삼성페이-애플페이, 핵심 보안기술 '토큰화'

일반입력 :2015/04/03 15:13    수정: 2015/04/06 11:13

손경호 기자

삼성페이, 애플페이는 대개 지문인식을 활용한 결제로만 알려져 있지만 실제로는 뒷단에서 훨씬 정교한 보안프로세스를 거쳐 결제가 이뤄지도록 했다는 점에서 스마트폰 간편결제에 새로운 기준이 될 수 있을지 주목된다.

이들이 선보인 간편결제는 복잡한 보안절차 없이도 마치 교통카드를 쓰듯 POS단말기에 스마트폰을 갖다대면 결제가 이뤄지게 했다는 점에서 차별화된다. 편리성과 보안성 사이에 절묘한 균형을 갖췄다는 평가다.

삼성페이, 애플페이에 적용된 핵심보안기술은 유로페이, 마스터카드, 비자 진영이 카드정보를 안전하게 공유하기 위해 고안한 '토큰화(Tokenization)'라는 기술이다. 과거 버스토큰처럼 실제 물건이나 돈 대신 쓸 수 있는 것처럼 카드정보 역시 토큰화 시켜서 원본 카드정보가 유출돼 악용되는 것을 막는다는 취지에서 나온 것이다.

토큰화는 이들 카드사가 고안한 EMV표준과 호환된다. EMV는 도용사례가 끊이지 않는 마그네틱 카드를 대체하기 위해 IC칩 내에 안전한 영역에 카드정보를 저장해 활용하는 표준기술로 아메리칸익스프레스, 차이나 유니온페이, 디스커버 등 주요 글로벌 카드사들이 활용 중이다.

삼성과 애플은 주요 글로벌 카드사들이 제시하는 표준과 호환되면서도 지문정보를 결합해 더 안전하게 결제할 수 있는 기술을 마련한 것이다.

금융보안연구원이 발표한 보고서에 따르면 삼성페이, 애플페이에 공통적으로 적용된 토큰화 기술은 공격자가 중간에서 실제 결제에 활용된 카드정보를 모르게 하는 것이 핵심이다. 이를 위해 카드정보를 '토큰'이라는 가상카드번호로 대체한다.

좀 더 세부적으로는 사용자가 삼성페이, 애플페이에 사용할 카드를 등록하면 해당 카드번호가 암호화된 상태로 관리용 서버에 전송된다. 서버는 해당 값을 복호화해 카드 발급사를 구분하는 번호별로 분류한 뒤 해당 카드사에 재암호화해 전송한다. 카드 발급사는 수신한 카드번호와 사용자를 확인한 뒤 가상카드번호(토큰)와 카드번호인증 시드값(인증시드)을 생성해 사용자 스마트폰에 전송한다.

이 정보는 삼성전자의 경우 삼성페이 구동앱은 녹스(Knox) 플랫폼에 저장돼 일반앱과 구분하며, 토큰과 인증시드값은 스마트폰칩 제조사인 ARM이 고안한 트러스트존 내에 저장된다. 애플의 경우 아이폰5S에서부터 탑재하기 시작한 A7칩 내부의 시큐어 인클레이브라는 별도 영역에 해당 정보가 저장된다. 이 영역은 애플의 지문인식기술인 터치ID와 관련한 지문정보 등이 저장되는 곳이기도 하다.

카드 사용자의 스마트폰과 카드사 서버에는 실제 카드번호, 실제 카드번호인증값(CVV)을 대체하는 가상의 번호가 각각 저장돼 있는 것이다.

결제를 수행하기 위해 스마트폰으로 지문인증을 하면 앞서 저장된 토큰과 함께 결제시간과 연동한 가상CVV값이 합쳐진 1회용 결제정보가 만들어져 가맹점의 결제단말기를 거쳐 카드사로 전송된다. 카드사에서는 이러한 값이 서로 일치하는지를 비교한 뒤 결제를 승인한다.

복잡해 보이는 프로세스를 더 단순화하면 가상카드번호와 함께 지문인증을 한 시간에 연동한 일회용 비밀번호(가상CVV값)을 생성해 실제 사용자가 결제를 한 것인지를 확인하는 것이다.

이 같은 방식은 카드정보가 유출된다고 하더라도 이 번호를 결제에 악용하기 어렵게 만든다. 가상카드번호를 활용하는데다가 결제시간과 연동한 일회용 결제정보가 필요하기 때문이다. 사기범들이 가상카드번호는 물론, 결제시간까지 정확히 알아내기는 어렵다.

그러나 보완점도 있다. 스마트폰을 통한 카드등록절차과정에서 본인확인이 허술하게 관리되고 있다는 점이다.

지난달 초 월스트리트저널에 따르면 모바일결제 전문가인 체리안 아브라함은 애플페이를 통한 사기거래가 약 6% 수준으로 파악되고 있으며 일반 플라스틱카드를 긁는 방식이 0.1%에 불과한 것과 비교해 대조적이라고 밝혔다.

그 이유에 대해 아브라함은 애플페이의 경우 시큐어엘리먼트(SE)라는 안전한 영역에 암호화된 결제데이터를 남겨두고, 지문과 연동한 일종의 일회용 비밀번호(OTP)를 발급해 거래에 활용한다는 점에서 보안성이 높은 것은 사실이라면서도 신용카드를 애플페이에 추가하는 과정에서 본인여부를 확인하기 위해 폰의 종류, 스마트폰 번호 뒤 4자리, 사용자의 주거래 은행 위치 등 정보를 묻는데 그치고 있다고 지적했다.

관련기사

만약 사기범이 신용카드 번호는 물론 이전에 탈취한 개인정보를 확보하고 있는 상태에서 카드를 발급받는 일이 가능하기 때문이다.

이와 관련 금보연은 보고서를 통해 지문인식, 하드웨어 기반 보안저장소를 활용하고, 일회용 결제정보를 활용한다는 점에서 실물카드보다도 보안성이 높은 것은 사실이나 카드등록시 보다 철저한 신원확인과 POS단말기 등에 대한 보안위협수준을 낮추는 고민이 함께 필요하다고 밝혔다.