티스토리 뷰
지난 글('갤럭시 S6 플러스, 삼성페이 등록부터 사용까지')에서 '삼성 페이(Samsung Pay)'를 설정하고 사용하는 방법을 소개해었다. 이후 삼성 페이를 직접 사용하면서 관련 서비스에 대한 이야기도 추가 글로 작성하여 공유했다. 그만큼 삼성 페이는 갤럭시 노트5와 갤럭시 S6 엣지 플러스 출시와 함께 가장 주목받고 있는 새로운 서비스라고 할 수 있다.
삼성페이 지원 기기 : 갤럭시 S6, 갤럭시 S6 엣지, 갤럭시 노트5, 갤럭시 S6 엣지플러스
이번 글에서는 매일경제에 소개된 '설마했다가... 마그네틱카드 10만개 복제당했다'라는 기사의 내용을 통해 삼성 페이의 안전함을 소개하려고 한다. 우선, 지난 8월 27일 매일경제에 실린 기사 내용부터 간단히 살펴보면 다음과 같다.
신용카드 결제용 단말기(POS)를 해킹해 고객 정보를 빼내 수백 장의 복제카드를 만들어 거액을 챙긴 일당이 경찰에 검거됐다. 보완이 취약한 마그네틱 신용카드 정보를 해킹한 사고가 1년여 만에 다시 발생해 전국 20만명의 마그네틱 카드 사용자의 주의가 요구된다.
<중략>
이번에도 POS가 표적이었다. 중국에 있는 해킹 총책이 인천 등 수도권 음식점에 설치된 POS에 설치된 원격지원 프로그램(VNC)을 해킹해 신용카드 정보를 빼내면 하국에 있는 피의자들이 노트북 컴퓨터로 카드 정보를 전송받아 신용카드를 복제해 사용하는 방식이었다. 가맹업자들이 편리한 애프터서비스(AS)를 위해 설치한 원격 지원 프로그램이 오히려 역효과를 낸 것이다.
<중략>
당시 금융당국은 보안이 취약한 마그네틱 카드의 복제 범죄를 막기 위해 6월 2일부터 모든 현금자동입출금기(ATM)에서 IC칩이 없는 신용카드 사용을 전면 금지했다.
<이하 생략>
기사 내용을 보면 '신용카드 결제용 단말기(POS)에 설치된 원격 지원 프로그램(VNC)을 해킹하여 신용카드 정보를 빼내서 복제 신용카드를 만든 것'이 가장 중요한 핵심이다. 물론 관련 기사를 꼼꼼히 읽었거나, 삼성페이(Samsung Pay)에 대해서 어느 정도 기능적인 부분을 알고 있다면 이번 신용카드(마그네틱카드) 복제와 삼성 페이와는 전혀 상관없으며, 도리어 이번 사건을 통해서 신용카드보다 '삼성페이'를 써야 하는 이유로 이해했을 것이다.
하지만 일반적으로 관련 정보를 잘 알지 못하는 분들은 위 기사를 보고 이런 단어들이 머리 속에 남을 수 있다.
신용카드, 복제, 해킹, POS(포스), 결제, 돈 피해, 보안이 취약하다, 원격지원...
이런 단어를 조합하여 아래와 같이 생각할 수 있는 것이다.
뭔가 해킹 당해서 신용카드를 복제했고 그걸로 인해서 피해를 보았구나. 보안이 취약하다고 하니 신용카드 관리를 더 잘해야겠네.
이런 생각은 최근 인터넷과 지인에게 건네들은 '삼성페이(Samsung Pay)'와 같은 스마트폰 결제 앱과 관련지어서 요즘 스마트폰 해킹 이야기가 많으니 삼성페이도 위험하겠구나라는 생각을 갖게 만드는 것은 당연하다. 하지만 실제 조금만 내용을 자세히 알면 앞에서 이야기한 것처럼 '삼성페이를 써야 하는 이유'로 해석이 가능하다.
신용카드를 한 장만 사용한다면 위와 같은 사건/사고가 발생했을 때 해당 신용카드에 대한 정보 확인이 보다 신속할 수 있다. 하지만 신용카드를 사용하는 분들이라면 필자처럼 1개 이상의 신용카드를 만들어서 다양한 혜택을 위해서 상황 별로 선택 사용하고 있을 것이다. 1장 이상의 신용카드를 사용하면 그만큼 위험 요소도 많아질 수 밖에 없고, 문제가 발생했을 때도 수습이 더욱 어려울 수 밖에 없다.
삼성 페이는 위와 같이 다양한 신용카드를 하나의 앱에 통합 관리가 가능하기 때문에 분실에 대한 위험도 줄어들 뿐만 아니라 사용 이력도 보다 쉽게 관리할 수 있다. 물론 이번 글에서 이야기하려는 '삼성 페이(Samsung Pay)'의 안전함은 이런 부분이 아니라 기술적인 부분이다.
삼성페이를 사용하기 위해서 '삼성 페이(Samsung Pay)'에 신용카드를 등록하는 과정 부터 생각해보자.
