모바일 결제 기술의 위험성

모바일 페이먼트 투데이의 웹 사이트 (mobilepaymentstoday [dot] com)에서 “Understanding the risks of mobile-payments technology”를 옮겼습니다. 원문은 2017년 3월 7일에 게재되었습니다.                                         

                   

‘사기 및 위험 관리 (Fraud and risk management)’ 전문가인 카운트 (Kount)씨는, ‘모바일 결제와 사기 2016년 보고서 (Mobile Payments & Fraud: 2016 Report)’에서 “모바일 결제”를 매우 넓게 정의합니다: 그에 따르면, 기기에서 결제된 어떤 것도 다 포함되는데, 실물 POS (point-of-sale)에서 결제되었건, 혹은 모바일의 전자 상거래 (e-commerce) 결제이건, 혹은 더 세분화되어 ‘앱 안 (in-app)’에서의 결제이건 ‘모바일 웹 브라우저 (mobile web-browser)’에서의 결제이건 다 포함됩니다. 전 세계의 모바일 결제는 2019년까지 1조 달러 ($1 trillion)를 넘을 것으로 예상하고 있습니다. 2016년 미국의 블랙 프라이데이 (Black Friday) 판매에서, 모바일 기기를 통한 온라인 판매는 십이억 달러 ($1.2 billion)에 달했습니다 – 이것은 그 날 총 판매액의 36 퍼센트를 차지하는 것으로, 전년도보다 33 퍼센트 증가한 것이라고 합니다. 이렇게 조금만 들여다보아도 모바일 결제가 얼마나 인기를 끌며 확장되고 있는지 알 수 있습니다.

모바일 결제의 유형과 작동 방법 (Types of mobile payments and how they work): 위에서 말한대로, 모바일 결제에는 두 유형이 있습니다. 온라인 결제, 그리고 실물 POS 결제입니다. 실물 POS는 애플 페이 그리고 안드로이드 페이를 연상하시면 이해하기 쉽습니다: 그리고, 다른 회사들도 이와 비슷한 결제 서비스를 제공하고 있는데, (마스터카드가 제공하는) 마스터패스, 삼성 페이 그리고 (JP 모건 체이스의) 체이스 페이 등입니다. 대부분의 실물 POS 결제는 ‘근거리 무선 통신 (Near Field Communication (NFC))’ 원리를 사용하며, 이 NFC 기술은 대부분의 스마트폰에 설치되어 있으며, 또한 비접촉 직불/신용 카드 (“contactless debit/credit card”)와 동일한 기술입니다. 카드 정보는 당신의 휴대폰에 저장되지 않고, 혹은 상인에게 주어지지도 않습니다: 이 기술은 ‘토큰 (token)’을 만들어냅니다. 이 토큰이 바로 당신의 카드의 상세한 정보를 대신/대체하며, 이것이 상인에게 주어져서 거래를 매우 안전하게 할 수 있습니다. 애플페이는 보안에 있어 한 단계 더 나아가, 모든 거래에 있어 지문 인증이나 비밀번호 (“all transactions to be verified by fingerprint ID or passcode”)를 요구하도록 되어있습니다. 한편, 안드로이드 페이는 ‘휴대폰을 잠금해제 (make sure the phone is unlocked)’하여 비접촉 단말기에 갖다대면 됩니다. 애플페이와 안드로이드 페이는 또한 ‘모바일 월렛 (mobile wallet)’ 유형을 제공하여, 사용자가 하나의 카드 이상을 저장할 수 있으며, 지불할 때 어떤 카드로 지불할지 고를 수 있습니다. 그리고 또 다른 새로운 기술이 최근 미국 전역에서 출시되었는데, 이것은 ‘카드없는 현금 자동 입출금기 (cardless ATM)’입니다. 이것은 모바일 월렛 혹은 ‘디지털’ 월렛 (“mobile or ‘digital’ wallet”)을 사용하는데, 마치 사용자가 상점에서 애플/안드로이드/삼성 페이를 사용하는 것처럼 같은 보안 절차를 거쳐서 진행되며, 다만 지불하고자 하는 카드를 선택한 뒤, 비접촉 리더기 (contactless reader)에 폰을 갖다대면 됩니다. 그런데, 이 경우 보안이 한층 더 강화될 수 있는데, 이는 현금 자동 입출금기에 선택한 카드의 핀 (PIN)을 입력하면 그렇습니다 – 이 방법은 현금 자동 입출금기에서 그냥 카드만 사용하는 것보다 훨씬 안전합니다. 그냥 카드만 사용하면 카드 복제기에 속아서 카드 정보를 도둑맞을 수도 있고, 혹은 ‘사기꾼들이 산만하게 해서 (distraction fraud)’ 돈을 도둑맞을 수도 있으며, 혹은 아예 카드를 현금 자동 입출금기에 넣어둔 채 잊고 그냥 갈 수도 있습니다. 모바일 전자 상거래는 모바일 월렛을 사용합니다: (모바일 월렛을) 모바일 웹 사이트에서 사용하기도 하고, 혹은 앱을 통하여 사용하기도 하며, ‘애플 페이로 지불하세요 (pay with Apple Pay)’ 등의 선택 사항도 있습니다. 다른 방법들도 빠르게 나타나고 있는데, 예를 들면, 아마존, 페이팔, 혹은 페이스북을 사용하여 온라인에서 결제할 수 있습니다. 이렇게 선택할 수 있는 (지불/결제) 방법들이 점점 인기를 끄는데, 그 이유는 모든 개인적인 상세 정보가 이미 저장되어 있어서 구매시, ‘원 탭 (one tap)’ 구매 버튼만 누르면 되기 때문입니다 – 사용자는 단지 아마존/페이스북/페이팔/모바일 월렛 등에 로그인만 하면 됩니다.     

