식스티 세컨드와 애플페이

자동차 도둑 이야기를 다룬 2000년 개봉작 식스티세컨즈(Sixty Seconds)에서 주인공은 은퇴한 전설적인 자동차 도둑이다. 여 주인공인 안젤리나 졸리는 영화 속에서 “정직하게 살기가 얼마나 힘든데…”라며 그의 도둑질 동참 요청에 난색을 표한다.

결국 이들은 단시간 안에 슈퍼카와 초고가 명차를 도둑질하는 일을 한다. 문제는 그가 은퇴했을 때와 달리 슈퍼카에는 첨단 도난 방지 기능과 GPS 위성 추적 기능까지 포함되어 있었다는 것. 하지만 도둑들에겐 이런 슈퍼카의 첨단 보안 시스템도 배터리를 빼거나 차키를 부주의하게 발렛 파킹 요원으로 착각한 도둑의 손에 넘기게 되면 무용지물이 된다.

최근 미국 소매점과 의류 프랜차이즈의 결제 단말기 POS가 중국산 악성 프로그램에 의해 심각한 공격을 받았다. 부주의하게 인터넷에 연결했거나 악성코드가 설치된 웹사이트를 열었다가 결제 단말기가 악성코드에 감염된 것이다. 이로 인해 지난해 블랙프라이데이 시즌 중 결제 정보를 도둑질하는 악성 프로그램 탓에 수천만 건이 넘는 카드 정보가 유출되고 카드 부정 사용이 폭증했다.

보통 카드 부정 사용이 소수점 이하라는 걸 비춰봤을 때 유통업체 타깃의 2013년 11월4,000만 건 카드번호 유출 사건, 니만마커스의 7,00만 건 카드 정보 유출은 미국 소매 업계의 신뢰도에 심각한 타격을 안겨줬다. 결국 미국 대형 유통회사인 타깃과 갭, 나이키, 아레리칸이글 등이 모여 유통 산업 대표 협의회(Retail Industry Leaders Association, RILA)를 구성, 보안 강화와 정보 교류를 시작했다.

애플이 발표한 모바일 결제 시스템인 애플페이(Applepay)는 어쩌면 아주 적절한 시점에 미국 소매점 업계와 고객의 불안감을 잠재울 수 있는 시점에 나왔다. 아이폰6에 도입한 애플페이의 특징은 간단하면서도 강력한 카드 보안을 갖고 있다는 것이다.

기존 카드 결제를 POS로 진행하면 노출되는 카드 번호나 유효기간 같은 정보도 애플페이를 통해 결제하면 임의의 난수 카드 번호(One time payment)로 전송, 복사를 해봤자 재사용이 불가능해진다.

요즘 카드 업계의 뜨거운 감자인 카카오페이 역시 기본적인 보안에 충실하면서 간편함을 잃지 않았다. 하지만 사용자 정보를 고객의 안드로이드폰에 암호화해서 저장하는 방식에 대해선 메이저 카드사는 보안에 부정적으로 보고 있는 것도 사실이다.

보안 전문가 입장에서 카카오페이의 APK 난독화 수준과 고객카드 정보를 암호화하는 수준을 보면 기존 ‘어둠의 인터넷’에서 돌아다니는 안드로이드 해킹 툴을 이용해도 고객 정보를 절취하기는 쉽지 않을 것으로 보인다.

하지만 메이저 카드사의 주장에도 일리는 있다. 통신 구간 전체를 암호화하고 실제 카드 번호와 분리된 가상의 카드 번호를 사용할 경우 폰을 분실하거나 안드로이드폰의 암호화된 정보가 유출됐더라도 물리적인 플라스틱 카드 번호와 분리되어 있어서 복사 카드가 등장할 수 없다. 2차 피해를 줄이는 데 도움이 된다는 얘기다.

카드 정보를 노리는 중국산 악성코드의 POS 공격은 이제 미국에서 애플페이의 등장과 소매업계의 보안 연맹 격인 RILA의 대처도 구체화되면서 인터넷과 금융 속도가 빠른 한국 쪽으로 옮겨올 수 있다. 따라서 국민 모바일 메신저인 카카오톡과 연동한 카카오페이에 대한 해커의 분석과 관심도도 점차 높아질 것이 자명하다.

자칫 시장 선점 때문에 급하게 타 회사 플랫폼을 구했다가 스킨만 갈아치우는 것보다는 금융 보안은 애플페이 수준이 이제 시대적 요구가 됐다는 점을 기억할 필요가 있다