[애플페이 빛과그늘③]국내 마트서 이용한 결제정보가 해외로 넘어간다고?
애플페이, 개인정보 해외 이관·금융사고 책임 소재 등 보안 우려 여전
간편결제서비스 이용자 보호 강화 추세, 국내-해외 플랫폼 역차별 논란도
[서울=뉴시스] 김진아 기자 = 애플의 근거리무선통신(NFC) 결제 서비스 '애플페이'가 21일부터 국내 오프라인 가맹점, 앱 및 온라인에서 사용 가능하다. 애플은 이날 아이폰, 애플워치, 아이패드, 맥 등을 통해 한국에서도 애플페이를 이용할 수 있다고 밝혔다. 사진은 이날 서울 시내의 한 음식점 계산대에 애플페이 결제 가능 안내 스티커가 붙어있다. 2023.03.21. [email protected]
[서울=뉴시스]윤현성 기자 = 애플페이의 국내 서비스와 관련해 대표적인 우려 사안으로 꼽히는 것이 국내 이용자들의 결제 정보가 국외망으로 이전된다는 점이다. 금융위가 도입 전 심사에서도 가장 유의깊게 살핀 것도 이 부분으로 알려졌다.
국내 결제 정보의 해외 이전이 개인정보보호법 및 신용정보법상 허용되는 행위인지를 점검한 것. 금융위가 법률상 저촉 행위로 보기 어렵다는 판단을 내리면서 애플페이가 국내 상륙할 수 있게 됐다.
글로벌 카드사에서 '토큰' 받는 애플페이…마트서 쓴 결제 정보도 국제망 이관
삼성페이로 대표되는 국내 간편결제 서비스는 카드사들이 삼성페이에 보안을 위한 일회용 신용카드 번호인 '토큰'을 제공해주고, 토큰과 카드번호가 일치하면 결제가 승인된다. 현재 국내에서 국내 신용카드로 결제를 진행할 때 국외망을 사용하는 경우는 없다.
반면 애플페이는 비자·마스터 등 글로벌 결제 사업자들의 표준규격인 EMV 방식이 적용되며, 이 국제 브랜드 카드사들이 제공하는 토큰을 기반으로 결제가 진행된다. 이 과정에서 카드 결제 승인을 위해 국내 사용자들의 신용카드 번호, CVC 값, 가맹점 결제 정보 등이 국제 망으로 이관될 수밖에 없다.
금융위가 애플페이 도입을 허용하긴 했으나 결제정보가 국제 망으로 이관되는 과정에서 정보보호를 위한 기술 안정성 문제가 어떻게 해결됐는지는 금융당국과 애플 모두 명확한 설명을 내놓지 않았다는 게 업계의 주장이다.
애플-현대카드-국제 카드사 엮인 애플페이…금융사고 발생 시 책임 소재도 모호
애플페이가 별도 라이센스 없이 현대카드를 통해 국내시장에 우회 진출한 것으로 알려진 만큼 여신전문금융업법이나 정보보호법을 적용하기 어렵다는 관측이다.
업계에서는 사고 발생 시 현대카드가 선보상하는 방향으로 정착될 경우 추후에도 국내 카드사들이 애플페이 대신 금융사고에 대한 일 책임을 져야만 하는 선례가 될 수 있다고 우려하고 있다.
최근 금융당국은 금융소비자보호법 등을 통해 간편결제서비스 같이 소비자와 직접 맞닿는 금융 플랫폼의 일차적 책임을 강화한 바 있다. 애플페이와 같은 해외 플랫폼에도 동일한 기준을 적용해야 국내업체와 역차별 문제를 방지할 수 있다는 게 업계 입장이다.
애플이 내세운 '빠르고 편한 결제'…보안 문제 없을까
애플페이의 보안 문제와 관련해 애플은 철저한 보안 및 개인정보 보호 기술을 탑재하고 있는 만큼 우려할 필요가 없다고 강조했다. 카드 번호 등이 애플 서버나 개인 단말기에도 저장되지 않고, 카드 번호가 아닌 고유의 기기 계정 번호(DAN)를 생성한 후 암호화 과정을 거쳐 사용자의 단말기 내부의 시큐어 엘리먼트(Secure Element) 칩에만 안전하게 저장된다는 설명이다.
또한 애플은 NFC(근거리무선통신) 방식을 통해 아이폰이나 애플워치의 측면 버튼을 누른 뒤 단말기에 기기를 대기만 하면 빠르고 간편하게 결제를 할 수 있다고 강조했다. 이에 대해서도 다소 보안이 취약할 수 있다는 우려가 제기되고 있다.
애플페이와 삼성페이의 국내 서비스를 비교해보면 토큰 발행 방식에서 차이를 보인다. 삼성페이의 경우 보안 인증이 '원타임 토큰' 형식으로 이뤄진다. 예컨대 사용자가 지문 인증을 하면 시간 내에 딱 한번만 결제가 가능하고, 시간이 지나면 토큰 자체가 사라져 재인증 전에는 결제가 불가능하다.
또한 삼성페이는 본인 명의의 휴대전화에서만 결제가 가능하도록 반드시 데이터 제공 환경에서만 사용이 가능하고, 와이파이만으로는 결제가 불가능하다. 실제로 데이터를 끈 상태에서 삼성페이 결제를 시도하면 '모바일 네트워크에 연결하라'는 안내문이 표출된다. 아울러 삼성페이의 경우 암호화된 토큰이 기기 어디에도 저장되지 않는다.
데이터 연결을 차단한 상태에서 삼성페이 앱을 실행하면 '모바일 네트워크에 연결하라'는 안내문이 나온다. (사진=삼성페이 캡처) *재판매 및 DB 금지
반면 애플페이는 원타임 토큰이 아닌 한번에 다수의 토큰이 들어오는 것으로 알려졌다. 다수의 토큰이 한번에 들어오기 때문에 추가적인 인증 없이 보다 빠르게 결제 절차가 진행되는 셈이다. 삼성페이와 달리 애플페이는 암호화된 토큰을 시큐어 엘리먼트 칩 내에 저장해 보호하고, 사전에 등록된 페이스ID·터치ID 등을 통해 토큰을 활성화하게 된다. 기기 내에 토큰이 저장되는 만큼 데이터 연결이 없어도 사용이 가능하다.
이 또한 EMV 표준과 국내 카드사들이 만든 규정의 차이인데, 보안 측면에서는 원타임 토큰이 더 뛰어나다는 게 업계의 설명이다.
한 업계 관계자는 "최근 국내에서는 간편결제 플랫폼이나 핀테크 기업 등에 대한 금융 소비자 보호 책임이 계속 강화되는 추세"라며 "해외 플랫폼에 대해서도 보안 책임성을 보다 명확히 물을 필요가 있는 것으로 보인다"고 지적했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지