[정보보호]진짜 카드 정보 대신 가짜 값으로 `결제토큰` 확산

관련 통계자료 다운로드 결제토큰 구분국내외 결제토큰 적용 현황 비교

신용카드의 고유 정보 대신 임의로 부여한 값을 이용해 카드결제하는 ‘결제토큰’이 확산되고 있다.

금융보안원(원장 김영린)은 핀테크 등 결제 기술 및 수단이 진화하면서 카드정보 유출에 따른 부정거래를 막는 수단으로 결제토큰 기술이 급부상하고 있다고 밝혔다.

2014년 초 카드3사에서 1억건이 넘는 신용카드 정보가 유출되며 온 국민이 혼란에 휩싸인 적이 있었다. 기존 신용카드 정보를 폐기하고 새 카드를 재발급받느라 엄청난 비용과 시간이 소요됐다.

최근 해커는 신용카드정보를 저장처리하는 장치를 공격한다. 결제서버 등 신용카드정보가 쌓인 곳을 해킹해 내용을 유출한다. 판매시점관리(POS) 시스템 해킹도 끊이지 않는다. 미국 대형 쇼핑몰 타깃(Target)은 2012년 11월 개인정보 7000만건, 카드정보 4000만건을 유출했다. 국내에서도 POS 악성코드로 인한 정보유출과 부정결제가 여전하다.

국내외 결제토큰 적용 현황 비교 자료:금융보안원
국내외 결제토큰 적용 현황 비교 자료:금융보안원

자료:금융보안원

이런 문제를 해결할 방법 중 하나가 결제토큰이다. 결제토큰은 원본 신용카드정보 대신 임의로 변환된 가상 정보를 결제에 사용하는 기술이다. 유출되더라도 진짜 신용카드 정보가 아니어서 후속 피해를 줄일 수 있다.

이미 애플페이와 비자, 마스터 등이 결제토큰을 쓰고 있다. 국내는 삼성페이와 간편결제를 제공하는 카드업계를 중심으로 확산 중이다. 유로페이·마스터카드·비자카드 연합인 EMVCo는 지난해 3월 토큰관련 규격 ‘EMV Tokenization Framework 1.0’을 공개했다. 국내 카드사는 협의체에서 자체 규격을 개발하고 토큰결제 서비스를 제공하고 있다. 비씨카드는 EMV 규격에 기반한 토큰시스템을 구축해 서비스 중이다.

토큰 발급과 결제 과정 자료:금융보안원
토큰 발급과 결제 과정 자료:금융보안원

자료:금융보안원

결제토큰은 모바일 앱이나 온라인 환경에서 안전한 결제뿐만 아니라 오프라인 상점에서 기존 신용카드 결제 단말기에서 그대로 쓸 수 있다. 현재 결제토큰은 본래 신용카드번호를 변환한 ‘토큰카드번호’를 만든다. 토큰카드번호는 일회용과 고정된 형태가 있다. 일회용은 생성된 시점부터 정해진 시간 내 카드사 승인요청으로 전달돼야 정상으로 인지된다. 고정형 토큰카드번호는 카드사에 전달돼 유효기간 등이 변경되지 않았는지 확인한다. 결제토큰은 진짜 신용카드번호나 정보를 추정할 수 없는 형태다.

결제토큰 구분 자료:금융보안원
결제토큰 구분 자료:금융보안원

자료:금융보안원

금융보안원은 “이 기술은 기존 결제규격과 호환성을 보장하면서 유출 대응이 가능해 편의성과 보안성을 모두 높여준다”며 “신용카드정보 토큰 서비스가 결제분야에 성공적으로 안착하면 개인식별번호에서 의료, 공공분야 정보까지 확산할 수 있다”고 분석했다.

김인순기자 insoon@etnews.com