여신금융협회, 국내 8개 신용카드·간편결제·VAN 사 등과 ‘공통QR’ 결제규격 마련
QR 결제방식으로 CPM 도입해 보안 위험성 사전 차단...보안 위험성 높은 MPM 방식 배제
모의해킹, 취약점 점검 등 보안 테스트 거쳐...외국인 QR코드 결제도 가능해 범용성 확보
[보안뉴스 김영명 기자] 한국은행은 올해 3월에 발표한 ‘2023년 중 국내 지급결제동향’에서 모바일기기 결제 중 카드기반 간편결제 서비스 이용 비중이 전년대비 48.5% 증가했다고 밝혔다. 또한 접근기기별 결제 규모에서는 모바일기기 등을 이용한 결제 규모가 전년대비 10.8%가 증가했으며, 모바일기기 등을 통한 결제 중 카드기반 간편결제 서비스 이용 비중은 2019년 35.1%에서 2023년에는 48.5%로 크게 증가했다고 분석했다.
이렇듯 카드기반 ‘간편결제’는 신속성과 편의성 모두 챙길 수 있기 때문에 이용률이 급증하고 있다. 이러한 가운데 국내 주요 신용카드사들이 모바일 QR 결제에서 공통QR 서비스를 도입해 서비스를 시행했다고 지난 6월 27일 밝혔다. 신용카드사들은 간편결제의 점유율을 높이기 위해 지난해부터 간편결제사, VAN사 등과 함께 업무협약(MOU)을 체결하고 공통QR 규격 개발에 착수했다. 이어 유로페이, 마스터카드, 비자카드 등 3사가 공동 제정해 세계 표준으로 자리매김한 EMVCo의 QR코드 규격을 바탕으로 하는 공통QR 규격을 마련한하게 된 것이다. 이에 이번 공통QR 규격을 마련한 여신금융협회 관계자를 통해 공통QR 규격의 보안성과 효율성, 확장성 등을 알아봤다.
[이미지=gettyimagesbank]
Q. 이번에 신용카드사와 간편결제사 등이 함께 공통QR을 도입하면서 글로벌 표준인 EMVCo 시스템을 차용했는데, 그 배경과 함께 참여기업들을 소개한다면.
최근 모바일 결제의 급속한 확산과 함께 QR코드 결제가 일상화되고 있는 상황에서 국내 신용카드사별로 QR코드 규격이 저마다 달라 공통QR 결제 서비스 도입의 필요성이 제기됐습니다. 또한 한국을 여행하는 외국 관광객들이 국내에서 편리하게 QR 결제를 이용할 수 있는 기반 마련을 위해 글로벌 표준인 EMVCo 규격을 바탕으로 공통QR 규격을 마련하게 됐습니다.
이번에 공통QR 도입에 참여한 회사는 롯데카드, 삼성카드, 신한카드, 우리카드, 하나카드, 현대카드, KB국민카드, NH농협카드 등 국내 8개 신용카드사와 국제브랜드인 유니온페이, 그리고 간편결제 및 VAN 기업 등입니다. 해당 회사들이 지난해 6월 ‘공통QR 규격 마련 TF’를 구성해 공통QR 결제 규격을 마련하고 같은 해 10월에 확정했습니다.
Q. ‘공통QR’ 규격은 결제과정에서 강력한 암호화 기술과 보안 프로토콜을 적용한 것으로 알고 있는데요. QR코드의 보안 위험성과 이에 대응하는 EMVCo 기술을 설명한다면.
일반적으로 QR코드의 보안 위험성은 △악성 프로그램 공격의 용이 △피싱 공격의 용이 △개인 위치정보 노출 우려 △QR코드 스캔 시 전화번호 등의 개인정보 유출 가능성이 있습니다.
악성 프로그램이나 피싱 공격 위험성은 가맹점이 소비자에게 QR을 제시하는 판매자 생성모드 방식(MPM : Merchant Presented Mode)에서 발생합니다. 하지만 새로 만들어진 공통QR 규격은 고객이 가맹점에 QR을 제시하는 소비자 생성모드 방식(CPM : Customer Presented Mode)으로 MPM과 달리 사고 위험성이 낮습니다.
또한 QR에 담기는 개인정보나 신용정보는 유효기간이 매우 짧아 탈취한 후, 악용 가능성이 낮습니다. 따라서 개인정보 유출 위험성도 낮을 뿐더러 QR코드로 결제할 때 개인(신용)정보 토큰화 등 보안 조치로 데이터 탈취 위험을 사전에 차단합니다. EMVCo의 QR코드 규격은 우리나라를 포함한 많은 국가에서 사용돼 이번 공통QR 규격 도입에서도 이를 준용해 제정하게 됐습니다.
