태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
마그네틱카드 (2)
삼성페이가 부럽지 않은 G6 LG페이 6월 스타트!

삼성페이가 부럽지 않은 G6 LG페이 6월 스타트!

참 오래 걸렸습니다. 드디어 LG페이 서비스 출시가 눈앞으로 다가왔습니다. 6월부터 업데이트를 통해 LG G6부터 모바일 결제 서비스를 이용할 수 있게 됐습니다.

<곧 이렇게 G6를 내밀며 결제해달라고 할 수 있겠죠?>

말많고 탈 많았던 LG페이(LG Pay)

LG페이는 당초 화이트 카드 방식을 도입을 결정했던 처음과 달리 삼성페이와 동일한 마그네틱 인증 방식을 채택했습니다. 정식 출시까지 꽤 기나긴 시간이 소요됐는데요. 사실 조금 늦은감도 없지 않아 있습니다.

이미 한참 전에 출시한 삼성페이도 출시 당시 IC 방식으로 넘어가는 과도기적인 시점에서 마그네틱 인증 방식의 삼성페이는 곧 사라지고 말 것이라는 비아냥을 받아왔었습니다. 물론 현실적인 문제로인해 여전히 마그네틱 카드의 사용량은 그대로 유지되고 있지만 말이죠.

 

그 결과 사라지기는 커녕 '삼성페이 때문에 갤럭시 샀어!'라는 말이 나올만큼 삼성페이는 갤럭시 시리즈의 강력한 메인 기능으로 자리매김했습니다. 반면 LG전자는 뒤늦게 화이트카드라는 페이 서비스를 내세웠지만 여러 현실에 부딪히며 삼성페이의 성장을 바라만봐야했고 조금 늦은 6월이 되어서야 정식 서비스를 시작하게 됐습니다. 

WMC(Wireless Magnetic Communication)

화이트페이를 포기하고 다시 마그네틱 전송방식을 선택한다고 했을 때 과연 루프페이를 인수한 삼성과의 특허문제를 해결할 수 있는가 하는 점이었습니다.

결론은 삼성페이의 MST(Magnetic Secure Transmission)와 동일한 방식으로 모바일 결제 서비스를 이용할 수 있는 기술임은 분명합니다. 다만, 루프페이사의 기술이 아닌 약 10년 이상 마그네틱 모바일페이 기술을 축척해온 다이나믹스사와의 제휴를 통해 제공되는 기술로 삼성이 루프페이를 인수하면서 획득한 특허와는 관계가 없다고 합니다.

더욱이 이미 삼성페이로 국내는 물론 약 12개국에서 서비스를 진행하며 길을 닦아놓은 상태에서 LG페이의 첫 시작은 수월할수 밖에 없습니다. 이미 7개 신용카드사가 LG페이에 참여하기로 결정했다는 소식이 전해졌는데요. 이미 삼성페이라는 훌륭한 사례가 있는 만큼 LG페이와의 계약을 마다할 필요가 없습니다.

특허문제가 없는 만큼 6월부터 G6를 카드 단말기에 가져다대면 지갑없이도 결제할 수 있습니다. 카드단말기가 있는 곳이면 그 어디든 말이죠.

보안 문제 해결이 필요!

양치기 소년이 아닌 이제 실제 LG페이 서비스가 곧 진행될 것이 분명한데요. 서비스 시작을 약 2~3개월 정도 남긴 지금 그 다음 단계로 페이 서비스에 있어 가장 중요한 요소라 할 수 있는 보안을 어떤 방식으로 적용할 것인가 하는 점입니다.

삼성페이의 경우 삼성 자체 보안 솔루션인 KNOX와의 연계를 통해 카드 정보 등 중요한 데이터를 강력하게 보호해주고 있다라는 차별성이 있습니다. 반면 LG페이의 경우 아직 이렇다 할 보안방식 혹은 정책에 대한 이야기는 없는 상황입니다.

모바일 결제 서비스에 걸맞는 보안 정책을 통해 사용자들에게 신뢰감을 안겨주는 것 역시 필요하다 생각되는데요. 충분히 안심시킬 수 있는 강력한 보안 방식을 적용해주길 기대해보겠습니다.

