모바일결제 보안 강화 `토큰` 기술 급부상

관련 통계자료 다운로드 애플페이 토큰화 기술개념도

모바일결제 사업에 ‘보안 강화’가 이슈로 급부상 했다. 여러 기업이 보안 강화를 위해 꺼내든 기술이 ‘카지노 칩’ 원리를 이용한 토큰(Token)이다. 애플페이와 삼성페이가 채택한 보안기술이 바로 토큰화다. 최근 국내 금융사도 카드업계 중심으로 기술 도입에 속속 나서고 있어 주목된다.

모바일결제 보안 강화 `토큰` 기술 급부상

6일 금융권에 따르면 민감한 카드 정보가 외부로 유출돼도 쓸모 없게 만드는 ‘토큰’ 기술이 카드 도용·해킹 안전장치로 떠올랐다.

토큰화(Tokenization)란 신용카드정보를 난수로 이루어진 암호로 변환해 저장함으로써 해당 카드 정보가 유출돼도 부정사용을 막는 기술이다. 해커 등이 토큰 정보를 입수해도 카드번호로 전환이 불가능하기 때문에 ‘쓰레기 정보’가 되는 구조다.

이 기술은 카지노 칩 원리와 유사하다. 카지노에서 칩을 훔쳐도 외부에선 현금처럼 쓸 수 없다. 소비자에게는 기존 거래 시 카드 정보를 입력하는 번거로움을 없애고 가맹점은 불필요한 소비자 카드 정보 저장을 방지하는 효과가 있다. 카드사가 제공 중인 ‘가상카드 번호’도 토큰 일부분이다. 국내는 결제 시스템 복잡성과 거액의 투자비가 든다는 이유로 ‘토큰’ 도입에 소극적이었다. 하지만 최근 애플페이가 토큰화 기술을 이용한 애플페이를 출시했고 삼성전자도 미국에서 비자와 마스터 토큰 기술을 도입하면서 상황이 변했다. LG유플러스와 카카오페이 등도 토큰 기술을 일부 도입하거나 곧 적용 예정이다.

간편결제에 나선 카드업계 중심으로 토큰 도입이 급물살을 타고 있다. 비씨카드는 최근 EMV규격 토큰 시스템을 구축했다. 올 상반기 신세계 자체 결제 서비스(SSG Pay), QuickPay(KCP) 등과 제휴를 통해 이 솔루션이 적용된 간편결제 서비스를 내놓을 계획이다. 비씨카드가 토큰을 도입한 또 다른 이유는 삼성페이와 협력을 강화하기 위해서다. 앱카드 진영과 협력 중인 삼성페이에 ‘토큰’ 공급사로 중간 프로세싱을 비씨카드가 맡는다는 전략이다.

KB국민카드도 자사 앱카드에 마스타카드 ‘토큰’을 연동했다.

국민카드 관계자는 “모바일 결제 서비스의 글로벌 호환성과 보안성을 높기위 위해 토큰을 도입했다”고 말했다. 신한카드와 하나카드도 토큰화 도입을 검토 중이다.

하지만 데이터 집중화로 인한 부작용은 해결 과제다. 토큰 제공사가 카드정보와 토큰을 모두 보유하고 있기 때문에 정보 집중화 현상이 발생한다. 토큰 저장소가 해킹 당하면 토큰 뿐 아니라 카드 정보까지 통째로 유출되기 때문에 부정사용 확률이 더욱 높아진다. 또한 토큰 제공사 규모가 클수록 정보량이 방대해져 정보 유출 시 사회적으로 상당한 피해가 예상된다.

한 보안업계 관계자는 “간편결제 가입과 토큰 요청간 발생하는 정보 이동 영역에 다소 보안이 제한적”이라며 “입력된 카드 번호를 토큰으로 변환시키기 위해선 토큰 제공사에 카드번호를 전송해야 하며, 이 과정에서 해킹과 유출 위험성이 존재한다”고 지적했다.

여신금융연구소 관계자는 “간편결제업체가 ID와 패스워드, 토큰을 동시에 저장하기 때문에 관련 서버가 해킹 당하면 토큰 자체론 부정사용이 힘들지만 ID와 패스워드 부정사용은 가능하다”며 “ID와 패스워드를 동일 서버에 저장하지 않거나 패스워드를 별도 토큰화하는 방식도 대안이 될 수 있다”고 말했다.

길재식기자 osolgil@etnews.com, 박소라기자 srpark@etnews.com