.gif)
NFC 기술: 애플리케이션 취약성, Tag 보안 취약성 등 보안위협
토큰 기술: 토큰 제공사의 정보 집중 문제점 제기
MST 기술: IC칩 단말기에서 사용 불가...보안강화 기술 연구 필요
[보안뉴스 김경애] 현재 열풍이 불고 있는 핀테크 시장의 핵심인 간편결제 분야 기술 발전을 위해 보안강화 기술 연구가 절실하다는 지적이 제기되고 있다.
현재 대표적인 간편결제 기술은 NFC(Near Field Communication) 기술과 토큰 기술(Tokenization), 그리고 MST(Magnetic Secure Transmission) 기술이 있다.
모바일 결제 서비스를 제공하고 있는 구글월렛은 또한 NFC를 기반으로 하는 결제 시스템을 운영하고 있는데, 최근 소프트카드 인수로 구글월렛의 모바일 결제 기능을 한층 강화했다.
애플 사에서 서비스하고 있는 애플페이(Apply Pay)도 NFC를 이용한 간편결제 방식으로 아이폰6와 아이폰6플러스에 내장된 NFC칩을 사용한다. 또한, 토큰화를 통해 결제정보를 암호화시켜 아이폰과 결제단말기를 오가도록 했다. 결제에 쓰일 정보들은 처음에만 아이폰에 있는 보안칩인 Secure Element에 저장된다.
삼성전자는 루프페이(LoopPay)사를 인수한 뒤, 마그네틱 신용카드의 정보를 무선으로 전송시켜 결제하는 MST 기술을 사용할 수 있게 됐다. 삼성페이는 MST는 물론 NFC 기술도 지원하며, 핵심기술은 결제 순간마다 새로운 가상 카드정보(토큰)를 생성해 사용하는 토큰화다. 결제를 하기 위해 사용자는 스마트폰으로 지문인증을 하면 저장된 토큰과 함께 결제정보와 가상카드 번호값이 합쳐진 일회용 결제정보가 만들어져 가맹점의 결제단말기를 거쳐 카드사로 전송된다. 카드사에서는 가상 결제정보와 실제 정보가 일치하는지를 비교한 뒤 결제를 승인하게 된다.
하지만 완벽한 보안은 없는 법. 앞서 설명한 간편결제 분야 3가지 기술도 보안취약점이 존재한다. 한국인터넷정보학회에서 발표한 2015년 추계학술 발표대회 논문집 ‘핀테크를 이용한 모바일 간편결제 기술 비교 분석’에 따르면 NFC 기술은 어플리케이션 취약성, 태그(Tag) 보안 취약성 등 다양한 보안위협에 대한 대책이 필요하다고 지적했다.
토큰 기술은 토큰정보가 외부에 노출되어도 실제 카드정보가 포함돼 있지 않아 다른 결제에 도용될 가능성이 낮지만 토큰 제공사는 토큰과 카드정보를 모두 보유하고 있다. 여러 카드사의 카드번호를 토큰으로 제공하는 경우 정보 집중의 위험이 있다. 또한, 토큰 저장소가 해킹을 당하면 카드정보까지 유출돼 부정사용이 가능하다.
MST 기술은 기존 결제 단말기로도 결제가 가능하다는 장점이 있는 반면, IC칩 단말기는 마그네틱(MS) 정보를 지원하지 못하는 위험이 있다. 최근 여신금융협회에서 보안성이 강화된 IC칩 신용카드 결제가 본격적으로 시행되면서 MS카드만 가지고 있는 카드사용자는 IC카드로 전환해야 하기 때문에 매장 점포들이 단말기를 IC칩 단말기로 바꾸는 추세다. 따라서 마그네틱 정보를 지원하지 못하는 IC칩 단말기에서는 MST 기술을 사용할 수 없다.
앞으로 성장가능성이 무궁무진한 간편결제 기술 발전을 위해서는 NFC 기술의 보안취약점 개선과 토큰 제공사의 정보 집중으로 인한 문제점 해결, 그리고 IC칩 단말기에서도 MST 기술을 사용할 수 있도록 하면서도 보안을 좀더 강화할 수 있는 기술에 대한 지속적인 연구가 필요하다.
