[이코노미스트 김정훈 기자] 금융보안원의 지난 2024년 ‘디지털금융 보안 인식 조사’에 따르면 전체 응답자의 90.6%는 ‘금융 자산 보호를 위해 일정 수준의 불편을 감수할 수 있다’고 응답했다. 결제 등 디지털 금융서비스 이용률이 높아지고 있지만 여전히 소비자들의 최우선 기준은 ‘보안’이라는 의미다.

또한 응답자들은 디지털 금융서비스의 편의성(27%)보다 보안성(73%)을 더욱 중시하는 것으로 나타났다. 비대면 거래 시 인증 방식에 대해서도 편의성이 다소 떨어지더라도 ‘인증을 강화해야 한다’는 응답이 72.3%로 가장 많았다. 결국 안전이 담보되지 않은 편의성은 큰 의미가 없다고 보는 것이다.

간편결제 시장은 계속 진화하고 있다. 과거 보안과 불편함의 상징으로 여겨졌던 공인인증서 제도는 이미 폐지됐고, 각종 페이(Pay) 서비스는 클릭 몇 번이면 결제가 완료될 정도로 편의성이 높아졌다. 이런 상황에서 토스는 아예 카드나 스마트폰 조작 없이 얼굴 인식만으로 결제할 수 있는 서비스를 내놓기에 이르렀다. 다만 국내에서는 아직 생체인증 결제의 안전성이 충분히 검증되지 못한 것 아니냐는 우려도 존재한다. 과연 토스의 얼굴 결제 서비스가 보안을 유독 중시하는 한국 소비자들의 신뢰를 얻을 수 있을지 관심이 모인다.

토스 “얼굴 원본 데이터 파기”

토스의 ‘페이스페이’는 스마트폰이나 카드 없이 얼굴 인식만으로 결제가 가능한 서비스로 간편결제의 다음 단계로 평가된다. 실제 페이스페이 가맹점에서 서비스를 이용하면 약 1초 만에 결제가 완료된다. 기존 토스 앱에 결제 카드를 등록해 두면 얼굴 인식만으로 결제가 가능해 편의성이 높다는 평가다.

가입자도 빠르게 늘고 있다. 페이스페이 가입자는 3월 초 기준 353만명을 넘어섰다. 지난해 9월 서비스 정식 출시 이후 가파른 속도로 이용자가 증가하는 추세다.

하지만 생체 정보가 결제에 활용된다는 점에서 소비자들의 우려도 적지 않다. 실제 서비스 도입 초기 소비자들 사이에서는 ‘얼굴 정보가 유출되는 것 아니냐’, ‘얼굴 정보가 기록된다는 사실 자체가 불편하다’는 우려가 제기되기도 했다.

결제 과정에서 단말기에 정보가 남는지 여부에 대한 우려는 과거 마그네틱 카드 결제 시절부터 제기돼 온 문제다. 카드 단말기에 신용카드를 긁으면 카드 정보가 단말기에 남아 도용될 수 있다는 우려가 있었다. 토스의 페이스페이 역시 결제에 얼굴 정보가 활용되는 만큼 ‘내 얼굴 정보가 저장되거나 도용되는 것 아니냐’는 우려가 자연스럽게 제기되는 상황이다.

지난해 9월 토스가 페이스페이 출시 간담회를 열었을 때도 가장 많이 나온 질문 역시 보안 문제였다. 당시 최호준 토스 페이스페이 TPO(테크니컬 프로덕트 오너)는 중앙 서버 해킹 가능성에 대해 “얼굴 이미지 원본 자체는 저장하지 않는다”고 설명했다. 만약 해킹이 발생하더라도 실제 얼굴 이미지 데이터가 저장돼 있지 않기 때문에 피해 가능성을 최소화할 수 있다는 것이다.

토스 측은 얼굴 결제 과정에서 얼굴 이미지 원본을 저장하지 않고, 얼굴 특징을 수치화한 ‘템플릿(암호화) 데이터’로 관리한다고 설명했다. 인증을 위한 일부 데이터만 암호화된 형태로 관리되고 원본 이미지는 즉시 파기된다는 얘기다.

토스 관계자는 “이런 템플릿 데이터 중 일부는 즉시 파기하고, 일부는 분쟁 대응 등을 위한 거래 관련 데이터로 활용하기 위해 최대 1년까지 보관된다”고 설명했다. 이어 “결제하지 않았는데 결제가 됐다고 주장하는 경우나 부정 결제 발생 가능성 등을 확인하기 위한 최소한의 조치”라고 덧붙였다.

또한 얼굴 인식 단계에서는 사진이나 영상 등을 이용한 위조를 막기 위해 ‘라이브니스’(Liveness) 기술이 적용된다. 이는 눈 깜빡임이나 얼굴 움직임 등을 분석해 실제 사람인지 여부를 판단하는 방식이다. 여기에 24시간 이상거래탐지시스템(FDS)을 가동해 부정 거래 여부를 실시간으로 감시하고 있다.

아울러 토스의 페이스페이는 서비스 출시 전 보안 알고리즘이나 데이터 처리 방식 등을 정부가 검토하는 절차인 개인정보보호위원회의 ‘사전적정성 검토’를 받았다. 김승주 고려대 정보보호대학원 교수는 “‘사전적정성 검토’를 받았다는 것만으로도 토스의 페이스페이는 일정 수준 이상의 기술적 검증은 받은 셈”이라고 설명했다.

강력한 보안 기준·보상책 마련 중요

토스가 페이스페이 보안에 특히 공을 들일 수밖에 없는 이유는 국내 상점에서 본격적으로 도입되는 첫 얼굴 기반 결제 서비스이기 때문이다. 만약 이 과정에서 보안 문제가 발생할 경우 단순히 페이스페이 서비스의 실패에 그치는 것이 아니라 토스가 운영하는 다른 금융 서비스 신뢰도에도 악영향을 미칠 수 있다는 점에서 신중한 접근이 불가피하다.

이미 중국에서는 2017년부터 알리페이와 위챗페이를 중심으로 각종 상점에서 얼굴 결제가 상용화된 상태다. 다만 2019년 온라인 플랫폼을 통해 수십만 건의 얼굴 정보가 거래됐다는 보도가 나오면서 사회적 논란이 크게 확산된 바 있다. 이후 얼굴 결제 보안과 관련해 대형 사고는 발생하지 않으면서 현재는 비교적 안정적인 흐름을 보이고 있다는 평가가 나온다.

이 사건을 계기로 중국 정부는 개인정보보호법을 시행해 얼굴 정보와 같은 생체 데이터를 민감 개인정보로 규정하고 보다 엄격한 보호 규정을 도입했다. 특히 얼굴 정보 수집 시 이용 목적을 명확히 고지하고 이용자의 동의를 받도록 했으며, 과도한 데이터 수집을 금지하는 내용도 포함됐다.

결제업계 관계자는 “국내에서도 생체인증 결제가 자리 잡기 위해서는 보다 강력한 보안 기준과 제도적 논의가 필요하다”며 “특히 결제 서비스 사업자가 정보 유출 사고 발생 시 피해자에게 확실한 보상을 제공할 수 있는 체계를 마련하는 것이 중요하다”고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지