[ET단상]간편결제와 보안 `댐(Dam)`

요즘 언론을 보면 그야말로 ‘간편결제’ 전성시대다. 그만큼 모바일 간편결제 시장규모 및 성장 가능성이 크다는 것을 방증하는 것이라고 본다.

현금으로만 거래하던 시절, 지금처럼 플라스틱 카드 결제가 대세가 될 것이라고 누가 예상했겠는가. 새로운 서비스의 성패는 고객에게 얼마나 많은 편리함과 부가가치를 제공하는지에 달려 있다.

현금결제를 플라스틱 카드가 대체했듯, 모바일 간편결제 역시 사업자들이 고객에게 제공하는 편리함과 부가가치가 어느 정도나 될 것인지에 따라 플라스틱 카드 시장 대체 여부가 결정될 것이다.

그러나 최근 이슈가 되고 있는 모바일 간편결제 서비스와 관련 절대로 간과해서는 안 될 중요한 요소가 있다. 아무리 편리하고 많은 가치를 제공하는 서비스라 하더라도 만약 보안성이 취약해 정보유출 문제가 발생한다면 시장 자체가 공멸할 수도 있다.

최근 액티브X 폐해로 인한 공인인증서 대체 보안인증 수단 필요성이 대두되면서 새로운 인증모델이 지속 출현하고 있는데 근본적인 보안대책 측면에서 우려되는 사항이 많아 몇 가지 방향성을 제시하고자 한다.

첫째, 앱 위·변조 방지, 코드 난독화 등 기본적인 보안솔루션 적용은 물론이고 최초 앱 본인인증시 보안을 강화해야 한다.

단말기 또는 유심(USIM) 정보, 즉 휴대폰번호, UICCID 등을 발췌, 사업자 서버에 기록관리 할 수 있도록 허용하고 결제 시마다 적법한 앱인지, 최초 인증 시 등록한 휴대폰인지를 확인하는 프로세스를 운영함으로써 불법 앱 이용을 원천적으로 봉쇄해야 한다.

둘째, 완벽한 부인방지를 위해 결제 비밀번호는 반드시 사업자가 아닌 결제금융기관이 보관, 관리해야 한다. 사업자 임직원의 불법행위로 인한 정보유출을 근본적으로 예방하기 위해 고객의 금융정보 또한 반드시 해당 금융기관만 보관·관리해야 금융사고를 사전에 방지할 수 있다.

금융정보를 해당 금융기관이 보관, 관리하면서 고객들이 비밀번호만으로 간편하게 결제할 수 있는 방법이 있는데도 간편결제 확대를 위해 굳이 일부 사업자들에게 금융정보 보관을 허용하겠다고 하는 정책은 정보유출 위험 측면에서 보면 여전히 불안하고 정보유출 책임소재가 불명확한 허점이 있다. 사업자 간 형평성 논란에 휩싸일 가능성도 크다고 할 수 있다.

셋째, 간편결제 서비스의 보안은 앱에서 최초 금융정보를 등록하는 단계, 정보를 저장하는 단계, 승인을 위해 정보를 전송하는 단계 등 처음부터 마지막 단계까지 E2E 보안이 전체적으로 완벽해야 한다.

만약 높이가 10m인 댐에 일부 높이가 5m인 부분이 있다면 이 댐의 높이는 10m가 아닌 5m인 것이다.

마찬가지로 정보를 보관하는 방법은 완벽한데 결제승인을 위해 정보가 전달되는 경로에 중간탈취 등 보안구멍이 난 간편결제 서비스가 있다면 이 서비스는 상용화해서는 안 되는 불량 서비스인 것이다.

‘천송이 코트’에서 촉발된 간편결제 논란이 결제문화 선진화는 물론이고 글로벌 간편결제 시장을 선도해가는 우리 기업이 탄생하는 계기가 될 수 있기를 간절히 소망해 본다. 이를 위해서는 정부 당국자의 현실감 있는 판단과 일관성 있는 정책운영이 필요하며 사업자들 또한 경쟁논리를 앞세워 너무 성급하게 접근하는 태도에서 벗어나야 한다.

박경양 하렉스인포텍 대표 park@moca.co.kr