[김경애 기자(boan3@boannews.com)]
토큰 기술: 토큰 제공사의 정보 집중 문제점 제기
MST 기술: IC칩 단말기에서 사용 불가...보안강화 기술 연구 필요
[보안뉴스 김경애] 현재 열풍이 불고 있는 핀테크 시장의 핵심인 간편결제 분야 기술 발전을 위해 보안강화 기술 연구가 절실하다는 지적이 제기되고 있다.
현재 대표적인 간편결제 기술은 NFC(Near Field Communication) 기술과 토큰 기술(Tokenization), 그리고 MST(Magnetic Secure Transmission) 기술이 있다.
모바일 결제 서비스를 제공하고 있는 구글월렛은 또한 NFC를 기반으로 하는 결제 시스템을 운영하고 있는데, 최근 소프트카드 인수로 구글월렛의 모바일 결제 기능을 한층 강화했다.
애플 사에서 서비스하고 있는 애플페이(Apply Pay)도 NFC를 이용한 간편결제 방식으로 아이폰6와 아이폰6플러스에 내장된 NFC칩을 사용한다. 또한, 토큰화를 통해 결제정보를 암호화시켜 아이폰과 결제단말기를 오가도록 했다. 결제에 쓰일 정보들은 처음에만 아이폰에 있는 보안칩인 Secure Element에 저장된다.
삼성전자는 루프페이(LoopPay)사를 인수한 뒤, 마그네틱 신용카드의 정보를 무선으로 전송시켜 결제하는 MST 기술을 사용할 수 있게 됐다. 삼성페이는 MST는 물론 NFC 기술도 지원하며, 핵심기술은 결제 순간마다 새로운 가상 카드정보(토큰)를 생성해 사용하는 토큰화다. 결제를 하기 위해 사용자는 스마트폰으로 지문인증을 하면 저장된 토큰과 함께 결제정보와 가상카드 번호값이 합쳐진 일회용 결제정보가 만들어져 가맹점의 결제단말기를 거쳐 카드사로 전송된다. 카드사에서는 가상 결제정보와 실제 정보가 일치하는지를 비교한 뒤 결제를 승인하게 된다.
하지만 완벽한 보안은 없는 법. 앞서 설명한 간편결제 분야 3가지 기술도 보안취약점이 존재한다. 한국인터넷정보학회에서 발표한 2015년 추계학술 발표대회 논문집 ‘핀테크를 이용한 모바일 간편결제 기술 비교 분석’에 따르면 NFC 기술은 어플리케이션 취약성, 태그(Tag) 보안 취약성 등 다양한 보안위협에 대한 대책이 필요하다고 지적했다.
토큰 기술은 토큰정보가 외부에 노출되어도 실제 카드정보가 포함돼 있지 않아 다른 결제에 도용될 가능성이 낮지만 토큰 제공사는 토큰과 카드정보를 모두 보유하고 있다. 여러 카드사의 카드번호를 토큰으로 제공하는 경우 정보 집중의 위험이 있다. 또한, 토큰 저장소가 해킹을 당하면 카드정보까지 유출돼 부정사용이 가능하다.
MST 기술은 기존 결제 단말기로도 결제가 가능하다는 장점이 있는 반면, IC칩 단말기는 마그네틱(MS) 정보를 지원하지 못하는 위험이 있다. 최근 여신금융협회에서 보안성이 강화된 IC칩 신용카드 결제가 본격적으로 시행되면서 MS카드만 가지고 있는 카드사용자는 IC카드로 전환해야 하기 때문에 매장 점포들이 단말기를 IC칩 단말기로 바꾸는 추세다. 따라서 마그네틱 정보를 지원하지 못하는 IC칩 단말기에서는 MST 기술을 사용할 수 없다.
앞으로 성장가능성이 무궁무진한 간편결제 기술 발전을 위해서는 NFC 기술의 보안취약점 개선과 토큰 제공사의 정보 집중으로 인한 문제점 해결, 그리고 IC칩 단말기에서도 MST 기술을 사용할 수 있도록 하면서도 보안을 좀더 강화할 수 있는 기술에 대한 지속적인 연구가 필요하다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
