애플페이를 지키는 보안 기술

참 오래 기다렸다. 몇 년이나 나온다는 말만 무성했던, 아이폰 비접촉식 결제 서비스 애플 페이가 드디어 한국에 들어왔다. 2014년 미국부터 시작해, 전 세계 70여 개국에서 사용되는 서비스다. 한국에서는 여러 가지 장애물로 인해 정식으로 도입되지 못했다가, 2023년 2월에 금융감독원이 애플 페이의 국내 도입을 승인하면서, 드디어 사용할 수 있게 됐다.

Pixabay / Wilfried Pohnke님의 이미지.

왜 애플 페이를 기다렸을까?

도입은 늦었지만, 반응은 뜨겁다. 짧은 기간 애플페이를 독점하게 될 현대카드는 회원 수가 빠르게 늘었다. 2022년 5월부터 계속 회원 수 순증 1위다. 일부 애플페이에 대한 기대감이 반영됐다고 풀이된다. 레드오션에 가까운 한국 신용카드 시장에서, 애플페이 때문에 순위 변동이 일어날 조짐이 보인다. 애플페이 도입으로 인해 얻은 브랜드 가치 상승은 덤이다.

왜 이렇게 반응이 뜨거운 걸까? 천 만에 가까운 것으로 추정되는 한국 아이폰 이용자들이, 그동안 제대로 된 모바일 결제 서비스를 이용할 수 없었기 때문이다. 애플페이는 오랜 세월 검증된 안전하고, 빠르고, 쓰기 편한 결제 서비스인데, 어른들의 사정과 NFC 결제 단말기 보급 문제로 들어오지 않았다. 아이폰은 보안 문제로 애플페이 말고 다른 비접촉 결제를 허용하지 않기에, 아이폰 사용자는 삼성 페이 같은 기능을 쓰고 싶어도 쓸 수 없었다.

애플이 너무 욕심부려서 그렇게 된 것 아니냐고 할 수도 있지만, 보안은 그만큼 중요하다. 애플페이 이전에도 여러 모바일 비접촉 결제 서비스가 있었지만, 제대로 사용되지 못했다. 기존 신용카드사나 은행이, 신규 서비스를 믿을 수 없었기 때문이다. 지금 생각하면 고개를 갸우뚱하게 되지만, 시장 초기에는 늘 이런 불안이 시장을 지배한다.

애플은 이런 불안감을 해소하기 위해 지문 인증 같은 기능을 아이폰에 넣었다. 애플이 가진 브랜드 파워도 한몫했다. 그제야 보수적인 금융권도 스마트폰을 통한 비접촉 서비스에 동의했고, 애플페이가 시작될 수 있었다. 보안은 눈에 잘 보이지 않아서 간과하기 쉽지만, 전체 서비스를 믿고 쓰게 만드는 주춧돌이다.

애플페이 결제 가능을 알리는 가게 간판

애플페이가 쓰는 보안 기술

애플페이는 쉽지만 애플페이 보안은 쉽지 않다. 실제로 애플은 애플페이 사용자를 보호하기 위해 다양한 기술을 사용한다. 먼저 보안 기술이 하드웨어와 OS, 그러니까 아이폰의 가장 기초적인 부분에 통합되어 있다. 그래서 해커가 뚫기 어렵고, 지금까지 뚫린 적이 없다.

또 사용자 개인 정보를 아예 저장하지 않는다. 대신 카드 정보를 디바이스 계정 번호(Device Account Number, DAN)로 암호화해서, 내부 보안 칩에 따로 저장한다. 결제할 때는 이 DAN을 이용해, 결제마다 새로운 일회용 보안 코드를 생성해서 쓴다. 결제마다 새로운 코드를 만드니, 이 코드를 훔쳐봤자 아무런 의미가 없다. 서버에 암호화된 카드 정보가 있는 게 아니니, 데이터 연결이 없어도 쓸 수 있다.

마지막으로 지문 인식(Touch ID)이나 얼굴 인식 (Face ID) 같은 추가 인증을 반드시 거치게 되어 있다. 아이폰을 잃어버리거나 분실했을 경우, 원격으로 결제 기능을 삭제할 수도 있다. 이런 과정을 통해 애플페이는 개인정보를 보호하면서도, 빠르고 안전한 비접촉 결제 서비스를 제공한다.

여기서 중요한 것은, 이런 보안 기술이 이용자를 만족시켰을 뿐만 아니라, 신용카드사나 은행 같은 서비스 관계자까지도 만족시켰다는 점이다. 덕분에 미국 같은 나라에선 NFC를 이용하는(=애플페이를 쓸 수 있는) 비접촉 카드 결제 단말기가 빠르게 보급될 수 있었다. 현재 미국에서 애플페이를 쓸 수 있는 가게는 90%가 넘는다. 2020년 기준 전 세계 애플페이 이용자는 5억 7천만 명에 달한다.

인간은 편리함을 원하고 편리함은 항상…

애플페이를 본받을 수 있을까?

물론 지금까지 괜찮다고 앞으로 괜찮으란 법은 없다. 사람은 더 편한 방법을 원하는 생명체고, 더 편한 방법을 쓰면 보안에 문제가 생기는 경우가 있다. 실험에서 나온 결과이긴 하지만, 지난 2021년 영국 버밍엄대학교와 서레이대학교 합동 연구팀이 특정 조건에서 기기 잠금을 해제하지 않아도 애플페이 결제가 가능하다는 점을 찾아내기도 했다. 애플페이 보안 문제와 상관없이, 잘못된 결제가 이뤄질 우려는 항상 존재한다.

그런데도, 애플페이와 같은 보안 방식은 더 많이 적용될 전망이다. 나쁜 놈들은 항상 나쁜 일을 하기 위해 열심히 노력하니까. 예를 들어 앞으로 아예 암호 없이 생체인식, 일회용 비밀번호, 모바일 앱 푸시 알림 같은 형태로 로그인하겠다는, 암호 없는 로그인 시스템을 적용하는 문제를 많은 회사에서 검토하고 있다. 스마트폰에서 지문 인식으로 앱 로그인을 하는 것은 이미 많이 쓰고 있다.

센스톤 MOTP 기술 개요

실례로 다른 분야에선 센스톤에서 토스뱅크에 제공한 카드 접촉식 일회용패스워드(OTP) 인증 기술을 들 수 있다. 센스톤이 제공한 ‘스위치 OTP’는 고액 송금 등을 할 때, 체크 카드를 스마트폰에 갖다 대는 것만으로 인증을 끝낼 수 있다. 네트워크 연결이 없어도 사용자나 기기를 식별하고 인증할 수 있는, OTAC(One-Time Authentication Code) 기술 덕분이다.

이 기술을 이용하면 애플페이처럼 일회성 보안 코드를 생성해 인증하는 방식을 사물 인터넷이나 원격 근무 환경, 금융 같은 여러 시스템에 적용할 수 있다. ID/PW, OTP, 토큰 등 기존의 인증 방식보다 더 강력하고 편리한 보안성을 쉽게 적용할 수 있는 셈이다.

쓰기 쉬우면서도 안전한 보안 시스템을 만드는 것은 힘들지만, 우리는 그걸 가능하게 만드는 여러 기술을 만들었고, 또 새로운 기술이 등장할 것이다. 여전히 인터넷 공간엔 나쁜 놈들이 득시글거리지만, 믿고 여러 모바일 결제를 쓰는 이유이기도 하다. 다음엔 또 어떤 기술이 등장해 우리를 지켜줄지, 한번 기대해 보자.

  • 센스톤 블로그에 기고한 글입니다

About Author


댓글 달기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다