애플페이 韓 정착 "사실상 어렵다"...도입 성공해도 반쪽
(지디넷코리아=조성진 기자)정태영 현대카드 부회장이 개인 소셜미디어에 애플페이를 암시하는 듯한 게시물을 올려 금융권의 관심이 집중되고 있다.
현대카드가 전자금융거래 관련 내규도 개정하며, 온라인 커뮤니티에선 현대카드가 애플페이를 2월 중 론칭하는 게 아니냐는 목소리가 확산하고 있다.
그러나 지급결제 전문가들은 애플페이의 국내 도입은 EMV(유로페이·마스터카드·비자카드) 보안 이슈와 근거리 무선통신기술(NFC) 단말기 보급 문제로 단기간 내 이루기 어려울 것이라는 전망을 내놓고 있다.
또한 당국의 장벽을 넘는다고 해도 한국 지급결제 시장의 정착은 사실상 불가능에 가깝다고 진단했다.
현대카드, 애플페이 연계 서비스 2월 론칭?
16일 카드업계에 따르면, 지난 14일 정태영 현대카드 부회장은 개인 소셜미디어 채널을 통해 “Lovely Apple”이라는 문구와 함께 사과 사진을 게시했다. 정 부회장의 소셜미디어를 팔로우하는 사람들은 “현대카드의 애플페이 서비스 출시가 임박했다”며 “오는 2월 출시를 기대한다”고 댓글을 달았다.
2월 애플페이 출시를 기대하는 이유는 전자금융거래와 관련한 현대카드 내규 개정안이 다음달 20일 시행되기 때문이다. 가장 눈에 띄는 개정 조항은 제24조(금융회사의 안정성 확보 의무)에 대한 부분이다.
해당 조항은 “현대카드가 전자금융거래의 안정성과 신뢰성을 확보할 수 있도록 인력, 시설, 전자적 장치 등 법규에서 정하는 기술을 준수한다”는 내용을 담고 있다.
이는 현재 애플페이 심사를 진행 중인 금융당국에게 전자금융거래 인프라의 안정성과 보안성을 강조하기 위한 조치로 해석된다.
애플페이, 고유식별정보 해외 위탁 금지 조항 충돌
신용카드사 입장에서는 외부 결제 플랫폼 제휴시 금융고객의 개인정보 처리를 위탁해야 한다.
이는 삼성페이를 사용할 때도 해당된다. 현대카드는 ‘삼성페이용 앱카드 결제 이용 약관 제15조’에 “서비스 제공을 위해 가입 고객의 동의를 받아 개인정보를 제휴사에게 제공할 수 있다”고 명시했다.
현대카드의 삼성페이 관련 내규는 애플페이를 통해 앱카드를 결제할 때도 해외 위탁사(애플·EMV)에 고객의 개인정보를 제공한다는 것을 의미한다.
다만 국내망을 이용하는 삼성페이와 다르게 애플페이는 해외에 서버를 둔 EMV 망을 원칙으로 삼고 있는데, 현재 ‘금융회사의 정보처리 업무 위탁에 관한 규정’은 카드 결제자(금융소비자)의 고유식별정보 해외 위탁을 금지하고 있어 두 부분이 충돌하는 상황이다.
금융위원회가 보안성과 안정성을 따지지 않고 무조건 애플페이를 수용할 경우, 해외에서 발생하는 금융 보안 사고에 대해 당국이 개입하기 어렵다는 문제점이 있다.
오프라인 단말기 결제시 EMV 망에 토큰을 요청하기 위해 제공해야 하는 결제자의 계정 정보가 많을 뿐 아니라 EMV 자체의 보안성과 안정성이 질 낮은 수준으로 평가 받기 때문이다.
논란의 EMV, 도대체 뭐길래?
애플페이를 통한 오프라인 결제시 해외 EMV 망에 결제자의 결제 계정 정보를 제출해야 한다.
지급결제 전문가 A씨는 “EMV를 통한 오프라인 NFC 단말기 결제 시 개인정보 확인 과정에서 암호화된 토큰을 해독하는 ‘디-토크니제이션(De-tokenization)’ 과정을 거쳐야 한다”고 말했다.
