[이슈분석]해외에선 간편결제 보안 어떻게 하나

게티이미지뱅크
게티이미지뱅크

“페이팔이 지난해 고객에게 피해 보상한 금액은 11억불에 달합니다. 원화로 약 1조3000억원입니다.”

신용석 비바리퍼블리카 최고정보보호책임자(CISO)는 “토스가 (부정결제) 피해 고객에게 신속 환급한 사실을 봐 달라”면서 이 같이 말했다.

실제로 페이팔과 알리페이 같은 해외 간편결제 업체는 '우선 보상' 정책을 운영한다. 도용 등 사고를 불가피한 재난으로 간주, 이용자가 사고 신고 접수하는 즉시 보상하는 구조다. 사고율은 0.3%에서 1%로 집계된다.

한국은행이 지난 2월 발간한 '주요국 지급수단 사기 동향과 시사점' 보고서에 따르면 정보기술(IT) 발전과 핀테크 활성화로 국내외 지급수단 사기는 복잡, 다양화하는 추세다. 보안 사고를 원천 차단하는 것은 신·변종 공격으로 점점 더 어려워지는 셈이다.

주요국은 중앙은행과 지급결제시스템 운영기관에서 지급수단 사기 데이터를 구축한 후 이용자에게 공개하는 방식으로 사고에 대응한다. 국내는 지급수단 사기에 관한 공식 통계와 정기 보고서가 없어 지급수단 이용자가 사기에 대비할 수 있는 정보가 부족한 실정이다.

세계적으론 다크웹에서 취득할 수 있는 개인정보가 많아지면서 계좌 탈취, 합성 사기에 의한 손실이 증가했다. 비대면 카드 거래는 전체 거래 금액 15%지만 사기 손실로는 54%를 차지했다. 국가 간 전자상거래 증가로 이 같은 손실을 빠르게 증가할 것으로 예상된다.

유럽연합(EU)은 비대면 거래 사기에 대응하기 위해 지난해 9월 강력고객인증(SCA)을 채택했다. 이 규제에 따라 EU 모바일과 인터넷 결제 사업자는 개인정보보호법(GDPR)뿐만 아니라 전자결제 다중 인증을 준수해야 한다.

영국은 2001년부터 지급수단 사기 통계를 공개, 다른 나라보다 일찍 대응에 나섰다. 사회공학 방식으로 금융정보와 개인정보를 유출하는 사기가 급증한다. 의회 차원에서 해결책 마련에 나섰으며 소비자와 서비스 업체, 감독당국이 함께 자율규범을 만들어 지난해 5월 시행에 돌입했다. 계좌 간 최초 이체에 대해서는 사기 거래 여부 확인을 위해 24시간 지급 지연 처리를 의무화했다.

프랑스는 중앙은행 산하 지급수단보안감시기구(OSPM)를 뒀다. 다른 나라와 마찬가지로 대면거래보다 비대면거래 사기율이 높은 수준이며 통화금융법에서 지급수단 사기 통계를 의무적으로 공개한다.

미국은 연방준비제도 차원에서 지급수단 사기 관련 조직(FRPS)을 개설했다. 결제 산업 이해관계자와 협력해 지급수단 사기 설문조사를 실시하고 데이터를 공개한다.

오다인기자 ohdain@etnews.com