결제, 신원확인 및 이동성을 위한 안전한 솔루션 전문 전시회인 ‘카르테스 보안 연결2015’(CARTES SECURE CONNEXIONS 2015)에서는 토큰화(tokenization)에 관한 컨퍼런스 세션이 3회에 걸쳐 개최된다.
휴대형 기기 사용자들의 수요에 대응하여 전자 지불 시스템이 빠르게 발전하고 있다. 토큰 서비스 제공업체(token service provider) 같은 새로운 형태의 서비스 업체들의 등장은 토큰화 적용 영역이 결제 보다 훨씬 더 넓어지고 있다는 것을 뜻한다.
‘모바일 비첩촉식 결제 수단을 섭렵하다’(Navigating the mobile contactless payments landscape)라는 주제로 오는 11월17~19일 사이에 3회 열리는 컨퍼런스 세션에서는 증가 추세에 있는 보안 프로세스 및 관련 전략 이슈, 보안 솔루션의 결제 영역에 대한 진출 방안과 다른 분야에 대한 미래 진출 가능성을 검토할 예정이다. 다수의 제품 전시 업체들이 3일간의 컨퍼런스에서 토큰화 관련 혁신 기술을 발표할 예정이다.
토큰화가 어떻게 전자 지불의 안전한 솔루션이 되었나? 상점에서 카드를 카드 터미널에 집어 넣어서 대금을 지불(카드를 통한 거래)하는 ‘물리적’ 지불 방법이 오래 동안 사용돼 왔다. 하지만 두 가지 현상이 나타나서 이러한 결제 모델을 바꿔 놓았다.
첫째 카드나 휴대폰을 사용하여 결제하는 ‘비접촉식 결제’다. 이 방식의 목적은 보안을 강화하면서 결제와 거래를 신속하게 처리하는 데 있다.
둘째 인터넷과 전자 상거래가 실시됨에 따라 가상 결제 시스템(카드 없는 거래)의 필요성이 대두됐다. 하지만 이러한 시스템은 온라인으로 거래할 때 카드고유번호(PAN)와 만기 날짜가 있어야 하는 경우가 종종 있기 때문에 매우 위험할 수 있다.
가상 거래가 상당히 많이 증가함에 따라 NFC, 블루투스 로우에너지(Bluetooth LowEnergy), QR코드, HCE 등의 새로운 기술이 여러 가지 문제, 특히 보안상의 문제에 직면하고 있다.
토큰화는 결제 시스템의 이러한 기술 발전의 한 과정으로서, 이는 민감한 데이터를 대체 데이터로 대체함으로써 전자 거래의 보안을 강화한다.
가장 대표적인 예가 은행 카드 번호나 카드고유번호(PAN) 대신 토큰을 사용하는 것이다. PAN대신 토큰을 사용하면 보안 시스템이 뚫려서 상세한 결제 내역이 노출되더라도 피해를 제한할 수 있다.
앞으로 사용자들은 카드를 통한 거래와 카드를 사용하지 않는 거래의 차이를 구분하지 못하게 될지 모르며 사용되는 사용자 신원확인 방법도 사용된 터미널과 네트워크의 종류 및 사용자(소비자 또는 소매업자)의 선호도에 따라 달라질 것이다. 토큰은 민감한 데이터를 대체하는 데 사용된다. 토큰은 어떠한 방식으로도 대체하는 데이터와 연관성이 없기 때문에 대체된 데이터를 해커가 전혀 읽을 수 없다. 토큰화는 온라인으로 민감한 데이터를 사용할 때, 가령 데이터를 도난이나 도용 당하더라도 위험성을 낮출 수 있다. 이러한 맥락에서 토큰화가 진가를 발휘하는 것이다.
결제 시스템의 개발자와 사용자들은 ▲결제에 사용한 카드와 연관된 민감한 데이터는 은행과 소매업체만 갖고 있어야 하고 이러한 데이터가 어떠한 상황에서도 제3자 시스템의 손에 들어가서는 안 됨 ▲토큰은 무작위 숫자와 문자로 생성돼 하고 대체한 데이터와 연관성이 있어서는 안됨 ▲생성된 데이터는 원래 데이터와 동일한 포맷, 크기 및 특성을 가져야 함 등의 보안 혜택을 받기를 바라고 있다.
