터 고객의 신용카드 정보 유출을 막기 위해 비자, 마스타카드, 아메리칸 익스프레스, JCB 등 글 로벌 신용카드사에서 만든 데이터 보안 표준 인증
하고자 하였다. 그러나 핀 번호의 해킹 위험과 함께, 선불카드 이용 시 정보를 삭제하 더라도 개인정보가 그대로 남아있다는 보안취약점이 나타났다. 또한 구글 월렛 사용 자들이 단말을 분실한 경우 다른 이용자가 기존 사용자 계정정보로 결제 서비스를 활 용할 수 있다는 사실이 알려짐으로써 구글월렛 서비스를 일시 중단한 뒤, 결제 정보를 클라우드에 저장하는 방식으로 전환하여 다시 출시하였다. 현재까지 구글 월렛은 계 속해서 시장을 선점하고자 노력중이다.
3) 애플 페이(Apple pay)
2014년 10월 20일에 서비스를 시작한 애플의 애플페이(Apple pay)는 개시한지 72 시간만에 이용횟수가 100만 건이 넘어서면서5) 빠른 속도로 성장하고 있다. 애플 페이 는 아이폰5s부터 도입한 ‘Touch ID’라는 지문 인식 센서를 통한 생체 인증 방식을 애플 페이에도 적용하였다. 여기에 신용카드 번호 등 중요한 데이터를 무의미한 문자 나열로 변환시키는 토큰화 기술을 사용하고, 결제 과정에서는 일회성 코드가 무작위 로 생성돼 전송함으로써 데이터가 유출되더라도 사용할 수 없도록 보안을 강화했다.
여기에 아이폰 내에 별도로 탑재된 보안 메모리 칩셋인 ‘보안 영역’ (Secure element) 을 통해 저장하는 방식을 사용하였다. 이를 통해 카드 정보가 유출되는 상황이 발생하 더라도 데이터는 랜덤화 된 무의미한 문자 나열이므로 사용할 수 없도록 하였다.
4) 카카오페이
국내에서는 2014년 9월 다음카카오(daumkakao)가 자사의 플랫폼을 기반으로 한 모바일 결제 서비스인 ‘카카오페이’를 발표했다. 해외와는 달리 국내에서는 이용자 PC에 공인인증서를 비롯한 Active-X나 플러그인 방식으로 보안프로그램6)을 설치하 여 이용자를 보호하고자 하였으나, 이러한 방식에 사용자들이 불편함을 느낌으로써 해외와 유사한 방식으로 시스템을 구축하기 위해 정부부처가 규제를 완화하는 과정에 서 카카오페이가 출시되었다. 카카오페이는 LG CNS와 제휴를 맺고, 금융감독원의
5)《아이뉴스24》(2014. 10. 28), “애플페이, 사흘만에 이용횟수 100만건 돌파”.
보안 ‘가’ 군 인증을 받은 엠페이(Mpay) 보안방식을 이용하였다. 엠페이(Mpay)는 결 제 시 필요한 카드 정보를 암호화하여 사용자의 스마트폰과 LG CNS 데이터센터에 각각 분리 하여 저장하는 방식으로, 정보유출이 발생할 경우에도 사용자의 완전한 정 보를 알 수 없도록 하였다. 또한 전화번호 변경, 분실 및 기기변경에 따른 단말기 교 체, 결제비밀번호 5회 이상 오류시 모두 계정초기화 되도록 하였다. 현재는 카카오톡
‘선물하기’라는 모바일 결제 서비스에 한정적으로 사용되고 있으며 이와는 별도로 송 금 서비스인 ‘뱅크월렛카카오’를 제공할 계획을 발표하였다.