신용카드 등록 과정 중 입력하는 정보의 일부는 '보안 모드'에서 입력된다. 예를 들어 '결제 비밀번호'를 등록하는 과정 역시 위 사진에 보이는 것처럼 단순히 '키패드(숫자패드)'를 실행하여 입력하는 것이 아니라 '보안 모드' 상태에서 숫자(비밀번호)를 입력받는다.
여기서 가장 기본적으로 '결제에 필요한 비밀번호 등록'이라는 과정 역시 보안의 측면에서는 쉽게 결제하지 못하도록 사용자 인증 과정이라고 생각하니 일반적으로 신용카드보다 한단계 더 안전한 것은 사실이다. 분실한 신용카드를 습득한 사람이 안 좋은 의도로 사용한다고 하면 어렵지 않게 결제 완료까지 진행이 가능하다. 하지만 삼성 페이에 등록된 경우라면 분실한 스마트폰을 습득한 사람이 삼성 페이를 실행하여 결제 할려고 할 때 '지문' 또는 '비밀번호'와 같이 사용자 인증 과정을 통과해야 하는 만큼 보다 안전하다는 것이다.
비밀번호 뿐만 아니라 갤럭시 노트5와 갤럭시 S6 엣지 플러스, 갤럭시 S6, 갤럭시 S6 엣지와 같이 현재 삼성 페이(Samsung Pay)를 지원하는 모든 단말기(스마트폰)은 위와 같이 삼성 페이로 결제시 '지문 인증' 또는 '비밀번호 인증' 과정을 통과해야 하고, 인증 과정을 통과해도 약 20초 이내에 결제를 완료하지 않으면 재인증을 받아야 한다.
삼성페이에 등록한 카드별로 '거래 내역(삼성 페이로 이용한 내역)'을 확인할 수 있도록 제공하는 기능 역시 보안적인 측면으로 접근이 가능하다. (사용 이력 확인이 쉬워야 잘못된 사용 내역도 쉽게 확인할 수 있으니까...)
삼성 페이(Samsung Pay)를 실행하면 화면 상단에 'DroidX 실행중'이라는 안내가 나타났다 사라지는 것을 확인할 수 있다.
DroidX는 보안프로그램으로 우리가 신용카드나 은행 서비스(앱)을 실행할 때 자동으로 설치되는 백신(보안)프로그램과 유사한 기능을 제공한다고 생각하면 된다. 삼성 페이를 실행할 때마다 자동으로 실행되는 DroidX는 그만큼 앱 실행에 있어서 문제 발생의 소지가 있는 상황을 확인하고 안전하게 결제 가능하도록 도와주는 기능을 제공한다.
결제 준비가 완료된 상태의 삼성 페이 화면이다. 이 상태에서 약 20초간 결제가 가능하므로 해당 단말기(스마트폰)의 뒷면을 카드 리더기(POS)에 대면 결제가 완료되는 것이다.
앞에서 소개한 '기사'를 보면 카드 리더기에서 신용카드 정보를 해킹했다고 하니, 삼성 페이 역시 앞에서 설명한 다양한 보안 기술을 제공해도 결국 결제 과정에서 POS로 넘어온 신용카드 정보가 해킹되는 것은 동일하다고 생각할 수 있다. 하지만 결론부터 이야기하면 삼성 페이는 일반 신용카드와 달리 결제 과정에 사용되는 정보가 신용카드 정보에 추가 정보를 포함한 상태여서 신용카드(마그네틱) 결제와는 다른 과정으로 진행된다.
토큰화 기술(Tokenization)
다소 어렵게 보일 수 있으니 이해하기 쉽도록 간단하게만 설명하면... 삼성 페이는 스마트폰에 결제 정보를 저장해 두고 보안 매체인 '토큰화 기술'을 통해 일회용 가상 카드 번호를 이용하여 결제를 한다. 쉽게 말하면 삼성페이에 등록한 '신용카드 정보'를 이용하는 것이 아니라 그 정보를 이용하여 '일회용 가상 카드번호'를 만들어서 사용하는 것이다.
신용카드 16자리 + 임의값 = 일회용 카드 번호(가상토큰번호) 생성 후 사용
핵심은 '일회용 카드 번호를 사용한다'는 것이다. 일반 마그네틱 카드는 신용카드 정보를 그대로 POS에 전달되어 사용되지만, 삼성 페이는 신용카드 정보에 임의의 값을 추가한 '일회용 카드번호'를 만들어서 그것을 사용하는 것이다. 즉, POS에서 해당 삼성 페이 정보를 해킹한다고 해도 사용할 때마다 변경되기 때문에 이용이 불가능한 것이다.
삼성페이가 마그네틱 카드와 같은 결제 단말기를 사용하기 때문에...
삼성페이가 스마트폰에 설치된 다른 앱처럼 쉽게 사용할 수 있기 때문에...
삼성페이가 신용카드 정보를 갖고 있기 때문에 혹시나 하는 걱정을 하는 것은 너무 당연한 일이다.
하지만 앞에서 이야기한 것처럼 삼성 페이에 대한 기능(기술적인 부분)을 조금만 깊이 있게 확인해보면 지금까지 지갑에 넣고 사용한 신용카드보다 훨씬 더 안전하게 사용할 수 있는 서비스라는 것을 쉽게 알 수 있을 것이다.
