간편결제는 관련 업계의 설명대로 이용자가 편의성과 보안성, 두 마리 토끼를 모두 잡을 수 있게 하는 신기술일까? 그러면 좋겠지만, 유감스럽게도 아직까지는 보완이 많이 필요할 것으로 보인다. 간편결제 서비스를 제공하는 기업들이 소비자를 유혹하려 편의성만을 추구하다가 보안성은 놓칠 수 있다. 지난해 10월 애플은 간편결제 서비스 ‘애플페이’의 첫선을 보였다. 그로부터 반 년여가 지난 올 3월 미국의 월스트리트저널은 애플페이를 이용한 신종 사기가 기승을 부리고 있다고 보도했다.

이 매체는 모바일 결제 전문가인 체리안 아브라함의 말을 인용하면서 “전체 애플페이 거래의 약 6%가 금융사기 거래로 추정된다”며 “신용카드 거래의 0.1%만이 금융사기 거래에 연관되어 있다”고 전했다. 간편결제를 했을 때 신용카드로 거래했을 때보다 훨씬 높은 빈도로 금융사기 위험에 노출될 수 있음을 지적한 것이다. 7월 현재도 이 같은 위험성은 고스란히 존재한다.

왜 그럴까. 간편결제의 메커니즘을 살펴보자. 다시 애플페이를 예로 들면 애플페이 이용자는 신용카드나 은행 직불카드 등의 개인정보를 입력해둔 다음, 아이폰과 연계된 전용 애플리케이션(앱)을 통해 손쉽게 결제할 수 있다. 이때 애플은 애플페이 이용자가 등록한 카드 정보와 아이튠 계정, 이용자의 아이폰에 대한 데이터 등을 암호화해서 각 은행과 카드회사로 전송한다. 그러면 은행은 애플로부터 전달받은 데이터를 확인한 후 등록의 승인 여부를 결정한다. 애플의 데이터 암호화 방식은 다음과 같다. 이용자가 매우 신뢰할 만하면 초록색으로, 그보다 신뢰성이 떨어지면 노란색으로 표시한다. 은행은 초록색으로 분류된 애플페이 이용자의 신청을 곧바로 승인하지만, 노란색으로 분류된 이용자라면 본인 확인 등의 검사 절차를 다시 거친 다음에 신청을 승인한다.

여기서 이용자가 등록한 카드 정보, 즉 카드 번호는 ‘토큰’이라는 이름의 다른 번호로 바뀌어 저장된다. 이른바 토큰화(Tokenization)다. 이용자의 결제 과정에서 카드 번호 대신 토큰이 사용된다. “카드 정보가 유출되더라도 애플페이는 토큰을 사용하기 때문에 안심할 수 있다”는 것이 애플페이 출시 당시 애플 측 주장이었다. 그러나 막상 뚜껑을 열자 보안 문제는 다른 곳에서 또다시 발생했다. 카드 정보를 등록할 때 인증 단계에서 본인 확인이 필요한 노란색의 이용자는 은행이나 카드회사 담당 부서에 전화를 하거나 e메일을 보내 본인 확인을 할 수 있다. 앱 로그인만으로도 가능하다.

문제는 이처럼 본인 확인이 쉽다보니, 금융사기를 저지르는 사기꾼들이 타인의 카드 정보를 얻어낸 뒤 간편결제 이용자가 본인인 것처럼 쉽게 위장할 수 있다는 데 있다. 이들은 훔쳐내거나 우연히 획득한 타인의 카드 정보를 자신이 가진 장치(새 아이폰)에 입력한 뒤, 카드 주인인 것처럼 행동한다. 카드 정보가 아이폰에 등록되어 있다면 애플페이에 대응하는 상점 어디서나 아이폰으로 자유로이 상품을 사들이거나, 구매한 상품을 교환할 수 있다. 실제로 애플페이를 통한 금융사기의 대부분은 애플페이에 대응하는 고액의 상품을 판매하는 ‘애플스토어’에서 일어나는 것으로 나타났다. 이런 금융사기 유형은 정작 애플페이 시스템 해킹과는 아무런 관련이 없기 때문에, 회사 측이 시스템을 아무리 철저히 관리한다 하더라도 이용자들은 계속된 사기 위험에 노출될 수밖에 없다. 애플이 이용자의 편의만을 중시하다가, 정작 보안 조회에는 소홀해 문제를 키우고 방관하는 것이 아니냐는 책임론이 불거지고 있다.

