12월 중 서울시 및 지방자치단체, 중소기업부의 '제로페이' 시범 사업이 실시되는 가운데, 금융위원회가 QR(Quick Response)코드 결제 표준을 내놨다.
QR코드는 사각형 패턴으로 구성된 2차원 매트릭스 형태의 바코드로 중국의 알리바바나 위챗페이가 이를 통해 간편결제 서비스를 제공 중이다.
6일 금융위에 따르면 전자금융거래 시 QR발급·이용·파기 전 과정에서 결제 범용성·간편성·보안성을 갖추기 위한 표준 사항을 규정한 'QR코드 결제 표준'을 공표했다.
이번 표준에 따르면 QR코드 발급은 ISO 국제표준 규격을 따라야 한다.
또 QR코드 위·변조 방지를 위해 QR코드 내 자체 보안기능을 갖춰야 한다. QR코드를 훼손한 후 가짜 정보를 담아 위·변조에 이용하는 행위를 방지하기 위해 일정 수준 이하로 오류복원률을 제한한다.
금융보안원 박진석 융합보안부장 "손상된 화폐 손상정도에 따라 가치를 인정하는 것처럼, QR코드도 마찬가지로 크게 손상됐는데 이를 다 인식하면 부정 사용이 될 수 있다"며 "얼만큼 손상됐는지에 따라 QR코드의 인식 정도를 달리하는 개념"이라고 설명했다.
QR코드 내에는 민감한 개인·신용정보도 담을 수 없다. 고정형QR의 경우 소상공인의 정보를 해킹해도 알 수 없는, 일련의 부여 체계에 따라 번호로 분류된다. 고객이 QR코드를 생성하는 변동형 QR 방식에서 고객과 결제사업자 간 결제 정보를 보안 조치 해야 한다.
QR코드 방식은 고정형 QR과 변동형 QR로 나뉜다. 이 중 고정형 QR은 소상공인 등이 QR코드를 발급한 후 출력해 가맹점에 붙여두고 소비자가 모바일 애플리케이션(앱)으로 QR코드를 스캔해 결제를 처리하는 방식이다. 이 때도 가게에 부착한 QR코드의 위·변조 가능성이 있어 별도 조치를 해야 한다. 위·변조 방지 특수필름을 QR코드에 부착하거나 잠금장치를 설치하는 것이다.
변동형 QR은 결제 앱에서 '결제'를 클릭해 소비자가 QR코드를 생성하고 가맹점에서 QR리더기인 결제 앱 또는 포스 단말기로 읽어서 결제를 처리하는 방식이다. 앱에 대한 보안성 기준이 제시되며 생성한 QR코드의 유효시간은 3분으로 정해진다.
QR코드를 이용하는 결제사업자도 해킹 방지대책을 세워야 한다.
관련기사
- "플리마켓서도 현금 대신 카카오페이 받아요"2018.11.06
- 카카오페이, 공과금 QR 납부 서비스 확대2018.11.06
- 中·日 'QR코드' 특허전쟁...알리바바·텐센트 선봉2018.11.06
- 中 모바일 결제, 'QR코드' 에서 '얼굴'로 대체2018.11.06
QR코드를 쓰는 소상공인들은 보안성 기준을 통과하지 못한 임의의 QR코드 스캐너를 사용할 수 없다. 금융결제원 윤일진 스마트금융팀장은 "카드 리더기 역시 기술 규격 있다. 이와 비슷한 방향으로 보면 된다"고 말했다. 만약 폐업 시에는 QR코드를 즉각 파기해야 한다. 결제사업자에 폐업을 신고하면 사업자가 유효하지 않은 QR코드임을 등록하고 결제를 차단하는 것이다.
금융위 관계자는 "제로페이의 경우 이번 QR코드 결제 표준을 공식적으로 채택하고, 소상공인과 결제사업자를 모집할 예정"이라고 말했다.