딜라이트닷넷

제로페이 QR 결제, 보안 위한 추가 인증수단 등 필요…책임소재도 명확화 해야

통신방송 18.10.29 10:10


소상공인에 대한 카드 수수료 부담을 경감해준다는 목적으로 추진되고 있는 ‘제로페이’는 여러모로 시장의 관심을 받고 있다. 제로페이는 수수료 절감을 위해 VAN사를 거치지 않고 은행권에서도 수수료를 인하하는 등 움직임을 보이고 있다. 

결제방식으로도 QR방식을 채택해 QR기반 결제 서비스 발달도 예측되고 있다. 다만 서비스가 만들어져 가는 과정에서 다양한 우려도 제기되고 있는 상황이다. 그 중 일환으로 현재 가맹점 수수료 인하를 목적으로 추진되고 있는 ‘제로페이’에 대안 보안 취약성이 제기됐다. 

수수료 부담을 덜어 중소 상공인의 편의성 제고를 위해 추진되고 있는 제로페이는 내년 1월 시행을 목표로 하고 있다. 지난 12일 홍종학 중소벤처기업부 장관은 국회 산업통상자원중소벤처기업위원회 국정감사장에서 “제로페이의 1월1일 시행을 목표로 추진하고 있다. 소액의 경우 여신(신용공여)기능을 가능하게 하도록 고민하고 있다”며 “일단 QR카드 방식으로 시작할 것”이라고 밝힌바 있다. 

QR코드 결제는 스마트폰의 카메라만 있으면 결제가 가능하다는 점에서 간편결제 기술 중 범용성 면의 강점을 인정받고 있다. 중국의 경우도 간편결제 활성화에 QR코드 방식이 기여한 바 있다. 

하지만 이처럼 지급결제서비스에서 QR코드의 이용증가가 전망되지만 QR코드를 통한 결제는 보안성이 취약하다는 설명이다. 

여신금융연구소 윤종문 박사는 금융보안원이 24일 개최한 ‘금융정보보호 컨퍼런스’에서‘간편결제기술의 현황 및 전망, 그리고 보안’ 발표를 통해 “QR코드에 악성 바이러스를 심어 이용자들의 계좌 예치금을 통째로 빼내는 신종 금융사기가 중국에서 급등하고 있다”며 “QR코드 오류복원 기능을 이용해 악성사이트 이동의 빈도수 조절이 가능하고 변조 QR탐지와 추적이 힘들다”고 밝혔다. 

이에 따라 QR코드 결제가 활성화된 중국에서도 대응책 마련에 나선 상황이다. 중국 인민은행은 ‘바코드 결제업무 규범에 관한 규정’을 발표하고 결제한도 제한과 보안요건 강화방침을 밝히고 지난 4월 1일부터 관련 규정을 적용하고 있다. 

현재 제로페이 도입 사업과 관련해 QR코드 결제 방식에 대해서 논의가 진행되고 있다. QR코드 결제 방식은 크게 2가지로 나뉜다. 포스형 QR코드 방식은 POS기기를 이용하는 것으로 스티커 QR은 고정된 QR코드를 스마트폰으로 촬영해 결제하게 된다. 

앱투앱 결제의 경우 가맹점에서 스마트폰을 통해 QR코드를 생성하면 소비자가 스마트폰으로 QR코드를 스캔해 결제하는 방식이다.

윤종문 박사는 “기존 사업자를 우회하는 결제서비스는 고정형 QR방식과 앱투앱 결제방식이 필요하다. 고정형 QR을 통한 결제방식은 일일한도를 설정하고 변동형 QR방식도 보안등급에 따른 결제 한도 및 추가 인증수단이 필요하다”고 지적했다. 

윤 박사는 “제로 페이의 경우 QR코드 방식 중 보안성이 가장 취약한 스티커QR방식을 중심으로 검토되고 있는데 일일 결제한도를 10만원으로 제한하고 추후 보안이슈 발생 여부에 따라 완화하고 변동형 QR코드는 토큰화 방식을 이용하고 생체인식 등 추가 인증방식을 요구할 필요가 있다”고 밝혔다. 

또 QR코드 방식의 간편결제서비스에 대해서 부정사용 발생시 보다 명확한 책임소재 정리가 필요하다고 밝혔다. 그는 “소비자 피해 최소화를 위해선 간편결제사업자, 제로페이, 카드사, 통신사 간 명확한 책임소재에 대한 제도 마련이 필요하다”고 설명했다.