또 하나의 장점이 생긴 LG G6

사실 중국 제품들에게 조차 밀려 힘들어하던 LG였습니다. 하지만 G6라는 걸쭉한 제품을 출시했고 더불어 곧 LG페이까지 탑재하면서 자신만의 확실한 장점이 또 하나 생겨나게 됐습니다. 하드웨어에 있어 제조사별 차별성이 점점 옅어지고 있는 지금 이러한 자신만의 장점이 꼭 필요한 시기가 아닐까 한데요. 늦은 감은 있지만 LG에 큰 힘이 되어 줄 것이라는 점만은 분명해보입니다.

빨리 지원이 되었음 하네요.


PCP인사이드 인기글 보러가기

  Comments,   0  Trackbacks
댓글 쓰기
삼성페이 취약점 발견? 카드 정보를 훔칠 수 있다!

삼성페이 취약점 발견? 카드 정보를 훔칠 수 있다!

삼성전자 간편결제 플랫폼인 삼성페이(Samsung Pay)의 보안이 취약하다는 소식이 전해졌습니다. 무선으로 신용카드 정보를 쉽게 탈취해서 사용할 수 있다라는 내용인데요. 정말 심각한 문제일지 내용을 정리해봤습니다.

삼성페이가 허술하다?

라스베이거스에서 열리고 있는 블랙햇 보안컨퍼런스에 참석한 한 보안 연구원은 삼성페이 카드 정보를 탈취해서 이를 다른 마그네틱 기기로 결제하는 영상을 공개했습니다. 그리고 탈취한 이 정보를 다른 사람과 공유해서 삼성페이 서비스를 하고 있지 않은 전혀 다른 지역에서 결제하는 영상을 공개하기도 했습니다.

내용을 봐서는 정말 심각한 문제입니다.

정말 큰 문제일까?

큰 문제라면 문제일 수 있습니다. 하지만 더 정확하게 말하면 삼성페이의 문제라기보다는 마그네틱 방식에 대한 문제 그리고 일부 금융사의 문제라 할 수 있습니다.

왜 그런지 우선 삼성페이 서비스에 대해 간단히 소개하겠습니다. 삼성페이는 삼성전자가 인수한 미국 모바일 결제 업체 '루프페이'의 MST(Magnetic Secure Transmission, 마그네틱 보안전송) 기술을 적용했습니다. 여기에 NFC 방식도 함께 지원하는 결제 방식입니다.

현재 삼성페이가 큰 호평과 함께 많은 사용자를 이끌어낼 수 있었던 이유는 바로 마그네틱 방식을 사용할 수 있기 때문입니다. 일반 신용/체크 카드를 사용하듯 이른바 카드를 긁는 카드 단말기 부분에 스마트폰을 가져가면 손쉽게 결제가 되는 방식입니다. 요즘같이 지갑은 두고다녀도 폰은 항상 가지고 다니는 사용패턴에 맞춰 스마트폰만 있으면 거의 모든 곳에서 결제가 가능해졌습니다.

하지만 이 MST 방식은 보안이 취약하다는 단점이 있습니다. 카드 정보를 자기장을 이용 전달하는 방식으로 결제에 필요한 정보를 암호화 없이 전달하기에 전송 과정에서 그대로 노출된다는 문제가 있습니다. 그래서 복제가 간단합니다. 카드를 불법 카드 복제기에 인식시키기만 하면 아주 간단히 복제할 수 있습니다. 이렇게 복제된 카드는 어디서든 마음껏 사용할 수 있습니다. 이런 마그네틱 방식의 보안 문제로 점점 IC카드로 이전을 장려하고 있는 상황입니다.

이렇게 보안에 문제가 있는 마그네틱 방식을 사용하는 삼성페이의 경우 당연히 이에 대한 문제점을 알고 있었고 이를 보안하기 위해 '토큰 + cryptogram' 방식을 적용하게 됩니다. 쉽게 말해 카지노 칩을 떠올리면 됩니다. 카지노에서 임시로 현금을 칩으로 교환해 사용하듯 삼성페이 역시 결제 할때마다 실제 카드 정보가 아닌 가상의 카드 정보를 생성합니다. 이게 바로 토큰입니다.