Q. 이번에 시행된 공통QR 결제서비스는 결제할 때 개인(금융)정보를 안전하게 보호한다고 하는데, 어떤 보안 대책이 마련됐나요?
개인정보와 금융정보는 취급하는 정보의 종류만 다를 뿐 전반적인 ‘정보보호’의 관점에서는 별도로 구별되지 않습니다. 지난 6월 협회 보도자료를 통해 설명드린 것과 같이 결제 과정에서의 데이터 보호를 위해 보다 강력한 암호화 기술과 함께 보안 프로토콜을 적용했다고만 말씀드릴 수 있겠습니다.
▲QR코드가 일반적으로 포함하는 주된 요소[자료=노드VPN]
Q. 가짜 QR코드 인증 피해 사례도 나오는데, 이를 방지하는 기술도 들어가 있는 건가요? 진짜와 가짜를 어떠한 방식으로 판별할 수 있는지 설명한다면.
QR코드 위에 가짜 QR코드를 붙여 소비자가 이를 촬영하고 인증하도록 해 피해가 발생하는 사기 행위는 가맹점이 소비자에게 QR을 제시하는 판매자 생성모드 방식(MPM)에서 발생합니다. 하지만 공통QR 규격은 CPM 방식을 도입했기 때문에 가짜 QR코드 인증으로 인한 피해 사례는 발생하지 않을 것으로 보입니다.
Q. 올해 초에 공통QR 규격을 발표하고 최종 규격을 확정했는데요. 테스트 과정에서 해킹이나 위변조 등과 같은 보안 위협은 없었나요?
이번 공통QR 도입에 함께 참여한 8개 신용카드사는 공통QR 규격을 최종적으로 마련하기 전, 사전에 모의해킹 및 취약점 점검 등 철저한 보안 점검을 통해 보안 위협에 대비해 왔습니다. 해당 보안 점검 과정에서도 해킹이나 피싱 공격 등 보안을 위협할 수 있는 특별한 문제는 발생하지 않은 것으로 알고 있습니다.
Q. 이번 공통QR 규격에 있어 소비자의 결제 편의성 향상, 보안 강화 외에 기존과 다른 특이점이 있다면.
공통QR 규격은 지난해 10월에 제정하고, 이를 도입하려는 가맹점의 테스트 및 수정과 보완 과정을 통해 최종 규격을 확정하고 올해 1월에 발표했습니다. 공통QR 규격은 글로벌 표준 EMVCo의 규격을 바탕으로 마련된 만큼, 향후 외국인 관광객이 국내에서 QR을 활용해 결제하는 경우에도 아무런 문제 없이 손쉽게 이용할 수 있는 제도적 기반을 마련한 것입니다.
또한 가맹점은 신용카드사의 QR결제를 단일 규격으로 처리하면서 결제단말기나 시스템 적용절차를 간소화하게 됨으로써 운영비용이 절감되고 결제처리 속도도 개선될 것으로 예상하고 있습니다.
Q. 현재 ‘공통QR’ 규격은 유통사, 카페 등 5개 가맹점에서 먼저 도입했는데, 다른 업종 및 가맹점 확대 계획이나 추가로 공통QR 규격을 적용하기로 한 카드사는?
현재 공통QR 시스템을 도입한 곳은 하나로마트, 이케아 등 유통점, 매머드커피, 메가MGC커피, 이디야커피 등 카페 업종으로 총 5개 가맹점입니다. 향후 신용카드사는 주요 편의점 및 약국 등 소비자와 접점이 높은 가맹점과의 협의를 통해 공통QR 규격 적용 가맹점을 지속해서 확대해나갈 예정입니다. 이와 함께 하반기 내 공통QR 규격을 적용하기로 예정된 카드사는 우리카드와 NH농협카드 2개사입니다.
Q. 공통QR 결제서비스의 보안 기능 강화를 위한 향후 계획이 있다면?
공통QR 서비스 시행과 함께 앞으로도 이 서비스를 위협하는 해킹이나 피싱 등 사이버 위협에 대비한 보안 기능을 강화하기 위해 꾸준히 노력해 나가고 있습니다. 이를 위해 8개 신용카드사를 포함한 공통QR 결제서비스 전체 참여사는 QR 결제뿐만 아니라 결제서비스 전반의 보안성 향상 등 안전한 결제 서비스를 소비자에게 제공하기 위해 지속해서 노력 중입니다. 앞으로도 신뢰성 높은 결제환경 제공을 위해 최선을 다할 계획입니다.
