금융IT

‘핀테크 활성화, 금융보안 모두 중요’…금감원,‘삼성페이’ 보안성 조건부 승인

박기록

[디지털데일리 박기록기자] 삼성전자가 만든 모바일결제서비스인 삼성페이가 금융감독원의 보안성심의를 조건부승인으로 통과했다. 국내 금융결제서비스를 위해서는 까다로운 금감원 보안성심의가 필수다.이로써 삼성페이는 국내 상용화를 위한 1차 관문을 비교적 수월하게 통과했다.

하지만 핀테크 활성화라는 정책적 과제와 금융결제의 안전성 확보라는 두 가지 가치를 동시에 확보하기위한 금융 당국의 고민도 엿보인다.

금감원이 30일 밝힌 조건부승인으로 요구한 몇가지 보완점을 충족시키면 삼성페이는 빠르면 올해 7월중 삼성카드를 비롯해 국민, 신한, 농협, 현대, 롯데카드 등 6개 카드사에서 공식 서비스를 론칭하게 된다. 앞서 삼성카드 등 6개 카드사는 지난달 13일에 보안성심의를 금감원에 요청한 바 있다.

6개 카드사는 이용 고객이 삼성페이 앱이 설치된 스마트폰을 이용해 가맹점에 설치된 기존 마그네틱 결제단말기를 활용할 수 있다. 삼성페이가 가능한 폰은 갤럭시 S6, S6엣지(MST방식 적용), 갤럭시 S6 이하(NFC방식 적용)이다.

MST(Magnetic Secure Transmission)방식은 앱카드가 저장된 스마트폰을 기존 국내 가맹점에 깔려있는 마그네틱 결제단말기에 근접시켜 결제하는 기술로, 삼성전자가 삼성페이의 가장 큰 특징으로 꼽은 바 있다. 삼성전자는 MST기술을 적용하기위해 미국 루프페이(LoopPay)사의 특허기술을 도입했으며, 이는 NFC 방식만을 적용하고 있는 애플페이와 비교해 서비스 차별화 요소로 부각되고 있다.

따라서 삼성페이 사용자는 스마트폰에 장착된 지문정보를 통해 본인인증을 한 뒤, 스마트폰을 가맹점의 마그네틱 결제단말기에 결제함으로써 결제를 끝낼 수 있다.

다만 금감원은 삼성페이 보안성 심의중 발견된 기술적 또는 법적 보완할 부분과 명확히 할 부분에 대해서는 카드사가 이를 보완한 후 서비스 하도록 권고해 주목된다

금감원의 보안성 심의가 조건부 승인으로 통과됐다는 점에서 삼성측과 6개 카드사의 추가 대응에 관심이 모아진다. 보완할 부분에 대해 금감원은권고의 형식을 띠었지만 이는 사실상 반드시 규정을 충족시켜야하는의무요건이라고 봐야한다.

◆금감원“삼성페이, OTC 유효시간 1분으로 줄이고, FDS 강화할 것”요구 = 삼성페이 서비스에 앞서 기술적으로 보완할 부분과 관련, 먼저 금감원은 결제단말기가 스마트폰의 카드정보(OTC)를 읽어오는 과정에서 카도정보 가로채기 위험이 있다고 보고, 6개 카드사들에게 OTC(One-Time Cardnumber) 유효시간을 3분에서 1분으로 개선할 것으로 권고했다.

또한 삼성페이가 개인 지문정보 등 생체정보와 같은 주요 정보를 스마트폰에 저장함에 따라 분실시 부정결제의 위험이 있다고 보고, 주요 정보에 대해서는 스마트폰 내 안정한 메모리 영역(Trust Zone)에 저장하도록 권고했다. 특히 금감원은 금융 결제 사고를 방지하기위해 FDS(금융이상거래감시시스템)을 강화하도록 요구했다.

이와함께 결제서비스 이용에 따른 피싱, 파밍 등의 위험에 대응할 수 있도록 삼성페이 서버와 클라이언트 간에 송수신을 위한 통신세션 설정시 가짜 사이트의 개입을 방지하기 위한 상호인증프로세스를 갖추도록 권고했다.

금감원이 조건부로 권고한 이같은 내용들이 실제로 7월 서비스 예정시기에 앞서 기술적 으로 보완이 완벽하게 가능한지 지 여부는 현재로선 알 수 없다.

한편 금감원은 삼성페이의 서비스에 앞서 서비스 이용 관련 약관을 5월중 최종 심사할 계획이다.

<박기록 기자>rock@ddaily.co.kr


















































































박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널