이어 “토큰을 해독하기 위해선 승인요청전문(100번 전문)이 유로페이, 마스터카드, 비자카드 서버에서 토근인증(Token Vault)을 거쳐야 하는데 이 서버가 해외에 있다”고 설명했다.
쉽게 말해, 국내에서 발급된 신용카드를 국내에서 사용하는데 애플페이를 사용하기 위해선 개인정보를 포함한 전체 거래전문이 반드시 해외로 유출될 수 밖에 없는 구조라는 것이다.
EMV, 오프라인 결제시 요구하는 결제자 정보 많아
카드업계 관계자는 “애플페이 도입을 위해 법을 바꾼다면, 오프라인 보다는 온라인 간편결제를 먼저 열어줄 것으로 보인다”고 분석했다.
오프라인 가맹점에 설치된 단말기를 통해 애플페이를 결제할 경우, 결제 승인을 위한 토큰 암호 해제를 EMV에 요청할 때 제출해야 하는 결제자의 계정 정보가 너무 많기 때문이다.
글로벌 온라인 카드 결제 기술표준사(EMVCo) 공시에 따르면, NFC 결제시 결제자의 계정 정보를 확인하기 위해 ▲서명 ▲오프라인 일반 텍스트 PIN ▲오프라인 암호화 PIN ▲오프라인 일반 텍스트 PIN 및 서명 ▲온라인 PIN ▲소비자 디바이스를 통한 본인 확인 정보 등을 수집한다.
EMVCo 측은 “지급결제와 같은 서비스를 제공하기 위해 개인 데이터를 사용해야 한다”는 내용의 개인정보정책을 공시한 상황이다. 또한 “수출 통제 목록 요구 사항 충족 이슈와 같은 법적 의무를 준수하기 위해서도 개인 데이터를 사용해야 한다”고 설명했다.
다만 EMVCo는 예외적으로 유럽연합국가을 비롯한 영국, 스위스 거주민에게 개인 데이터를 수정, 삭제 또는 전송하도록 요청할 권리를 제공하고 있다.
EMV, 보안 이슈 구설수
금융 당국이 지금의 EMV 결제 방식을 그대로 수용할 수 있지만, 이 경우 애플페이를 통한 오프라인 단말기 결제시 보안 이슈가 우려된다.
오프라인 단말기를 통해 결제할 경우, 단말기가 PIN을 EMV에 전송하기 전 신용카드의 공개 키(Key)로 일반텍스트 PIN 블록을 암호화하는데, 이 과정에서 단말기를 속여 비접촉 방식으로 PIN을 우회한 공격에 대해 취약하다는 단점이 있다.
또한 2017년 EMVCo는 ’EMV 버전 4.3’에 모바일 디바이스의 생체 인증을 통한 결제 방식을 추가했는데, 오프라인 결제시 임의로 생성된 PIN의 수집을 허용하는 등의 문제가 논란이다.
신규사업 및 사업자에 대한 국내 금융 당국의 높은 장벽은 해외에서도 유명할 정도다.
황승익 한국NFC 대표는 “한국의 신용카드 보안사고 발생율은 외국과 비교했을 때 극소수에 가깝다”며 “금융당국에서 심사를 워낙 깐깐하게 하기 때문에 신규 사업 허가를 받는 것도 쉽지 않은 일”이라고 말했다.
황승익 대표는 “EMV 결제 방식이 워낙 오래됐기 때문에 보안에 취약할 수 밖에 없다”며 “국내에서 만든 독자적인 결제 표준이 보안 측면에선 EMV보다 훨씬 뛰어나다”고 설명했다.
지급결제업계에선 애플페이 도입과 관련해 다양한 의견이 나오고 있는 상황이지만, 긍정론 보다는 비관론이 대세다.
전문가들은 “애플페이가 EMV 방식을 양보하지 않는 이상 금융당국이 허가를 내주지 않을 것”이라고 입을 모은다. EMV 전면 허용은 잠재적 리스크 큰 해외페이까지 국내 시장의 문을 열어주는 것이기 때문이다.
EMV 허용시 발생하는 보안이슈는 애플페이만의 문제가 아니다는 분석도 있다.