모바일 결제 관련 사기는 어떻게 일어나는가 (How mobile payments fraud can occur): 이론상으로는, 모바일 POS 결제시 오용될 가능성이 매우 낮습니다: 왜냐면 사용자가 어떤 거래를 할 때에나, 혹은 폰을 잠금해제 할 때, 비밀번호를 입력해야 하거나 지문 인증을 해야하기 때문입니다. 비밀번호가 누설되거나 혹은 고객이 비밀번호를 입력할 때 옆에서 누가 훔쳐보고 이를 이용하여 사기를 치지 않는 한, 보통의 직불/신용 카드와 똑같이 안전합니다 – 사실, 카드의 번호가 (구매 과정이나 현금 입출) 과정에서 다른 사람에게 누출되지 않는 한, 더 안전합니다. 그러나, 도둑맞은 직불/신용 카드의 정보는 애플 페이나 안드로이드 페이를 등록하는 데에 사용될 수 있습니다. 모바일 전자 상거래 결제에 관한 한, 훔친 카드의 정보를 사용하여 새로운 계정이 만들어 질 수도 있습니다 – 그 훔친 정보는 어느 곳에서건 도둑맞을 수 있는 것입니다: 예를 들어, 카드 복제기를 사용하여 마그네틱 카드의 정보를 훔쳤을 수도 있고, 혹은 웹 사이트를 해킹할 수도 있습니다. 그리고, 하나의 계정이 등록될 때, 기관은 문자 메시지나 전화 통화를 통하여 인증하는데, 이런 식으로 (도둑맞은 정보로) 계정을 만드는 경우, 전화 번호가 탈취될 수도 있습니다. 이렇게 되면, 사기꾼은 자신의 폰으로 피해자의 통화와 문자를 전송시켜, 인증은 이미 ‘다른 기관들로부터 피싱한 (phished from other organizations)’ 정보 (혹은 돈을 주고 산 정보)로 인증을 합니다: 도둑맞은 카드의 정보로 애플/안드로이드 페이의 계정을 새로 만들 때, 이런 일이 일어날 수도 있습니다. 만약, 이미 등록된 계정이 사용된다면 왜 그런 일이 벌어졌는지 알 필요가 있습니다 – 예를 들어, 그들의 폰에 잠금 장치 (lock)이 있는지? 카운트씨의 조사에 의하면, 사용자들 가운데 34 퍼센트가 그들의 기기를 잠그지 않으며, 62 퍼센트가 ‘1234’와 같이 너무나 쉽게 해킹될 수 있는 번호를 잠금 코드로 사용한다는 것입니다. 보통 대부분의 앱이 등록할 필요가 없고 또 많은 사람들이 그들의 정보를 아마존, 페이스북, 페이팔 혹은 모바일 월렛의 – 다음에 사용할 때에 쉽도록 – 로그인 정보를 저장하는 것을 고려해보면, 모바일 기기를 잠그는 것은 매우 중요합니다 (“the need to have a lock on a mobile device is crucial”). 만약, 잠금이 없다면, 모바일 기기를 잃어버리거나 도둑맞았을 때에, 사기꾼은 피해자의 은행 계좌 (혹은 월렛에 카드가 하나 이상 있었을 때에는 여러 개의 계좌들)에 쉽게 접근하여, 마음껏 돈을 쓸 수 있게 됩니다.

