콘텐츠 바로가기
홈으로

블로킹

전체기사

QR코드 보안 ‘엇갈린 시선’, 탈날라

팍스넷뉴스 2019.01.14 11:25 댓글 0

[QR코드진단] ② 금융당국·업계 “강화했다” vs 보안전문가 “보완 시급”

[팍스넷뉴스 김병윤 기자] 정부가 QR(Quick Response)코드 결제 활성화 방안을 내놓았지만 QR코드 결제 보안 논란은 여전히 도마 위다.

금융당국과 금융기관은 충분히 강화된 해법을 제시했기 때문에 이용에 문제가 없다는 태도를 보이고 있다. 반면 보안업계의 시각은 다르다. 대표적인 보안책인 QR코드 위·변조 방지 필름 역시 무용지물로 전락시킬 수법이 존재한다며 우려의 목소리를 내고 있다.

QR코드 결제의 보안을 두고 상반된 의견이 존재하고 있는 만큼 이용자의 피해를 예방하기 위해 보다 면밀한 검토가 필요하다는 지적이 나온다.

금융위원회는 지난해 11월 간편결제를 위한 QR코드 결제를 표준 제정한다고 밝혔다. 해당 정책의 배경은 소비자와 가맹점이 편리하고 안전하게 결제할 수 있도록 하기 위함이다. 전자금융거래 전반에 결제 범용성·간편성·보안성을 강화했다는 것이 핵심 골자다.

금융위는 소비자가 스마트폰 애플리케이션으로 생성된 QR코드를 스캔하는 ‘변동형’과 매장에 비치된 QR코드를 스캔하는 ‘고정형’으로 구분해 보안책을 제시했다. 이번 표준안의 보안 방안을 두고 NH농협은행이 대표로 자체 보안성 심의(금융보안원 검토)를 거쳤다.

금융위의 표준안상 고정형 QR의 보안 대책으로는 위·변조 방지 특수필름을 부착하거나 잠금장치를 설치하는 안 등이 있다. 가맹점에 부착된 QR코드를 보호하는 것이 보안의 핵심이다. 변동형 QR의 경우 QR코드를 생성하는 어플리케이션이 보안성 기준을 충족토록 하는 방법이 제시됐다. 생성된 QR코드의 유효시간을 3분으로 제한했다.

금융위원회 관계자는 “제시한 표준안을 두고 시장에서는 높은 수준의 보안이라는 평가가 많다”며 “표준안은 권고사항이지만 현재의 법과 제도를 고스란히 담고 있다”고 설명했다.

NH농협은행 관계자는 “QR코드 스캔은 URL과 코드방식 등 두 가지로 나눌 수 있다”며 “NH농협은행은 과거 문제가 있었던 URL방식이 아닌 코드방식으로 시스템을 설계했기 때문에 안전하게 거래할 수 있다”고 밝혔다.

URL방식은 소비자가 QR코드를 스캔하면 연결된 인터넷 주소(URL)로 이동해 결제가 이뤄지는 구조다. 과거 URL을 조작해 엉뚱한 결제가 이뤄지게 하는 등의 사기수법이 존재했다.

하지만 금융당국과 시중은행 등의 입장과 달리 우려의 시각도 있다. 현재 보안책을 빗겨나는 사기수단이 존재한다는 의견이다.

보안업계 관계자는 “위·변조 방지 필름을 부착한다고 해도 그 위에 다른 QR코드를 붙일 경우 엉뚱한 곳에 결제를 하게 되거나 개인 정보가 유출될 수 있다”고 말했다. 이어 “QR코드와 변조가 어려운 다른 보안코드를 동시에 적용시켜 두 코드가 일치해야 결제가 되는 식의 방법도 고려해봐야 한다”고 덧붙였다.

다른 보안업계 관계자는 “금융당국이 정한 QR코드 표준도 완전치 않고 일부 플레이어는 기술적인 이유를 내세워 금융당국의 QR코드 표준을 적용하지 않고 있다”며 “민간 IT 전문가를 참여시켜 보안을 강하하는 대책을 세울 필요가 있다”고 강조했다.





김병윤 기자 bykim@paxnetnews.com
<ⓒ새로운 눈으로 시장을 바라봅니다, 팍스넷뉴스 무단전재 배포금지>

목록