물리적복제방지(PUF)와 국제표준(EMV)칩 기술 등 하드웨어를 활용한 보안이 급증하는 전자결제 사고를 막는 대안으로 떠올랐다.
서울파이낸셜포럼(회장 김기환)은 25일 서울 조선호텔에서 ‘결제정보 유출리스크와 대응방안: 글로벌 선진 사례와 한국의 과제’ 콘퍼런스를 열었다. 이날 참석한 전문가들은 폭발적으로 증가한 전자결제와 이를 노린 해킹 및 부정사고를 100% 막을 방법이 없다는 데 동의했다. 특히 VAN 등이 포함된 복잡한 국내 전자결제 인프라가 보안 사각지대라고 입을 모았다.
해킹을 막을 수는 없지만 피해를 최소화할 방법으로 PUF와 EMV칩 기술이 소개됐다. PUF는 지문인식처럼 어떤 시스템에 있는 미세한 물리적 구조 차이다. 인위적으로 같은 것을 만들기 어렵다.
김동규 한양대 융합전자공학부 교수는 “안드로이드 운용체계는 리눅스를 기반으로 수많은 취약점이 존재한다”며 “이제 소프트웨어적으로 취약점을 막는데 한계가 있어 하드웨어를 활용해야 할 시점”이라고 말했다. 김 교수는 “해커는 안전하다고 안드로이드는 물론이고 알려진 IC칩 스마트카드도 복제하는 상황”이라며 “PUF 기술 상용화가 임박했다”고 덧붙였다.
조 커닝햄 비자 아시아태평양 리스크총괄 부사장은 “한국 전자결제 생태계는 구조적으로 취약하다”며 “IC칩 카드 발행비율은 높지만 실제 결제는 여전히 마그네틱으로 이뤄진다”고 설명했다. 커닝햄 부사장은 “국제 사회는 보안사고 발생시 EMV칩 기술을 쓰지 않는 곳이 책임을 진다”며 “보안기술 수준이 낮은 쪽이 피해를 보상한다”고 설명했다.
임종인 고려대 교수는 “VAN은 국내에만 있는 사업자로 실제 금융사 역할을 하지만 여신전자금융법이나 전자금융거래법 규제를 받지 않는 전자금융 사고의 사각지대”라고 설명했다. 임 교수는 “국내 회계기준이 원칙 중심의 IFRS로 바뀐 것처럼 전자결제 보호도 원칙에 의거해 선제적으로 노력하는 방향으로 가야 한다”고 말했다.
최수현 금융감독원장은 “금융회사는 금융당국의 규제나 법률을 준수하면 정보보호 의무를 다했다고 생각하는 수동적인 자세를 탈피해야 한다”며 “지속적인 종합 점검은 물론이고 불시 점검을 상시화해 경각심을 높일 것”이라고 밝혔다.
김인순기자 insoon@etnews.com