사용자 신뢰 추락 동시에 보안 문제 남아있어
-
- ▲ ⓒ 카카오페이 화면 캡쳐.
[금융인사이드] 최근 '카카오 감청' 논란으로 '카카오페이'도 불안정한 모양새다. 사용자들의 신뢰가 무너짐과 동시에 보안 문제도 여전히 남아있기 때문이다.
간편결제로 스포트라이트를 받은 것에 비해 긍정적인 결과 보다는 우려 섞인 시선이 많다.
카카오페이에 결제 솔루션(엠페이)를 제공하는 LG CNS는 카드정보를 한 번 등록해 놓고 비밀번호만 입력하면 결제된다는 '편리성'을 강조하고 있다.
그러나 최초에 카드 번호를 입력할 때 '가상 번호'로 변환되지 않고 '실제 번호'가 그대로 저장되는 등 보안 문제에 대한 우려를 완전히 잠식시킬 순 없다는 시각이 팽배하다.
◇ LG CNS "카드정보 분리 저장해 문제없다"
현재 LG CNS는 최초에 본인인증을 위해 결제에 필요한 카드번호와 유효기간, 카드 비밀번호 앞 2자리 등 카드정보를 등록해야 한다. 그리고 카카오페이 비밀번호 6~10자리를 설정하면 된다.
이 카드정보를 LG CNS가 전부 가지고 있는 게 아니라 일부는 본인 핸드폰에 암호화 돼서 들어가고, 나머지 일부는 LG CNS 서버에 저장된다.
본인이 결제할 때 최초 등록했던 비밀번호 6~10자리를 입력하면 분리돼 있던 정보가 결합하면서 결제가 되는 식이다.
무작위로 생성되는 일회용 패스워드를 이용하는 OTP 인증 방식과 같이 1회적 결합으로 구매가 이뤄지고, 다시 그 정보가 분리되는 시스템이다. 비밀번호가 5회 잘못 입력되면 자동으로 계정 초기화가 이뤄져 분실 시에도 부정 사용을 방지한다.
LG CNS 측은 카드정보를 온전히 저장해 가지고 있는 게 아니라 암호화해서 본인 핸드폰과 LG CNS 서버에 분리 저장하기 때문에 보안성이 우수하다고 설명한다.
◇ '가상' 아닌 '실제 카드 번호' 입력 위험
하지만 일각에서는 최초에 카드 번호를 입력할 때 '가상 번호'로 변환되지 않고 '실제 번호'가 그대로 저장되기 때문에 안전하다고 말하긴 어렵다는 지적이 나온다.
또 카드정보가 반반 나뉘어 저장된다고 해도 최초 등록 당시 정보가 LG CNS 측 서버 어딘가엔 저장될 것이란 의견도 있다.
카드업계 관계자는 "카드사에만 있던 정보를 공유하게 되면 정보유출 사고가 발생할 수 있는 채널이 하나 더 늘어나게 되는 것"이라면서 "하지만 간편결제를 확대하고자 당국차원에서 노력하고 있는데 몇몇 카드사만 계속 안 할 수도 없다"고 밝혔다.
◇ 카드사 "비밀번호 저장이 문제"
현재 카카오페이에는 KB국민·삼성·현대·롯데·비씨 등 5개 카드사가 참여하고 있으며, 신한·하나SK ·외화카드도 참여키로 하고 기술을 개발 중이다.
신한카드의 경우 카카오페이에 '조건부'로 참여키로 했다. 신한카드가 LG CNS측에 요구하는 사항은 크게 두 가지다. 한 가지는 최초에 카드정보를 등록할 때 비밀번호 앞 2자리를 입력해야 하는데 이것은 저장하지 말라는 것.
나머지 한 가지는 비밀번호 앞 2자리를 입력할 때 본인 휴대폰에서 카드사로 정보가 넘어가는 과정을 암호화해 보안을 더 강화해 줄 것을 요구하고 있다. 기존에 알려진 카드결제부터 승인까지 전 구간을 암호화해 보안성을 강화한 '엔드 투 엔드(End-To-End)' 방식과는 조금 다르다.
카드사 한 관계자는 "비밀번호는 말 그대로 '개인정보'이고, 그렇기 때문에 결제 마지막 단계에서 확인하는 것"이라며 "카드사에서도 비밀번호는 노출이 안되고 전부 암호화된 정보를 가지고 있다"고 강조했다.
또 다른 카드사 한 관계자는 "카카오페이가 시작된 지 한 달이 훌쩍 넘은 지금도 여전히 보안문제는 뜨거운 감자다"라며 "LG CNS측이 신한카드의 요구대로 시스템을 개발할 경우 다른 카드사들도 동일한 방식으로 해달라고 요구할 것"이라고 말했다.
이에 대해 LG CNS 측은 신한카드의 요구사항에 맞게 개발 중이며, 빠르면 이달말 본격적인 서비스가 가능할 것으로 예상하고 있다. 또한 다른 카드사들이 요청할 경우 순차적으로 조정할 것이란 입장이다.
카카오페이에 대부분의 카드사가 참여 중이거나 참여하기로 했지만, 이러한 보안 문제 우려를 완전히 잠식시키려면 상당한 시간이 걸릴 것으로 전망된다.
