제로페이뿐 아니라 시중은행까지 사용할 수 있는 '은행권 공용 QR코드 표준'이 확정됐다.
제로페이에 참여하는 모든 결제사업자 결제 애플리케이션(앱)에서 사용할 수 있게 했다. 기존 QR코드가 링크로 연결되는 방식을 변경, 큐싱(QR코드+피싱) 위험도 방지했다. 다만, 자체 QR코드를 갖춘 카카오페이는 호환이 불가능하게 됐다.
금융위원회가 6일 'QR코드 결제 표준'을 공표했다.
한국은행 금융정보화추진협의회(금정추)에서 마련한 초안을 바탕으로, 이달 보안성 심의 절차를 거쳐 금융결제원, 금융보안원 공동으로 최종 표준을 제정했다. 이를 9월 말 '제로페이' 사업을 추진 중인 중소벤처기업부와 서울시에도 전달했다.
이번 QR코드 결제 표준은 QR코드 발급과 이용, 파기 등 전 과정에서 결제 범용성과 간편성, 보안성을 갖췄다.
먼저 QR코드를 발급 시 국제 표준에 따라 QR코드 최신 모델로 발급해야 한다. QR코드 내 오류 복원율을 일정 수준 이하로 제한하는 등 보안기능을 넣어야한다. 민감한 개인·신용정보는 들어가선 안 된다.
고정형 QR는 특수필름을 부착하는 등 위·변조 방지 조치를 취해야한다. 변동형 QR는 보안성 기준을 충족한 앱을 통해서만 발급해야 한다.
가맹점에 부착된 QR코드는 고정형 QR코드, 소비자가 결제 앱에서 생성한 QR코드는 변동형 QR코드라고 부른다. 고정형 QR 결제에서는 소비자가 QR코드를 직접 입력하는 반면, 변동형 QR 결제에서는 가맹점이 QR 리더기로 읽는다. 변동형 QR코드로 앱 투 앱 결제도 가능해질 전망이다.
결제사업자는 해킹 방지대책을 세워야 하며, 소비자와 가맹점은 보안성이 인정되지 않은 임의 QR코드 스캐너 등을 사용하면 안 된다.
이외 가맹점 탈퇴·폐업한 점주는 QR코드를 파기한 뒤 가맹점 관리자에게 신고해야 한다. 결제사업자는 훼손됐거나 가맹점이 탈퇴·폐업한 QR코드, 유효기간이 지난 변동형 QR코드 등은 결제를 차단해야 한다.
한편, 정부가 일률적인 QR코드 표준을 배포해 기존 사업자 경쟁력을 저하시킬 수 있다는 우려도 제기됐다. 실제로 카카오페이는 이미 시중에 QR단말 10만여대를 보급했다.
금융기관에서는 더 많은 QR코드가 배포되기 전 표준을 정하는 것이 맞다는 의견을 피력했다. 금융결제원 관계자는 “기존 QR코드는 URL 방식이라 은행마다 각자의 QR코드를 만들어야했다”며 “이미 자체 규격을 만든 사업자 피해는 불가피하겠지만, 더 많은 규격이 생기기 전 표준을 정하는 게 맞다”고 밝혔다.
카카오페이도 이번 QR코드 규격 관련, 모든 가능성을 열어놓겠다는 입장이다. 카카오페이 관계자는 “정부 QR코드 표준과 우리 코드가 기술적으로 달라 지금 당장은 호환이 어렵다”면서도 “소비자 불편이 초래되지 않도록 QR코드를 재개발하는 등 다양한 가능성을 검토하겠다”고 말했다.
함지현기자 goham@etnews.com