지급결제 전문가 B씨는 “지금의 EMV 방식을 수정없이 전면 허용한다면, 중국 기반의 기업들도 한국시장 진출을 시도할 것”이라고 말했다. 이어 “금융 소비자 개개인의 결제 정보가 중국의 페이사를 통해 EMV 망으로 오고 가며 사고가 언제 어떻게 날지 아무도 모르는 일”이라고 설명했다.
학계에서도 페이먼트 서비스 종류와 사용자가 많아질 수록 리스크도 커진다는 우려가 있다.
서지용 한국신용카드학회장(상명대 교수)은 “애플페이를 포함해 수 많은 간편결제 서비스가 경쟁하듯이 생겨나고 있고, 이용자도 급증하고 있다”며 “그만큼 보안사고 가능성이 높아질 수 밖에 없고, 경우에 따라 심각한 사회적 파장을 야기할 수 있다”고 말했다.
“애플페이 한국 정착, 사실상 어렵다”
일각에선 애플페이가 한국형 신용카드 독자 표준 규격인 KLSC(Korea Local Smart Card)를 내재화해 보안 토큰으로 받아낼 가능성을 점치고 있다. 하지만 현재의 분위기는 애플이 EMV를 고집할 가능성이 훨씬 큰 상황이다.
지급결제 전문가 C씨는 “금융당국이나 국회가 특정 사기업의 이익을 위해 전국민의 금융 보안 이슈가 달려있는 법안을 쉽게 고칠지는 의문”이라며 “솔직히 애플페이의 한국시장 정착은 거의 불가능에 가깝다”고 밝혔다.
국내 오프라인 가맹점 중 애플페이 결제를 지원하는 NFC 단말기를 확보한 비율도 전체 대비 10% 미만으로 저조한 상황이다.
국내 가맹점의 NFC단말기 보급이 부족한 이유는 8년 전인 2015년으로 거슬러 올라간다. 당시 카드업계는 여신협회를 중심으로 1천500억원 규모의 공동 기금을 조성해 보안이 취약한 영세 가맹점의 마그네틱 단말기를 IC 단말기로 바꾸는 사업을 추진했는데 이 과정에서 단말기에 NFC 기능까지 추가할지를 두고 대립한 바 있다.
C씨는 “8년 전 카드사들이 영세업자 단말기 교체를 위해 모금한 금액은 1천500억원인데 교체 사용된 금액은 1천억원 가량”이라며 “나머지 500억원은 아직 협회에서 사용하지 않은 채 남아있는 것으로 알고 있다”고 설명했다.
이어 “당연한 논리지만, 당사자(현대카드)가 아닌 다른 카드사들은 NFC 단말기 보급을 반기지 않는 분위기”라고 덧붙였다.
애플페이, 도입 성공해도 반쪽짜리...파급효과는 ‘글쎄’
현대카드가 EMV 관련 보완 이슈에 대해 당국의 기준을 맞춘다면, 오프라인이 아닌 온라인이 먼저 도입될 것이라는 의견이 있다.
지급결제 전문가 D씨는 “현대카드는 규제가 까다로운 오프라인보다 진입 장벽이 낮은 온라인 시장을 먼저 공략할 것”이라며 “애플페이의 온라인 간편결제를 위해 PG사와 연결하는 건 비교적 쉬운 일”이라고 설명했다.
이어 “오프라인 단말기를 사용하는 규제를 뚫는 건 사람들의 기대보다 훨씬 오래 걸릴 수 있다”고 덧붙였다.
진짜 문제는 여기서 시작된다. 현대카드가 오프라인 결제시장을 포기하고 온라인만 공략한다면, 과연 경쟁력 있는 서비스를 제공할 수 있느냐에 대한 부분이다.
D씨는 “온라인 결제시장 규모는 오프라인에 비해 10% 수준”이라며 “그나마도 카카오페이, 네이버페이, 토스페이와 같은 국내 핀테크사들이 휘어잡고 있어 비집고 들어갈 틈이 없다”고 설명했다.
한편 금융당국과 현대카드 측은 “애플페이 이슈에 대해 어떠한 답변도 드릴 수 없는 상황”이라며 여전히 말을 아꼈다.
조성진 기자(csjjin2002@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.