결론 (Conclusion): 전자 상거래의 확산과 더불어, 모바일 기기와 보안 향상 그리고 모바일 결제는 앞으로 몇 년이내에 점점 더 증가할 것이며 기존의 결제 방법보다 앞서기 시작할 것입니다. 마찬가지로, 사기 (fraud) 역시 여전한 위험 요인으로 남을 것입니다: 따라서, 모바일 결제 제공 회사와 소비자들은 – 아무리 간단한 것이라고 해도 –  그 위험을 확실히 인지하고, 대책을 세워야 할 것입니다.    

***                                     

테크 레이다의 웹 사이트 (techradar [dot] com)에서 “Amazon Cash lets you shop online with physical money”를 옮겼습니다.   

                

                   

온라인 쇼핑을 약간 하려는데, 그렇다고 당신의 신용 카드 정보를 입력하는 것은 불안합니까? 아마존 (Amazon)은 현금으로도 온라인 상품을 살 수 있도록 합니다. 유통 업계의 거인인 아마존이 ‘아마존 캐시 (Amazon Cash)’를 출시했습니다 – 실제 상점에 가서 실물 현금으로 아마존 잔액 (Amazon Balance)을 채울 수 있습니다. 유일한 바코드 (“unique bar code”)가 제공되며, 이는 인쇄하거나 혹은 폰에 저장될 수도 있습니다. 아마존 사용자들은 이제 아마존 계정에 돈을 넣을 수 있는데, 씨비에스 (CVS), 스피드웨이 (Speedway), 쉿츠 (Sheetz), 쿰 앤 고 (Kum & Go), D&W 프레시 마켓 (D&W Fresh Market) 등등의 참가/참여 상점에서 실제로 잔액을 채워넣을 수 있습니다.

당신 자신에게 주는 작은 선물 (A little gift to yourself): 이 시스템은 아마존 계정에서 사용하려 기프트 카드 (gift card)를 사는 것과 크게 다르진 않습니다: 온라인에서 직불 카드 정보를 사용하기 싫은 사람들이 이렇게 하기도 하고, 혹은 은행 계좌가 없는 (성인이 되지 않은) 아이들이 이렇게 사용하곤 합니다. 사실, 사용자의 아마존 잔액에 아마존 캐시로 추가된 금액은 자동적으로 그들의 기프트 카드 잔액과 합쳐집니다. 이 둘 (스스로 기프트 카드를 사는 것과 아마존 캐시)의 차이점은, 캐시의 경우 더 효율적이며, 구매한 즉시 사용자의 아마존 계정으로 보내어지며 더 깔끔합니다. 데스크톱 (desktop)을 사용하는 경우에 더하여, 애플 운영 체계 (iOS)와 안드로이드 (Android) 사용자들은 아마존의 공식 앱을 통하여 아마존 캐시 바코드에 접근할 수 있습니다. 현재, 이 프로그램은 미국에서도 선택된 몇 몇 식료품점과 드럭 스토어 (drug stores)에서만 사용가능합니다 – 아마존은 곧 더 많은 유통 소매점이 참가할 것을 기대한다고 말했습니다.