[디지털데일리 이민형기자] 삼성페이가 암초를 만났다. 삼성페이의 원천기술을 보유한 루프페이(LoopPay)가 중국 해커 그룹에게 해킹 당했다는 소식이 주요 외신을 통해 전해졌다. 고객정보, 카드정보 유출은 발생하지 않았으나 이미지 타격은 피할 수 없게 됐다.

7일(현지시각) 주요외신들은 삼성전자가 인수한 간편결제 솔루션 업체 루프페이가 지난 3월이나 이보다 일찍 중국 해커들에게 해킹을 당한 사실이 드러났다고 보도했다.

이번에 루프페이를 해킹한 공격자는 중국의 해킹그룹 ‘코도소(Codoso)’ 또는 ‘선쇼크(Sunshock)’으로 추정된다. 이들은 루프페이의 마그네틱 보안전송(MST) 기술을 훔치기 위해 침입한 것으로 보인다.

윌 그레일린 루프페이 최고경영자(CEO) 겸 삼성페이 총책임자는 “해커들이 루프페이의 사내시스템에는 침입했으나 결제와 관련된 시스템에는 들어오지 못했다”며 “또 해커들이 삼성전자의 시스템이나 고객정보에 침입한 흔적 역시 발견되지 않았다”고 전했다.

삼성전자는 지난 2월 루프페이를 인수하고 이 회사의 MST 기술을 삼성페이에 녹였다. 루프페이의 MST는 카드정보에 해당하는 마그네틱 배열 정보를 무선으로 전송해 주는 기능을 갖췄다. 무선통신이지만 근거리무선통신(NFC)를 사용하지 않기 때문에 대부분의 판매시점관리(POS) 단말기에서 그대로 사용이 가능하다.

루프페이와 삼성페이는 비슷해보이지만 다른 부분이 많다. 루프페이용 전용 단말기를 쓰지 않아도 되는 점이 대표적이다.

가장 큰 차이점은 ‘토큰화(Tokenization)’다. 토큰화란 신용카드 정보나 개인정보 등을 토큰으로 만들어주는 것을 말한다. 버스 토큰처럼 결제를 할 때 1회용으로 사용된다. 토큰화는 간편결제 보안의 시작이자 끝이다.

루프페이는 카드정보를 별도의 단말기에 저장하고 이 정보를 그대로 MST로 전송한다. 전송되는 정보는 암호화나 토큰화가 돼 있지 않아 중간에서 가로채는 것이 가능하다. 이를 예방하기 위해 루프페이가 적용한 것이 ‘3인치(3-inch distance)’ 전략이다. 3인치 이상 떨어진 곳에서는 MST로 송출되는 카드 정보를 읽을 수 없도록 신호세기를 조절하는 방식이다. 루프페이는 이를 토큰화라고 주장하나, 원 카드정보가 전송된다는 점에서 토큰화 기술과는 거리가 멀다.

반면 삼성페이는 토큰화가 적용됐다. 루프페이처럼 MST로 카드정보를 보내지만, 이 정보는 원래 카드정보와는 무관하다. 앞서 언급한 버스 토큰처럼 가상의 정보로 만들어진 1회성 번호다.

삼성페이에 입력된 신용카드 정보는 암호화돼 삼성페이 관리용 서버에 전송된다. 서버는 해당 값을 복호화해 카드사별로 분류한 뒤 해당 신용카드사에 재암호화해서 전송한다. 카드사는 수신한 카드번호와 사용자를 확인한 뒤 토큰(가상의 카드번호)과 인증값(시드)을 사용자 스마트폰에 보낸다. 토큰과 인증값은 카드사 서버와 스마트폰 애플리케이션 프로세서(AP) 트러스트존에 각각 저장된다.

즉, 실제 신용카드 정보는 어느 곳에도 없다. 신용카드사도, 사용자도 가상의 카드번호를 갖고 있는 셈이다. 결제를 하기 위해 삼성페이를 구동하면 토큰과 인증값이 POS단말기를 거쳐 카드사로 전송된다. 인증값은 시간과 결합돼 만들어지기 때문에 매번 바뀐다. 카드사는 전달된 토큰과 인증값이 일치하는지 비교한 뒤 결제 승인 신호를 보낸다. 따라서 POS단말기와 스마트폰 사이의 패킷이 탈취되더라도 안전하다.

원천기술인 MST가 유출됐다고 하더라도 삼성페이 보안과 무관한 이유다. 다만 MST에 대한 지적재산권 유출은 우려된다. 원천기술이 빠져나갔다면 루프페이와 비슷한 서비스가 출시될 가능성이 있다.

한편 이번 사건으로 삼성페이의 보안을 우려하는 소비자들이 많아질 것으로 보인다. 다만 루프페이의 결제시스템은 해킹당하지 않았고, 해킹을 당했더라도 삼성페이와는 카드정보 전송 절차가 상이하기 때문에 고객피해로 이어질 가능성은 낮다. 삼성전자가 이 위기를 어떻게 극복할지 주목된다.

<이민형 기자>kiku@ddaily.co.kr