[김영명 기자(boan@boannews.com)]
QR 결제방식으로 CPM 도입해 보안 위험성 사전 차단...보안 위험성 높은 MPM 방식 배제
모의해킹, 취약점 점검 등 보안 테스트 거쳐...외국인 QR코드 결제도 가능해 범용성 확보
[보안뉴스 김영명 기자] 한국은행은 올해 3월에 발표한 ‘2023년 중 국내 지급결제동향’에서 모바일기기 결제 중 카드기반 간편결제 서비스 이용 비중이 전년대비 48.5% 증가했다고 밝혔다. 또한 접근기기별 결제 규모에서는 모바일기기 등을 이용한 결제 규모가 전년대비 10.8%가 증가했으며, 모바일기기 등을 통한 결제 중 카드기반 간편결제 서비스 이용 비중은 2019년 35.1%에서 2023년에는 48.5%로 크게 증가했다고 분석했다.
이렇듯 카드기반 ‘간편결제’는 신속성과 편의성 모두 챙길 수 있기 때문에 이용률이 급증하고 있다. 이러한 가운데 국내 주요 신용카드사들이 모바일 QR 결제에서 공통QR 서비스를 도입해 서비스를 시행했다고 지난 6월 27일 밝혔다. 신용카드사들은 간편결제의 점유율을 높이기 위해 지난해부터 간편결제사, VAN사 등과 함께 업무협약(MOU)을 체결하고 공통QR 규격 개발에 착수했다. 이어 유로페이, 마스터카드, 비자카드 등 3사가 공동 제정해 세계 표준으로 자리매김한 EMVCo의 QR코드 규격을 바탕으로 하는 공통QR 규격을 마련한하게 된 것이다. 이에 이번 공통QR 규격을 마련한 여신금융협회 관계자를 통해 공통QR 규격의 보안성과 효율성, 확장성 등을 알아봤다.
[이미지=gettyimagesbank]
Q. 이번에 신용카드사와 간편결제사 등이 함께 공통QR을 도입하면서 글로벌 표준인 EMVCo 시스템을 차용했는데, 그 배경과 함께 참여기업들을 소개한다면.
최근 모바일 결제의 급속한 확산과 함께 QR코드 결제가 일상화되고 있는 상황에서 국내 신용카드사별로 QR코드 규격이 저마다 달라 공통QR 결제 서비스 도입의 필요성이 제기됐습니다. 또한 한국을 여행하는 외국 관광객들이 국내에서 편리하게 QR 결제를 이용할 수 있는 기반 마련을 위해 글로벌 표준인 EMVCo 규격을 바탕으로 공통QR 규격을 마련하게 됐습니다.
이번에 공통QR 도입에 참여한 회사는 롯데카드, 삼성카드, 신한카드, 우리카드, 하나카드, 현대카드, KB국민카드, NH농협카드 등 국내 8개 신용카드사와 국제브랜드인 유니온페이, 그리고 간편결제 및 VAN 기업 등입니다. 해당 회사들이 지난해 6월 ‘공통QR 규격 마련 TF’를 구성해 공통QR 결제 규격을 마련하고 같은 해 10월에 확정했습니다.
Q. ‘공통QR’ 규격은 결제과정에서 강력한 암호화 기술과 보안 프로토콜을 적용한 것으로 알고 있는데요. QR코드의 보안 위험성과 이에 대응하는 EMVCo 기술을 설명한다면.
일반적으로 QR코드의 보안 위험성은 △악성 프로그램 공격의 용이 △피싱 공격의 용이 △개인 위치정보 노출 우려 △QR코드 스캔 시 전화번호 등의 개인정보 유출 가능성이 있습니다.
악성 프로그램이나 피싱 공격 위험성은 가맹점이 소비자에게 QR을 제시하는 판매자 생성모드 방식(MPM : Merchant Presented Mode)에서 발생합니다. 하지만 새로 만들어진 공통QR 규격은 고객이 가맹점에 QR을 제시하는 소비자 생성모드 방식(CPM : Customer Presented Mode)으로 MPM과 달리 사고 위험성이 낮습니다.
또한 QR에 담기는 개인정보나 신용정보는 유효기간이 매우 짧아 탈취한 후, 악용 가능성이 낮습니다. 따라서 개인정보 유출 위험성도 낮을 뿐더러 QR코드로 결제할 때 개인(신용)정보 토큰화 등 보안 조치로 데이터 탈취 위험을 사전에 차단합니다. EMVCo의 QR코드 규격은 우리나라를 포함한 많은 국가에서 사용돼 이번 공통QR 규격 도입에서도 이를 준용해 제정하게 됐습니다.