<표 2> 주요 업체의 보안방식
업체 서비스 명 인증 및 보안 방식
이베이 페이팔(PayPal)
- 에스크로(Escrow)방식 - PCI-DSS
- 이상 거래 탐지 시스템(FDS) 구글 구글 월렛(google wallet)
- PIN(personal identification number) - MasterCard의 Mobile PayPass기술 - 보안 영역(Secure Element) 애플 애플 페이(Apple pay)
- Touch ID(정전식 지문센서) - 토큰화 기술
- 보안 영역(Secure element) 다음카카오 카카오페이(Kakao pay) - 엠페이(Mpay) 보안방식
(3) 국내외 규제동향
1) 해외
해외에서는 보안관련 정책을 개별 업체들이 자국의 가이드라인을 참고하여 자율적 으로 보안 방식을 수립하도록 유도하는 자율규제 원칙을 세우고 있다. 미국과 영국 등 해외 선진국에서는 2000년대 초중반부터 온라인 및 모바일 보안 관련 가이드라인 을 제공해 왔으며, 이후 싱가포르, 독일, 호주 등도 2000년대 후반에 대부분의 가이드
<표 3> 주요국별 보안 가이드라인
국가 년도 가이드라인 명 주요 내용
영국 2003년 SYSC 핸드북 안전한 인터넷뱅킹 서비스의 제공을 위해 IT시스템의 리스크 관리와 정보보안을 요구
미국 2005년
전자금융리스크 관리 원칙
금융기관은 전자금융 리스크 관리 지침의 권고에 따라 자율적으로 전자금융 거래 관련의 7가지 보안사항을 적 용 가능
인터넷뱅킹 환경의 인증가이드라인
위험평가, 고위험 거래를 위한 고객인증, 계층형 보안 프 로그램, 인증기술 효과, 고객 인식교육 등을 다루며, 특 정기술을 강제하지 말아야 할 것을 권고
싱가포르 2008년 인터넷뱅킹과 리스크 관리 가이드라인
인터넷뱅킹을 포함한 금융시스템을 위한 리스크 관리와 보안 통제를 위탁하는 최상의 업무 개요 설명
독일 2009년 인터넷뱅킹 보안 가이드
인터넷뱅킹의 보안요구사항으로 SSL 사용, 인증서 검증, 비밀번호 사용, OS 버전 최신화, 신뢰 프로그램 사용, 인터넷 및 이메일을 통한 금융 사기 조심 등을 권고 호주 2010년 건전성
실무 지침
가이드 내용을 참고하여 이를 기준점으로 삼을 수 있고, 법률에 관한 전문적인 조언을 얻는데 활용하도록 장려 자료: 금융보안연구원
개별 모바일 결제 서비스 업체들은 이러한 가이드라인에 따라 다른 방식의 보안 방 식 및 기술을 사용하고 있으나, 정보 유출과 같은 사고가 발생하였을 경우에 따른 책 임 분담 기준을 마련하여 운영 중이다. 특히, 정보보안에 대한 책임소재는 각 업체가 지게 되므로 업체들은 정보유출 및 사고를 막기 위해 적극적으로 보안위협에 따른 대 책을 마련하고 있다.
2) 국내
국내에서는 해외 주요국과 달리 정부 주도형으로 금융위원회가 인터넷 및 모바일 금융관련 보안 정책을 수립해 운영하고 있다. 국내에서 본격적으로 인터넷 결제에 대 한 보안 방안을 수립하게 된 시기는 2012년 11월 비씨 ․ 국민카드 온라인 부정결제 사 고가 발생하면서 부터이며, 이후 온라인 결제 보안강화를 위한 관계기관 합동 대응팀
구성, 운영계획이 발표되었다. 이 사건을 계기로 모바일을 통한 온라인 결제 보안강화 방안도 함께 추진되면서 2013년 4월 “온라인 결제 보안 강화 종합 대책 마련”을 통해 모바일 결제 서비스 인증 강화 및 공인인증서 발급 절차 강화 등의 대책을 마련하였다.
그러나 2014년 전세계적으로 모바일 결제 시장이 급성장하고 있음에도 불구하고 국내 모바일결제 시장은 공인인증서 의무 사용, Active-X 등의 장애요인으로 인해 성 장이 제한되면서 이를 해소하기 위해 규제 완화 정책이 다수 발표되었다. ’14년 4월 온라인 카드 결제시 공인인증서 의무 사용이 폐지되었으며, ’14년 9월에는 Active-X 사용을 제한하고 Non-active-X 방식의 공인인증서 기술을 개발해 보급하기로 했다.
또한 금융위원회는 2014년 8월 ‘여전업감독규정’을 개정함으로써 PG업체가 저장 한 카드정보에 대한 유출 사고 발생 시 PG사가 책임을 부담하도록 규정하고, 이를 통해 보안 강화를 유도함으로써 직접규제에서 간접규제로 변화하고 있다.
<표 4> 국내 모바일 결제 보안 규제 정책
발표 시기 정책명 주요 내용
’12년 12월
온라인 결제 보안강화를 위한 관계기관 합동대응팀
구성 ․ 운영
12년 11월에 발생한 비씨 · 국민카드 온라인 부정결제 사고를 계기로 온라인 결제 보안강화를 위한 관계기관 합동 대응팀 구성, 운영계획 발표
’13년 4월 온라인결제 보안강화 종합대책 마련
비씨 ․ 국민카드 온라인 부정결제 사고 및 일반적인 모바일 금융거래의 보안위협의 증가함에 따라 모바일을 통한 온라인 결제 보안강화 방안을 함께 추진
’14년 4월
온라인 카드결제시 공인인증서 의무
사용 폐지 추진
전자상거래시 공인인증서 등을 의무적으로 사용하도록 하는 ‘전자금융감독규정 시행세칙’을 개정하여 공인인증 서 의무 사용 폐지 발표
’14년 7월 전자상거래 결제 간편화 방안
공인인증서 이외에 문제점을 해소함으로써 국내 전자상 거래 시장에서 결제 간편화를 더욱 촉진시키기 위한 개 선방안 마련
’14년 9월 전자상거래 결제 간편화 및 Active-X해결 방안
해외에 비해 간편 결제 서비스가 불편하다는 지적이 계 속됨에 따라 소비자 불편 사례 및 제약 요인을 분석하여 여전업감독규정 개정 등의 해결방안 제시
4. 결 어
지금까지 모바일 결제의 패러다임변화와 소비자, 기업, 정부 측면에서의 보안 현황 에 대해 살펴보았다. 스마트 기기 확산에 따라 모바일 생태계에 대한 영향력이 커지면 서 다수의 기업들이 모바일 금융 시장에 진입하고 있다. 금융 거래 형태도 단순한 결 제 대행서비스에서 벗어나 송금, 대출, 투자 중개, 보험 등 전체 금융 분야로 시장이 확대되고 있는 추세이다.