전문가들은 국내에서 간편결제가 보편화할수록 미국과 같은 문제에 처할 가능성이 크다고 우려한다. 간편결제가 편의성과 보안성 두 마리 토끼를 잡는 것을 목표로 하는 결제 방식임에도, 국내 기업들은 편의성에만 지나치게 초점을 두고 있어 위험하다는 지적이다. 예컨대 애플처럼 토큰화 기술을 잇따라 도입하기로 한 국내 기업들이 이를 마치 만능열쇠인 것처럼 포장하고 있지만, 그 이면에서 빈번히 일어나고 있는 금융사기의 위험성에 대해서는 얼마나 제대로 파악하며 방비하고 있는지 미지수다. 이러한 보안성 문제는 결국 간편결제 이용자들에게도 부메랑으로 돌아올 공산이 크다. 김인석 FDS산업포럼 회장은 “편의성에만 초점을 둔 간편결제는 금융사기와 같은 금융보안사고 발생 시 이용자의 서비스 이용을 불편하게 하는 보안 모듈 설치를 다시 허용하도록 할 수 있다”며 “이 경우 ‘액티브X’나 공인인증서처럼 현재 지적되는 문제의 악순환이 거듭될 수 있을 것”이라고 지적했다. 보안 문제가 심각해지는 경우 그간 금융소비자들을 불편하게 했던 복잡한 규제가 다시 생겨나는 악순환이 일어날 수 있다는 것이다.

그동안 국내 소비자들은 온라인으로 상품을 구입할 때 액티브X 등 이중·삼중의 보안 프로그램을 설치하는 불편을 감수해야 했다. 이에 대한 소비자들의 반감이 크다보니 간편결제 서비스를 도입한 기업들로서는 편의성 강화에 사활을 걸 수밖에 없고, 그러다 보면 동시에 추구하기 쉽지 않은 보안성 강화에는 소홀해지기가 쉽다. 기업들은 자체적으로 이상거래탐지시스템(FDS)을 갖춰 보안성을 유지하는 데 나서고 있지만, FDS가 기존의 보안 프로그램들보다 효과적일지는 불확실하다. 이와 함께 간편결제가 기술적으로도 더 보완돼야 한다는 지적이 나온다. 업계 관계자는 “대기업들이 잇따라 간편결제 시장에 뛰어들고 있지만 지금껏 나온 기술들을 보면 오작동이 많거나 느리게 작동하는 등 한계가 있는 것이 사실”이라고 말했다.

금융당국도 이미 간편결제의 이 같은 한계를 파악하고 대응책 마련에 한창이다. 임철재 한국은행 결제감시부장은 “금융보안사고 관련 손해배상의 법적 가이드라인을 마련하면서 소비자 보호 체계를 구축하는 데 나설 것”이라며 “소비자의 책임은 제한하되 보호 조직은 강화하는 방향으로 가야 한다”고 설명했다. 간편결제의 보안성 강화도 중요하지만, 금융소비자들을 위한 합리적인 보상 체계의 마련도 중요하다는 지적이다. 김승주 고려대 정보보호대학원 교수는 “미국의 경우 한국에서보다 온라인 금융사고가 더 많이 발생함에도 소비자들이 그만큼 쉽게 손해배상을 받을 수 있게끔 제도적 기틀을 마련했다”며 “금융사고가 발생해도 소비자가 제때 신고하면 금융회사들이 책임지도록 해야 하는 등 제대로 된 보상체계 마련이 무엇보다 중요하다”고 강조했다. 임철재 부장은 “한국은행의 감시 기능이 강화돼야 할 필요성이 커졌다”며 “간편결제 등 신종 전자지급서비스가 가진 잠재적인 위험성에 대한 분석을 지금보다 강화할 것”이라고 덧붙였다. 한편 최근 기업들이 지문 인증에 이어 상용화를 준비 중인, 목소리·얼굴 인증을 통한 본인 확인이 보안성 강화에 얼마나 기여할지도 주목할 필요가 있다.

- 이창균 기자 lee.changkyun@joins.com

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지