칩을 가지고 나가도 다른 곳에서 사용할 수 없는 것처럼 토큰이 유출된다 하더라도 가상의 정보이기에 도용될 가능성이 줄어듭니다. 그리고 여기에 지문, 홍채 등 인증하는 순간 매 회 새롭게 생성되는 cryptogram이 발급되어 토큰과 cryptogram이 카드 기기로 전달되는 방식입니다.

그렇다면 뭐가 문제지?

보안연구원이 제기한 문제를 발생시키기 위해서는 여러가지 조건이 필요합니다. 우선 인증을 통해 토큰 +  cryptogram를 발급한 후 결제를 하지 않은 상황이 필요합니다. 그리고 유효 인증 시간이 30초가 아닌 그 이상의 시간을 제공하는 카드사가 필요합니다.

다시 정리해보죠. 여기서 가장 크게 문제가 되는건 바로 유효 인증시간입니다. 삼성페이 토큰 유효 인증시간은 금융사마다 약간씩 차이가 있는데 국내 금융사 및 해외 대부분의 금융사는 30초의 인증시간을 제공합니다. 30초에서 단 1초만 넘어가도 이 토큰 정보는 폐기됩니다. 즉, 해킹을 해도 사용할 수 없게 되는 것입니다. 물론 30초내에 해킹하고 암호를 풀고 해당 정보를 빼내서 결제까지 할 수 있다면 이것 역시 문제가 될 수 있지만 현실적으로 불가능한 시간입니다.

하지만 일부 해외 금융사의 경우 24시간의 인증시간을 주는 경우가 있습니다. 이 경우 문제가 될 수 있습니다. 생성된 토큰이 결제와 함께 소멸되면 문제가 되지 않지만 토큰 생성 후 결제를 해버리지 않았는데 이 토큰이 24시간동안 살아있다면 해킹을 통해 유출되고 이를 통해 다른 사람이 결제를 할 수 있게 되는 것입니다.

정리하면 이렇습니다.

마그네틱 방식의 취약점을 알고 삼성은 삼성페이 서비스를 내놓으면서 토큰 + cryptogram 방식을 적용했고 여기에 Knox를 통해 해킹이나 루킹등의 여부를 실시간으로 검사해서 문제 발생시 삼성페이를 사용할 수 없도록 시스템을 만들어놓았습니다.

하지만 금융사가 토큰 유효시간을 30초 이상으로 보안정책을 마련함으로써 문제가 발생할 수 있는 여지를 제공하고 있는 것입니다. 참고로 해당 금융사가 편의성 혹은 사용성을 위해 24시간 유효한 보안정책을 유지하는 대신 이를 통해 발생할 수 있는 리스크를 해킹관련 보험 등 사후처리를 통해 해결하는 것으로 현재 진행하고 있다라고 합니다.

즉, 이슈 발생시 책임은 삼성페이가 아닌 금융사에서 진다라는 점입니다. 하지만 국내의 경우 거의 모든 금융사가 30초로 제한하고 있습니다.

안심하고 사용하세요.

삼성페이를 사용하고 있는 유저입장에서 이번 소식으로 인해 불안해하지 않을까 하는 생각에 한번 정리를 해봤습니다. 물론 삼성페이가 마그네틱 방식을 사용하는 이상 절대 안전하지는 않습니다. 하지만 해킹이 되고 내 결제정보가 여기저기 사용될 확률은 거의 없다고 보시면 됩니다. 만약 이게 걱정이 된다면 현재 지갑에 있는 마그네틱 방식의 카드는 모두 버려야 합니다. 오히려 더 보안에 취약하니까 말이죠.

그러니 너무 걱정말고 마음 편히 사용하세요.

 


 

PCP인사이드 인기 글 보러가기

  Comments,   0  Trackbacks
댓글 쓰기