34조 규모 카드 부정 사용 막는 'VOTC알고리즘' 첫 상용화

국내 스타트업이 수천만개 난수를 적용해 카드번호를 실시간 변경하는 'VOTC(Virtual One-Time Code)' 기술을 개발했다. 12일 경기도 성남시 센스톤 기술연구소에서 연구원이 VOTC를 적용한 '가상 카드번호 생성 기술'을 소개하고 있다. 성남=김동욱기자 gphoto@etnews.com
국내 스타트업이 수천만개 난수를 적용해 카드번호를 실시간 변경하는 'VOTC(Virtual One-Time Code)' 기술을 개발했다. 12일 경기도 성남시 센스톤 기술연구소에서 연구원이 VOTC를 적용한 '가상 카드번호 생성 기술'을 소개하고 있다. 성남=김동욱기자 gphoto@etnews.com

16자리 신용카드 번호가 실시간 바뀌는 알고리즘을 국내 기업이 개발했다. 카드 부정 사용을 무력화하는 세계 첫 보안 인증 기술이다. 기존의 카드 인프라를 사용할 수 있어 범용성도 확보했다. 복수의 글로벌 프로세싱·카드사와 기술 협상에 착수했다.

12일 금융권과 정보통신(IT)업계에 따르면 국내 보안 스타트업 센스톤(대표 유창훈·이준호)이 수천만개 난수를 적용해서 카드번호를 실시간 변경해 주는 'VOTC(Virtual One-Time Code)' 알고리즘을 세계 최초로 개발했다. 1회형 비밀번호 생성기(OTP)를 플라스틱카드에 결합한 형태다. 통신 교류 없이도 온·오프라인에서 본인식별 인증과 거래까지 지원하는 첫 사례다.

신용카드를 발급받으면 16자리 고정 카드번호가 찍혀 있다. 이 신용카드 번호를 실시간으로 난수를 적용해 바꿔서 부정 사용을 막는 기법이다. 그동안 이런 시도가 없지는 않았다. 월렛카드, 지문인식 카드, CVC변경카드 등이 있었다.

그러나 이들 모두 고정된 카드번호를 사용하기 때문에 무카드거래(CNP) 부정 사용은 막지 못했다. 별도의 통신 인프라가 있어야 활용이 가능했다.

반면에 센스톤이 개발한 VOTC 기술은 비통신 상태인 실물 카드에서 네트워크 연결 없이도 카드 부정 사용을 실시간 방지한다. 온·오프라인 모두 사용이 가능, 무작위로 발생하는 CNP 금융 사고까지 원천 차단한다.

무카드거래 사고 현황(자료-유에스페이먼트 포럼)
무카드거래 사고 현황(자료-유에스페이먼트 포럼)
무카드거래 사고 현황(자료-유에스페이먼트 포럼)
무카드거래 사고 현황(자료-유에스페이먼트 포럼)

US페이먼트 포럼에 따르면 CNP 금융 사기 피해는 지난해 240억달러(약 26조원)에서 올해 320억달러(34조원)에 이를 것으로 추정했다. CNP 사고는 온라인 결제, 전화 주문, 실물 카드 거래 등 때 카드 정보(카드번호, 일자, CVC 등)가 그대로 유출되면서 발생한다.

과거에는 카드 복제로 인한 사고 비율이 높았지만 IC카드(EMV칩) 의무 사용으로 인해 복제 사고는 줄어들고 있다. 그러나 IC카드도 카드번호와 CVC번호 입력만으로 결제하는 온라인 CNP거래 피해의 원천부터 막을 수는 없다.

유창훈 센스톤 대표는 “온라인 상거래가 늘면서 CNP 사고가 크게 늘고 있다”면서 “기존 마그네틱카드뿐만 아니라 IC카드도 이런 사고에서 자유롭지 않다”고 밝혔다.

센스톤은 지난해 8월 신용카드 번호를 실시간 바꿔 주는 알고리즘을 완성했다. 이 알고리즘을 실제 시장에 적용하기 위해서는 단 한 명이라도 같은 가상 카드번호가 발급되면 안 된다.

이 때문에 수천만개 난수를 AI 기법을 활용해 1초 단위로 수백만명의 사용자가 카드번호를 교체해도 겹치지 않도록 하는데 성공했다. 기존의 카드 결제 인프라 변경이나 서버(중앙처리시스템)와 네트워크 연결 없이 결제 적용이 가능한 플랫폼이다.

가맹점 판매관리시점(POS) 단말기 교체나 토큰사업자 간 시스템 연동 없이도 온·오프라인 모두에 적용할 수 있다.

또 매번 자체 생성되는 가상카드 번호만으로 실제 카드 소유와 카드번호를 실시간 식별, 결제도 가능하다. OTP와 유사하지만 본인 여부까지 확인할 수 있다. OTP가 번호만으로 작동하는 연산 작업인 반면에 이 기술은 가상번호로도 본인 인증이 가능하다.

비자, 마스터, 글로벌 간편결제 사업자도 상용화에 성공하지 못한 기술이다. 이미 글로벌 프로세싱 기업과 기술 협상을 하고 있다.

센스톤은 13~15일 싱가포르에서 열리는 '머니 20/20 콘퍼런스'에서 해당 기술을 최초로 공개한다. 이날 행사에는 구글, 마스터카드, 앤트파이낸셜 등 175개 글로벌 핀테크 유관 기업이 IT이노베이터로 참가한다.

센스톤은 대형 글로벌 기업과 기술 협력 회의를 갖고 VOTC 기술을 카드보안 사업 외에 전자인증, 전자주민증, 사물인터넷(IoT) 분야에 확대 적용하는 방안을 추진한다.


[표]기존 카드부정사용 방지 기술 문제점(자료-본지 취합)

34조 규모 카드 부정 사용 막는 'VOTC알고리즘' 첫 상용화


길재식 금융산업 전문기자 osolgil@etnews.com