[뉴스토마토 김민성기자] 간편결제에 대한 논의가 봇물을 이루고 있지만 보안에 대한 의문은 여전히 남아있다.
주요 전자결제대행(PG)사들이 카드정보 저장 기준을 만족시키기 위한 어려움이 있는 상황에서 최근 애플페이가 비자(Visa)의 토큰화 기술을 이용한 모바일지갑은 더욱 관심이 모아지고 있다.
토큰서비스는 카드 정보를 아이폰이나 가맹점 단말기 등에 직접 저장하지 않고 토큰만 저장하기 때문에 보안성이 우수하고 비용이 많이드는 PCI보안표준 준수범위를 줄여 비용절감에도 유리하다.
이와 관련, 윤종문 여신금융협회 조사연구센터 선임조사역이 내놓은 '간편결제서비스와 토큰화 기술 활용'이란 보고서를 통해 알아보자.
'토큰화 기술’이란 전자결제 과정을 암호화하는 것이다. 결제를 요청할 때 신용카드 번호 대신 1회용 토큰을 사용하고 카드번호는 카드회사 서버에만 보관된다. 이 과정에서 토큰은 카드회사에서 결제 사실을 확인할 때만 쓰이기 때문에 결제 정보가 유출되더라도 안전한 편에 속한다.
◇상용화된 해외 vs. 지지부진한 국내시장
해외시장과 비교해 보면 국내의 토큰화 기술도입은 미미하다. 대표적인 예가 애플페이다. 애플페이는 아이폰에 초기 카드 정보를 입력하고 결제 시 지문인식과 함께 근거리무선통신(NFC) 단말기 접근만으로 간편결제가 가능하다.
반면 국내시장은 토큰화 기술을 이용한 가상카드번호 서비스가 있지만 일회용 카드번호 제공이 대부분이다. 현재 KB국민카드, NH농협카드 등은 마스타카드가 제공하는 내부통제 플랫폼(inControl platform) 서비스를 이용해 가상카드번호를 제공하고 있다.
간편결제서비스 토큰화가 만병통치약은 아니다. 개인정보는 토큰 서버에서 보관·관리되기 때문에 안전하지만 개인정보를 저장하는 저장소의 안전성에 대한 토큰화 기술 자체에 대한 보안성을 완벽하게 설명하지 못한다.
데이터 집중화도 단점으로 지적된다. 토큰제공사는 토큰과 카드정보를 모두 보유하고 있으므로 다수의 카드사의 카드번호를 토큰으로 제공하는 경우 정보집중으로 인한 위험이 존재한다. 토큰저장소가 해킹을 당하면 카드정보까지 유출돼 부정사용이 가능하다.
◇"중소PG사, PCI보안표준 대체 가능..보안비용도 절감"
카드정보를 보유할 수 있는 적격 PG사가 되려면 PCI보안표준 인증을 받아야 한다. 자격심사가 까다롭고 억대의 비용이 들어 영세한 중소형 PG사들은 진입하기 쉽지않다.
토큰은 PCI보완표준 범주에서 제외돼 있고 카드정보로 변환하기 어렵기 때문에 중소PG사도 카드정보를 대신해 토큰을 저장하면 간편결제 서비스를 제공할 수 있다. First Data(2009)에 따르면 토큰화로 PCI-DSS의 준수 요구항목이 35% 감소한다.
◇토큰화를 통한 카드저장번호 감소 효과. (자료=여신금융협회)
윤종문 선임조사역은 "연간 PCI보안표준 준수 비용 절감액은 연간 1억5000만원 정도이고 벌금 위험 감소액은 최소 4억2000만원에서 최대 20억원 수준"이라며 "이상거래탐지시스템(FDS) 도입 및 운영비용 등을 합친 비용절감금액은 26억원 이상인데 비해 토근화 서비스를 이용하는 비용은 19억5000만원 정도로 약 7억원을 절감할 수 있다"고 설명했다.
이 보고서에서는 카드사, PG사 등을 제외한 지불결제과정에 참여하지 않는 사업자 보다는 카드사가 토큰을 제공하는 게 낫다고 판단했다.
제3자 참여할 경우 정보의 집중화, 정보이동, 정보공유 증가 등의 위험성도 있고 토큰비용면에서 카드사에 비해 협상력도 떨어져 수익모델로는 부적합하기 때문이다.
아울러 국내 실정에 맞는 토큰화 표준, 제정주체, 토큰제공사 범위에 대한 논의도 필요하다고 지적했다. 윤 선임조사역은 "PG사가 토큰을 도입할 경우 카드정보 저장에 관한 감사, 벌금제정 등 구체적인 사안도 논의돼야 한다"고 말했다.
◇토큰제공사 장단점 비교 (자료=여신금융협회)
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지