[이강태의 IT경영 한수]<50>양치기와 간편결제

글자 작게 글자 크게 인쇄하기
[이강태의 IT경영 한수]<50>양치기와 간편결제

우리 모두 양치기 소년과 늑대의 동화에 대해 잘 안다. 한두 번은 속지만 세 번째는 속지 않았다는 뜻인데 문제는 세 번째는 정말 늑대가 나타났다는 것이다. 본래 양치기 소년과 늑대 얘기의 주된 교훈은 거짓말을 하지 말라는 것이다. 그렇지만 동화의 결말은 양들이 늑대에 잡아 먹혔다는 것이다.

얼마 전 한 조찬 강의에서 연세대 철학과 김형철 교수가 던진 질문이다. 세 번째에도 어른들은 거짓말인 줄 알면서도 뛰어나와야 했는가? 만에 하나 거짓이 아니어서 희생이 클 것으로 예상될 때는 속는 셈 치고 또 뛰어나와야 한다는 것이다. 그게 리스크 매니지먼트다.

요즘 간편결제로 시작된 금융혁명의 불길이 이제 핀테크로 옮겨 붙었다. 연초에 천송이 코트 얘기로 처음 불길이 치솟더니 이제는 금융산업 전반에 걸쳐 대세가 됐다. 원하든 원하지 않든 간에 간편결제의 성공적인 정착이 다음 단계인 핀테크의 확산과 성공에 중요한 시금석이다. 그래서 간편결제는 꼭 성공시켜야 한다. 그래야 핀테크도 성공한다.

간편결제가 성공하기 위해선 몇 가지 전제 조건이 있다. 우선 제일 중요한 것이 금융사 자체 시스템에 대한 보안과 사용자 인증이다. 외국의 간편결제를 경험해 본 직구족 입장에서는 가끔 결제가 너무 간단하다는 느낌을 받을 정도로 정말 간편하다. 한번 등록해 놓은 카드정보와 배송주소 정보만 눈으로 확인하고 결제버튼을 누르면 끝이다. 키보드 암호화 모듈을 깔라는 얘기도 없고, 안심결제 비밀번호를 넣으라는 요구도 없고, 휴대폰으로 본인 인증하라는 추가 요구도 없고, 공인인증서를 쓰라는 얘기도 더군다나 없다. 이렇게 소비자 입장에서 간단한 이유는 결제를 담당하고 있는 PG(결제대행)사나 쇼핑몰들이 나름대로 뒷단에 완벽하게 고객정보를 지키고 있기 때문이다.

이들이 고객정보를 나름 완벽하게 보관한다고 생각하는 것은 PCI-DSS(Payment Card Industry-Data Security System)와 FDS(Fraud Detection System)가 제대로 작동하고 있기 때문이다. PCI-DSS는 카드사나 PG사들이 어떻게 자체 시스템의 보안을 갖출 것인지를 정의해 놓은 업계 표준 지침이다. 우리나라에서도 발 빠른 몇몇 업체들이 이미 인증을 받아놓았다. 당연히 이 표준은 지속적으로 업데이트되기 때문에 인증 자체가 중요한 것이 아니라 지속적으로 높은 수준의 보안시스템을 구축해 나가겠다는 적극적 의사 표시다. 하지만 대부분 카드사나 PG사들이 아직 인증을 받지도 않았고 준비도 하지 않고 있다. PCI-DSS의 인증을 받았다고 해서 완벽한 보안이 되는 것은 아니다. 정보 유출이 꼭 시스템에서 일어나는 것만은 아니기 때문이다. 하지만 중요한 것은 글로벌 환경에서 세계적 표준에 맞게 보안 시스템을 구축하지 않으면 글로벌 비즈니스를 하는 데 많은 지장이 있고 신인도에도 문제가 된다.

사용자 인증에서 중요한 것은 FDS다. FDS는 간편결제에서 매우 중요하다. 지금은 카드 쓸 때마다 사전에 고객을 인증하지만 간편결제 이후엔 카드 승인 후에 고객을 인증한다. 그래서 고객의 주된 사용 PC, 사용패턴, 사용 장소, 평소 사용 금액 등 여러 요소를 행동과학 측면에서 분석하고 관리한다. 평소의 패턴에서 벗어나면 바로 본인에게 확인을 하고 혹시 있을지 모르는 타인에 의한 카드사용을 막아주는 시스템이다. 그래서 FDS는 간편결제의 전제 조건이다. 지난해 초 발생한 카드사의 정보유출도 따지고 보면 각사가 FDS를 구축하다가 발생한 사건이다. 사건의 주범인 박모 차장이 업계에서는 FDS를 제일 잘한다고 해서 각 카드사가 사정하다시피 모셔간 인물이다. 결과적으로 카드사 입장에선 대재앙이 됐지만 뒤집어 보면 각 카드사에 FDS 인력이 제대로 양성되지 못했다는 것을 방증한다. 대부분 카드사들이 FDS를 구축해 놓고 있지만 전문적 운영이 더 중요하다. 고객의 결제정보를 축적해 분석하고 패턴을 만들어 관리해야 한다. 이뿐 만이 아니다. 국내 사용뿐 아니라 해외 사용에 대해서도 대책을 세워야 한다.

문제는 지금의 간편결제로의 전환이 이러한 PCI-DSS나 FDS의 준비 없이 진행되고 있다는 것이다.

두 전제 조건이 조직 내에서 완벽하게 작동하기 위해선 상당한 시간이 걸린다. 인증이나 FDS 설치로 끝나지 않고 그 시스템들을 지속적으로 관리해 나갈 내부 역량이 갖춰져야 하기 때문이다. 그래서 언론에서 간편결제 얘기만 나오면 항상 맨 마지막에 보안에 대한 우려가 따라 나오는 것이다. 전체적으로 업계가 준비가 덜된 채 등 떠밀려 간편결제를 설치하고 난 뒤에 보안 문제가 동시다발적으로 터지면 당국에서도 무척 난감할 것이다.

어떤 경우에도 양들이 늑대에 잡아먹히면 안 된다. 설마 하더라도 양치기가 늑대가 나타났다고 소리치면 속는 셈치고 어른들은 연장을 들고 뛰쳐나와야 한다. 이것이 리스크 매니지먼트다.

CIO포럼 회장 ktlee777@gmail.com