이렇게 다수의 기업이 모바일 결제 서비스 제공하고, 모바일 결제의 프로세스가 간 소화됨에 따라 다수의 소비자들이 모바일 결제를 활용하면서 시장이 급속도로 성장하 고 있다. 그러나 여전히 해킹, 개인 정보 유출 등의 사건 사고가 끊이지 않고 있으며, 이로 인해 소비자 입장에서 모바일 결제에 대한 보안 위협 및 정보유출에 대한 불안 감이 매우 큰 장애요인으로 잠재해 있다.
따라서 향후 모바일 결제시장 활성화를 위한 모바일 결제 보안 시스템이 제대로 작 동하기 위해서는 정부, 기업, 소비자가 연합해 자신의 역할을 수행해야만 이루어질 수 있다. 우선, 정부측면에서는 정부 주도형 직접 규제 방식에서 벗어나 민간 주도형의 간접 규제 방식으로 전환해야 한다. 과거 은행 중심으로 하는 오프라인 금융과 달리 온라인 금융의 경우 각 업체마다 보안 수준과 기술이 다르기 때문에 정부에서 모든 기준을 마련할 수 없으므로 정부에서는 모바일 결제 보안에 대한 최소한의 기술 수준 을 가이드라인으로 제공하고, 특히, 보안 문제 발생시 명확한 책임소재와 피해 보상에 대한 기준을 강화해야 할 것이다.
둘째, 기업측면에서는 고차원적인 보안 기술 강화를 위해 노력해야 한다. 애플의 Touch ID에 대한 해킹 사례가 존재하고, 구글의 구글월렛의 경우에도 보안취약점과 함께 서비스를 중단한 경험이 있다. 따라서 기업에서 결제 시스템의 간소화만을 추구 할 것이 아니라 더 고차원의 보안 기술 개발과 해킹 방지 프로그램 개발 등을 통해 보안을 강화해야 할 것이다.
셋째, 소비자에 대한 모바일 보안 인식 강화가 요구된다. 모바일 결제시 자신의 개
인정보가 유출되지 않도록 비밀번호 등 개인정보를 폰에 저장하지 않아야 하며, 각종 해킹 프로그램이 폰에 저장되지 않도록 잘 모르는 문자나 사이트에 대한 링크를 실행 하지 않도록 조심해야 할 것이다.
이러한 참여자의 노력이 지속적으로 수행된다면 향후에는 모바일 결제에 대한 신뢰 가 확대되면서 모바일 결제 시장이 더욱 활성화 될 것으로 예상된다.
참고문헌
금융보안연구원 (2012. 11. 20), “전자금융 정책 및 감독 선진화를 위한 주요국 사 례분석”.
금융위원회 (2012. 12. 6), “온라인 결제 보안강화를 위한 관계기관 합동대응팀 구 성 ․ 운영”.
금융위원회 (2013. 4. 9), “온라인결제 보안강화 종합대책 마련”.
금융위원회 (2014. 4. 3), “온라인 카드결제시 공인인증서 의무 사용 폐지 추진”.
금융위원회 (2014. 7. 28), “전자상거래 결제 간편화 방안”.
금융위원회 (2014. 9. 23), “전자상거래 결제 간편화 및 Active-X해결 방안”.
《내일신문》(2014. 5. 14), “금감원, 삼성카드 앱카드 사고 검사”.
《아이뉴스24》(2014. 10. 28), “애플페이, 사흘만에 이용횟수 100만건 돌파”.
《조선비즈》(2014. 9. 15), “美 · 中, 스마트폰 결제시장 주도… 한국은 걸음마”.
한국방송통신전파진흥원 (2013. 8. 30), “모바일 결제와 전자지갑 서비스 이용 행태 조사”.
한국은행 (2014. 8. 19), “2014년 2/4분기 국내 인터넷뱅킹서비스 이용현황”.
KDB산업은행 (2014. 7. 17). “해외 ICT 업계의 금융업 진출 현황”.
Gartner (2013. 6. 4). “Gartner Says Worldwide Mobile Payment Transaction Value to Surpass $235 Billion in 2013”.
Gartner (2013. 5. 15). “Forecast: Mobile Payment, Worldwide, 2013 Update”.
