QR코드진단
알리바바 손잡은 카카오페이, 국내 보안정책에 ‘발목’
[QR코드진단] ⑤ 보안문제로 제로페이 미참여?…“규정 맞춰 보안 마련 中”






국내 여러 큐알코드결제 서비스사들은 보안문제에 가장 취약한 곳으로 카카오페이를 꼽았다. 제로페이에 참여한 국내 은행, 카드, 결제사 등은 금융위원회가 제시하는 표준규제안에 맞춰 기본 수준의 보안정책을 마련했지만, 카카오페이는 표준규제안을 적용하지 않고 있기 때문이다.


금융위가 큐알코드 표준규제안을 발표할 당시, 일부 결제서비스 업체는 표준안에 맞추면 유로페이 등이 제시하는 큐알코드와 호환이 되지 않는다는 점에서 국내용 규정이라고 비난하기도 했다. 중국이나 동남아지역 국가에서 빠르게 큐알코드 결제가 확산되는 만큼, 그들의 큐알코드와 호환이 용이해야 하는데 국내 규제안은 글로벌 트렌드에 맞지 않다는 주장이다. 하지만 큐알코드 결제에 심각한 보안 문제가 발생한 만큼 보안강화 대책 마련이 필요하다.


카카오페이는 알리페이 등과의 호환을 염두하고 시스템을 설계해 URL코드 생성방식을 사용하고 있다. 이는 중국의 큐알결제 표준이다.


카카오페이는 지난 2017년 2월 알리페이를 운영하는 중국 알비바바그룹의 앤트파이낸셜로부터 2300억원을 투자받고 크로스보더 결제 시스템을 구축했다. 국내인이 국내 상점에서 큐알코드를 결제하는 것은 물론, 중국인 등 외국인 관광객의 국내 큐알코드 결제까지 고려해 큐알코드결제 시스템을 만들었다.


알리페이와의 호환이 가능한 경우 알리페이 가맹점을 통해 간편결제 시장을 빠르게 확산할 수 있다는 이점도 있다. 유커로 대변되는 중국인 관광객수가 급증했을 때, 수많은 명동의 상점들과 면세점들이 위챗페이나 알리페이 결제를 서두르지 못해 아쉬워했다는 것은 공공연한 사실이다. 이후 서울 명동에서는 위챗페이나 알리페이를 사용할 수 있는 가맹점수가 급속히 늘었다.


하지만 전문가들은 URL코드 생성방식은 큐싱(QR코드이용 피싱)과 오프라인 범죄 모두 노출될 위험이 있다고 지적한다.


중국에서 발생한 큐알코드 위변조 범죄는 국내은행이나 카카오페이 등 관련 사업자들도 이미 파악한 내용이다. 현재는 일부 범죄자들이 큐알코드 상점에 위변조 큐알코드를 붙여 결제금을 빼돌리는 수법이 대부분이지만, 전문가들은 가상의 상점과 가상의 결제 정보를 이용해 범죄에 악용하기 쉬워, 피해규모나 횟수가 늘어날 가능성이 높다고 예상한다.


국내 금융사들은 보안필름 사용이나 결제시 상점 직원이 직접 확인하는 방식으로 막을 수 있다고 주장하고 있다. 하지만 IT전문가들은 보안필름 사용이나 교육은 근본적인 대안이 아니라고 지적한다. 중국 정부 역시 큐알코드 위변조 범죄로 골머리를 앓고 있지만 별다른 보안책을 내놓지 못하고 있다.


카카오페이는 올해 1분기 내에 알리페이 가맹점을 통해 일본에서도 카카오페이로 큐알코드결제가 가능하도록 할 계획이다. 이후에는 중국, 동남아권으로 서비스를 확대한다는 계획이다. 이미 국내에서는 가맹점 20만개, 가입자 500만명 돌파로 선두주자의 자리를 차지하고 있다. 하지만 큐알코드관련 범죄에 대한 보안책 마련은 쉽지 않은 분위기다.


한 은행업계 관계자는 “국내 금융사의 큐알코드와 카카오페이 큐알코드가 맞지 않아 제휴가 어렵다”며 “카카오페이가 제로페이 초기 사업자로 참여했다가 최종적으로는 참여하지 않기로 결정한 것 역시 금융위가 제시하는 표준안 적용이 어려워서였다”고 밝혔다.


이에 대해 카카오 관계자는 “초기 제로페이 구축을 위한 사전 논의 자리에 참여했지만 시범사업은 빠지게됐다”며 “제로페이 이전에 카카오페이 서비스를 준비한 만큼 (카카오페이) 사용자에 미칠 영향 등을 고려했다”고 말했다.


류영준 카카오페이 대표 역시 앞서 언론보도를 통해 시범사업에만 참여하지 않았을 뿐이지 향후 본 사업에는 참여할 수 있다는 뜻을 시사한 바 있다.


보안과 관련해서는 “금감위가 제시하는 큐알표준에 맞추는 것이 기술적으로 불가능 것이 아니다”라며 “시간이 걸리겠지만 곧 해결될 일”이라고말했다.


이어 “보안추세가 사용자 앞단에 보호를 강화해서 결제방식을 복잡하게 하거나 인증을 복잡하게 하는 것이 아니라 뒷단의 보안을 강화하는 것”이라며 “이상거래 감지 시스템을 구축해 의심스러운 거래가 포착되면 사용자에게 알리는 체계를 갖추었다”고 설명했다.

ⓒ새로운 눈으로 시장을 바라봅니다. 팍스넷뉴스 무단전재 배포금지