원클릭·페이팔, 어떻게 편하고 안전하지?

일반입력 :2014/05/05 15:37    수정: 2014/05/05 16:42

손경호 기자

외국에 나갈 기회가 있는 사람들 사이에서 아마존 원클릭, 페이팔 결제 서비스를 써보고 놀란다는 얘기가 많이 들린다.

신용카드 번호, 유효기간, 이메일 주소 등만 입력해도 바로 결제가 가능하기 때문이다. 다음 결제할 때는 이마저도 필요없다. 말 그대로 '원클릭'이다. 액티브X 설치는 기본이고 단계도 여러번 걸쳐야 하는 국내와는 달라도 많이 다른 환경이다.

국내 환경에 익숙한 사용자들 입장에서 아마존 원클릭이나, 이베이 페이팔과 같은 결제 서비스를 쓰려니 불안해질때도 있다. 너무 간편하니 보한이 허술하지 않을까, 겁이 나는 것이다.

보안이 불편함을 감수하고 안전을 선택하는 것이라는 전제는 맞지만 되도록 사용자가 겪는 불편함을 줄여야 한다는 의무도 져버려서는 안 된다는 점은 그동안 국내 인터넷 결제 환경에서 많이 제기됐던 부분이다.

아마존 원클릭, 페이팔은 이런 점에서도 주목할 필요가 있다. 사용자들이 입력해야 하는 정보는 최소한으로 하되 뒷단에서 여러가지 보안기술을 적용하고 있기 때문이다. 이 방식은 미국 내 카드사에 대한 보안규정이 우리나라와 달라 가능한 일이다.원클릭은 아마존이 1999년 9월 미국 특허청에 등록한 특허로 2000년 애플 아이튠스에도 적용됐다.

방법은 단순하다. 사용자가 아마존닷컴 및 제휴사이트를 통해 '원클릭으로 지금 구매(Buy now with 1-Click)'를 클릭한 뒤 결제정보, 주소를 입력하면 지정된 신용카드에서 결제가 이뤄지고 바로 물품이 배송된다. 아마존은 웹브라우저를 통해 송수신된 파일 정보를 담고 있는 '쿠키'를 활용해 다음 결제시 동일한 입력 없이도 결제가 가능토록 했다.

페이팔은 일종의 가상계좌와 같은 역할을 하는 것으로 페이팔 웹사이트에 접속해 가입한 뒤 신용카드 정보를 입력하고, 승인용 문자메시지를 이용해 인증을 받으면 바로 사용할 수 있다. 그 뒤에는 쇼핑몰 등에서 페이팔 결제를 누른 뒤 ID, 비밀번호를 입력하는 것만으로 결제가 가능하다.

우리나라 환경에서는 상당히 불안해 보이는 두 가지 결제 방식이 미국 내에서 널리 사용될 수 있는 이유는 지불경제카드산업(PCI)가 카드회원 정보를 안전하게 취급하기 위해 제시하는 데이터보안표준(DSS)라는 인증 때문이다. 줄여서 PCI-DSS라고 부른다.

아마존 원클릭, 페이팔 등은 모두 PCI-DSS 인증을 통해 정기적으로 보안성에 대한 감사를 받는다. 이를 전제로 간편한 결제 서비스를 구현할 수 있게 한 것이다.

국내 결제대행사 페이게이트 이동산 이사에 따르면 PCI-DSS는 일종의 전사적 보안체계로 단순히 ID, 비밀번호를 통한 인증 뿐만이 아니라 내부통제, 결제절차가 포함된다.

PCI-DSS에 포함된 주요 항목은 보관된 신용카드 정보 암호화, 백신 사용 및 주기적인 업데이트, 단순한 비밀번호 사용금지, 방화벽 구축, 정보접속권한 부여, PC사용자의 개별 ID 및 비밀보호, 신용카드 정보의 물리적 접근 통제, 네트워크 및 신용카드 정보 접속에 대한 체계적인 모니터링, 정기적인 보안시스템 점검 등이다.

관련기사

이 이사는 다른 것 보다도 비즈니스를 지속하기 위한 계획, 사고가 발생했을 때 복구계획 등이 준비되도록 관리하고 있다고 강조했다. 또 매년 감사가 이뤄지기 때문에 한번 받고 마는 인증이 아니라 일종의 회계감사 체계와 비슷하다고 덧붙였다.

페이팔의 경우 자사 서비스에 대한 보안취약점을 알아내 이를 보고했을 경우 보상금을 지급하는 버그바운티 제도도 적용됐다. 원격코드삽입 공격 관련 취약점은 1만달러, SQL인젝션은 5천달러, 인증우회는 3천달러 식으로 현상금을 걸어 놓고 있다.