삼성페이와 애플페이, 보안성 누가 더 좋을까?

 
사용자 인증-토큰 암호화로 보안 승부 박빙

애플의 간편 결제 서비스 ‘애플페이’가 3월 21일 국내 서비스를 본격적으로 시작했다. 애플페이는 파트너사인 현대카드를 이용하는 고객만 사용이 가능하다. 또한 아직은 국내 가맹점이 제한적이라 정해진 곳 외에서는 쓸 수 없다는 한계가 있다. 게다가 애플페이를 사용하기 위해서는 애플 제품을 구매해야 한다. 애플페이는 아이폰과 맥북 등 애플의 하드웨어에서만 작동하기 때문이다.

한편, 애플페이가 도입되면서 인터넷에서는 기존에 많이 사용되던 삼성페이와 애플페이를 비교하는 움직임이 계속되고 있다. 특히 개인정보 보호가 중요한 금융 관련 서비스인 만큼 보안 기술에 대한 관심도 높다.


삼성페이, 암호화 토큰-녹스로 개인정보 이중 보호

삼성페이는 플라스틱 카드와 달리 사용자의 지문이나 비밀번호 등으로 인증을 해야만 결제를 할 수 있다. 이에 플라스틱 카드와 달리 기기를 분실해도 걱정이 없다. 또한 기기 도난 시에도 ‘내 모바일 찾기’ 기능을 통해 원격으로 계정 정보를 삭제할 수 있다.

삼성페이 내 저장된 카드 번호 등 결제 정보는 암호화 토큰 기술을 통해 보호된다. 암호화 토큰 기술은 카드 정보를 토큰으로 암호화해 실제 결제 정보는 휴대폰 어디에도 저장되지 않는다. 데이터 전송 과정과 저장 단계에서 개인정보를 치환한 토큰 데이터만을 전송·저장함으로서 개인정보를 보호하는 것이다. 결제 시 삼성페이는 암호화된 토큰 데이터를 통해 1회용 카드 번호를 발급하는 식으로 결제를 진행한다. 다만 데이터 통신 연결은 반드시 필요하다.

또한 삼성페이는 삼성의 보안 솔루션인 녹스(Knox)를 통해 외부의 보안 위협으로부터 보호 받는다. 보안 위협을 감지하면 녹스는 카드 정보를 암호화해 별도의 안전한 공간에 저장하며, 장치가 손상됐을 경우 영구적으로 장치를 비활성화한다.


애플페이, 보안칩 등 정보 관리 철저로 보안성 높여

애플페이도 삼성페이와 같이 암호화 토큰 기술을 사용하지만 구현 방식은 약간 다르다. 애플은 기기 내 보안칩에 암호화 토큰을 저장해 보호한다. 이 토큰을 활성화하기 위해서는 사전에 등록된 Face ID, Touch ID, 지문, 암호 등을 통해 인증을 해야 한다. 따라서 삼성페이와 다르게 데이터 통신 연결 없이도 사용할 수 있다. 만약 기기를 분실했을 때는 ‘나의 찾기’를 통해 결제를 재빠르게 잠금·중단 처리할 수 있다.

또한 애플페이는 카드 번호 등 결제 정보를 판매자의 단말기, 기기, 애플 서버 등 어디에도 저장하지 않는다. 결제 정보가 아닌 고유의 기기 계정 번호(DAN, Device Account Number)를 생성, 암호화 과정을 거친 토큰으로 만든 후 앞서 말한 보안칩인 ‘시큐어 엘리멘트(Secure Element)’에 저장한다. 시큐어 엘리멘트는 각 결제 시마다 생성되는 고유한 동적 보안용 암호를 통해 결제를 승인해 결제 정보 유출을 원천적으로 차단한다.

다만 애플페이가 국내 서비스를 시작한 만큼, 결제 정보의 보관에 있어서는 주목할 만한 대목이 있다. 원래 국내에서 발생하는 모든 결제 정보는 국내에 보관하는 것이 원칙이다. 하지만 애플은 줄곧 이를 거부해 왔다. 애플은 글로벌 카드사인 유로페이, 마스터카드, 비자카드 등 해외 결제망으로 결제 정보를 보내는 EMV 규격을 따르고 있다. 이에 그동안은 애플의 결제 방식이 국내의 많은 개인정보를 해외 결제망으로 보낸다는 점에서 보안에 문제가 있을 수 있다는 우려가 나왔었다.

하지만 애플은 애플페이는 결제 직후 사용자 정보, 결제 정보, 카드 정보 등이 바로 암호화 과정을 거쳐 보안과 개인정보 침해에 문제가 없다는 점을 거듭 강조했고, 이 점을 최근 금융위원회가 받아들이면서 애플페이의 국내 도입이 허용됐다.


NFC? MST? 결제 방식 차이는?

애플페이와 삼성페이는 결제 방식에도 차이가 있다. 두 서비스의 결제 방식을 비교하려면 먼저 스마트폰의 결제 방식을 살펴봐야 한다. 스마트폰을 통한 결제 방식에는 크게 NFC(Near Field Communication, 근거리 무선 통신)와 MST(Magnetic Secure Transmission, 마그네틱 보안 전송)가 있다.

MST는 현재 국내에서 가장 많이 사용되는 결제 방식이다. 예전부터 사용되던 플라스틱 카드의 결제 방식과 동일한 방법으로 많은 단말기를 보유하고 있기 때문이다. MST는 신용카드의 마그네틱 선에서 발생하는 자기장을 기기에 인위적으로 구현해 결제 정보를 송수신한다. 마그네틱 자기장을 통해 정보를 전달하기 때문에 결제 시 단말기에 완전히 접촉하듯이 가까이 접근시켜야 한다는 특성이 있다.

NFC는 가까운 거리에서 무선 데이터를 활용해 거래하는 통신 기술이다. 약 10cm 이내에서만 활성화되며, 스마트폰 등 기기에 NFC 안테나만 있다면 결제가 가능하다. 다만 기존에 많이 사용되던 단말기에는 MST 방식이 많아 NFC를 사용하기 위해서는 호환되는 단말기가 반드시 필요하다.

삼성페이는 현재 MST와 NFC 두 가지 방식을 모두 사용하고 있다. 따라서 국내 신용카드 가맹점에서 대부분 결제가 가능하다. 반면 애플페이는 NFC 방식만 지원하고 있다. 따라서 NFC 결제 단말기 보급률이 약 10%에 달하는 국내에서는 아직까지 사용에 제한이 있다. 한편, 삼성페이는 2021년부터 MST 방식을 순차적으로 중단하고 NFC로 전환하고 있다. 이에 두 서비스 간 결제 방식 차이는 거의 없어질 것으로 예상된다.


종합하면, 삼성페이와 애플페이는 보안 구현 방식에서 차이는 있지만 두 서비스 모두 사용자 인증과 암호화 토큰 기술을 구현해 높은 보안성을 가지고 있다. 따라서 어느 서비스가 보안성이 더 높다고 판단하기는 어렵다. 이에 보안성 우열은 추후 두 서비스가 어떤 보안 기술을 추가로 개발할지에 따라 달라질 것으로 보인다.

함께 보면 좋은 콘텐츠