Q. 이번에 시행된 공통QR 결제서비스는 결제할 때 개인(금융)정보를 안전하게 보호한다고 하는데, 어떤 보안 대책이 마련됐나요?
개인정보와 금융정보는 취급하는 정보의 종류만 다를 뿐 전반적인 ‘정보보호’의 관점에서는 별도로 구별되지 않습니다. 지난 6월 협회 보도자료를 통해 설명드린 것과 같이 결제 과정에서의 데이터 보호를 위해 보다 강력한 암호화 기술과 함께 보안 프로토콜을 적용했다고만 말씀드릴 수 있겠습니다.
▲QR코드가 일반적으로 포함하는 주된 요소[자료=노드VPN]
Q. 가짜 QR코드 인증 피해 사례도 나오는데, 이를 방지하는 기술도 들어가 있는 건가요? 진짜와 가짜를 어떠한 방식으로 판별할 수 있는지 설명한다면.
QR코드 위에 가짜 QR코드를 붙여 소비자가 이를 촬영하고 인증하도록 해 피해가 발생하는 사기 행위는 가맹점이 소비자에게 QR을 제시하는 판매자 생성모드 방식(MPM)에서 발생합니다. 하지만 공통QR 규격은 CPM 방식을 도입했기 때문에 가짜 QR코드 인증으로 인한 피해 사례는 발생하지 않을 것으로 보입니다.
Q. 올해 초에 공통QR 규격을 발표하고 최종 규격을 확정했는데요. 테스트 과정에서 해킹이나 위변조 등과 같은 보안 위협은 없었나요?
이번 공통QR 도입에 함께 참여한 8개 신용카드사는 공통QR 규격을 최종적으로 마련하기 전, 사전에 모의해킹 및 취약점 점검 등 철저한 보안 점검을 통해 보안 위협에 대비해 왔습니다. 해당 보안 점검 과정에서도 해킹이나 피싱 공격 등 보안을 위협할 수 있는 특별한 문제는 발생하지 않은 것으로 알고 있습니다.
Q. 이번 공통QR 규격에 있어 소비자의 결제 편의성 향상, 보안 강화 외에 기존과 다른 특이점이 있다면.
공통QR 규격은 지난해 10월에 제정하고, 이를 도입하려는 가맹점의 테스트 및 수정과 보완 과정을 통해 최종 규격을 확정하고 올해 1월에 발표했습니다. 공통QR 규격은 글로벌 표준 EMVCo의 규격을 바탕으로 마련된 만큼, 향후 외국인 관광객이 국내에서 QR을 활용해 결제하는 경우에도 아무런 문제 없이 손쉽게 이용할 수 있는 제도적 기반을 마련한 것입니다.
또한 가맹점은 신용카드사의 QR결제를 단일 규격으로 처리하면서 결제단말기나 시스템 적용절차를 간소화하게 됨으로써 운영비용이 절감되고 결제처리 속도도 개선될 것으로 예상하고 있습니다.
Q. 현재 ‘공통QR’ 규격은 유통사, 카페 등 5개 가맹점에서 먼저 도입했는데, 다른 업종 및 가맹점 확대 계획이나 추가로 공통QR 규격을 적용하기로 한 카드사는?
현재 공통QR 시스템을 도입한 곳은 하나로마트, 이케아 등 유통점, 매머드커피, 메가MGC커피, 이디야커피 등 카페 업종으로 총 5개 가맹점입니다. 향후 신용카드사는 주요 편의점 및 약국 등 소비자와 접점이 높은 가맹점과의 협의를 통해 공통QR 규격 적용 가맹점을 지속해서 확대해나갈 예정입니다. 이와 함께 하반기 내 공통QR 규격을 적용하기로 예정된 카드사는 우리카드와 NH농협카드 2개사입니다.
Q. 공통QR 결제서비스의 보안 기능 강화를 위한 향후 계획이 있다면?
공통QR 서비스 시행과 함께 앞으로도 이 서비스를 위협하는 해킹이나 피싱 등 사이버 위협에 대비한 보안 기능을 강화하기 위해 꾸준히 노력해 나가고 있습니다. 이를 위해 8개 신용카드사를 포함한 공통QR 결제서비스 전체 참여사는 QR 결제뿐만 아니라 결제서비스 전반의 보안성 향상 등 안전한 결제 서비스를 소비자에게 제공하기 위해 지속해서 노력 중입니다. 앞으로도 신뢰성 높은 결제환경 제공을 위해 최선을 다할 계획입니다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