EMV는 카드를 통한 거래에서 사기를 방지하는데 효과가 있는 것으로 나타났다. ‘칩앤핀’(chip and pin)(카드에 전자 칩을 내장하여 사용자가 서명 대신 비밀 번호를 입력해 신원을 확인하는 시스템) 거래를 제외하고 PAN은 카드를 물리적으로 제시할 때만 사용하는 것이 좋다.
하지만 카드 없는 거래의 경우는 상황이 완전히 달라서 사기 행위가 증가하고 있다. 이러한 거래의 보안을 확보하기 위해 여러 가지 조치가 취해지고 있지만 사기를 막는 최선의 방법은 비밀 PAN을 사용하는 것 밖에 없다.
상점이나 온라인처럼 서로 다른 채널 사이의 거래의 경우, 결함이 있는 결제 터미널을 통해 속임수로 확보한 카드 데이터는 인터넷 상에서 카드 없는 거래에 사용될 수 있다. 이런 경우에 토큰이 핵심 역할을 하는데 보안 시스템이 뚫려서 구체적 결제 내역이 노출되더라도 PAN 대신 이를 대체한 토큰 데이터가 노출되기 때문에 피해를 제한할 수 있다.
특히 카드 없는 거래에서 토큰화하면 최상의 보안 기능을 제공한다. 하지만 토큰화만 가지고는 보안을 완전히 보장하지 못하므로 판독기나 터미널 등 다른 보안 장치도 사용돼야 한다.
애플 페이(Apple Pay)가 2014년 9월에 출시됨에 따라 모바일 결제 생태계가 커다란 영향을 받았다. ‘애플 페이’는 ▲결제 터미널을 통한 통신 프로토콜인 NFC(근거리 무선통신)이고 ▲보안 플랫폼으로 시큐어 엘리먼트(Secure Element)를 사용하며 ▲카드번호를 보호하기 위해 토큰을 사용한다.
비자와 마스터카드가 전자 상거래, 특히 카드 없는 거래를 위한 보안 솔루션으로 토큰화를 승인한다고 발표한 같은 시기에 애플이 ‘애플 페이’를 발표했다. EMVCo는 이 보다 몇 달 앞서서(2014년 3월) ‘애플 페이’ 솔루션이 나오게 만든 ‘EMV결제 토큰화 사양-기술 프레임워크’(EMV Payment Tokenization Specification - Technical Framework)라는 문서를 발표했다.
결제 시스템이 전에 없이 빠르게 혁신되고 있다. 관련 업계는 휴대형 기기 - 주로 스마트폰- 가 온라인이나 집에서 전자 상거래를 하는데 완전히 적응할 것으로 보고 있는 사용자들의 수요에 부응해 기술 혁신을 서두르고 있다.
이미 광범위하게 확산된 컴포넌트와 애플리케이션을 보완하는 토큰 서비스 제공업체 같은 새로운 형태의 서비스업체들이 떠오르고 있다.
이는 토큰화의 영역이 결제 범주를 능가하기 때문에 특히 중요하다. 결제 업계와 마찬가지로 의료 분야는 수많은 개인의 신원을 확인하기 위해 보안 접속 디바이스를 사용하고 있다. 따라서 이 분야는 새로운 세대의 토큰을 사용할 강력한 후보가 되고 있다.
대금 결제는 복잡하고 빠르게 발전하는 분야이다. 성장을 구가하는 모바일 생태계는 과거 어느 때 보다 더 넓은 산업 분야로 확산, 통합 되고 있다. 토큰화는 안전한 거래 결제를 위해 지금까지 사용돼 온 하드웨어 솔루션의 대안이다.
카르테스 보안 연결2015에서는 11월17일부터19일까지 3일 동안 ‘모바일 비첩촉식 결제 수단을 섭렵하다’라는 주제로 모바일 비접촉식 결제를 집중 조명할 예정이다.
이번 행사는 참가자들이 결제 수단(NFC, HCE, SE 및 토큰화 등) 시장의 최신 기술을 검토하고 모바일로 새로운 결제 방식을 창출하는 방안을 논의하며 새로운 사업체와 추세를 평가할 수 있는 기회를 제공한다.
