애플페이 국내 도입이 어려운 이유

그동안 여러 국내카드사가 애플과 접촉해 애플페이를 한국 도입을 위해 노력해왔지만
여러가지 이유로 무산되었다.

그중 가장 큰 이유가 국내가맹점의 NFC 단말기 보급대수가 10%에 불과하다는 점이었는데,
현대카드는 NFC가 가능한 단말기 도입과 서비스 구축에 최대 60%를 지원하기로 약속하고
애플과 독점계약을 따냈다.

하지만,
2022년말까지는 도입될 것 같았던 애플페이 도입소식은 
아직 들려오지 않는데
..

.

새해 정태영 현대카드 부회장이 개인 소셜미디어에 애플페이를 암시하는 듯한 게시물을 올려 금융권의 관심이 집중되고 있다. 

 

 

현대카드가 전자금융거래 관련 내규도 개정하며, 온라인 커뮤니티에선 현대카드가 애플페이를 2월 중 론칭하는 게 아니냐는 목소리가 확산하고 있다

 

애플페이 정말 2월에 정말 들어올까?

관련 기사를 찾아보았다.

 

 

 

 

음.....근데 긍정적이지는 않네..;

 

일단 기사에서는 도입이 어려운 이유를 2가지로 꼽고있다.

1. 무선통신기술(NFC) 단말기 보급 문제

국내 카드가맹점에서 흔하게 볼수있는 것은 MST 단말기인데 애플페이는 NFS 단말기만 지원가능하기 때문에 
애플페이를 쓰려면 단말기를 바꿔야 한단다.

그럼 MST와 NFS의 차이는 뭘까 간단히 정리해 봄

그럼 비싸다고 하는 NFS 단말기로 교체하면 비용은 얼마나?
-> 국내 신용카드 가맹점에 NFC 지원단말기를 보급하기 위한 교체비용은 3천억정도 예상됨

 

국내 아이폰의 점유율은 32%로 높은 편이라 애플페이가 들어온다면 
일반가맹점에서는 고객의 요청이 많아지면 결국 NFS 단말기를 구매할 수밖에 없을거 같긴한데, 
별도의 비용이 드는 거라서 바로 도입되긴 어려울 것으로 보임

 

2. EMV(유로페이·마스터카드·비자카드) 보안 이슈

 

결론을 먼저 얘기하면 현재 애플페이의 결제구조에서 

EMV라는 해외결제서버로 개인고객정보가 넘어갈 수 밖에 없기 때문에
이것이 국내 개인정보보호법 제 26조와 관련된 세부법규 금융회사의 정보처리 업무위탁에 관한 규정에 

위배되어 도입이 어렵다.

다만 여기서도 예외가 있는데
규정 7조에 개인식별 가능한 금융거래정보를 국외로 위탁해야 하는 경우 아래조건을 충족하면 가능하다.

1) 위탁의 필요성 및 기대효과
2) 위탁에 따른 업무처리절차의 주요변경내용
3) 정보처리업무 운영에 대한 감독기관의 실질적인 감독가능성을 확인할 수 있는 서류
4) 전산사고 및 정보유출 등 발생시 피해자 구제절차 등을 금융감독원 사전보고 형식으로 입증할 때  

아직 현대카드는 여기에 대한 답을 찾지 못한 것으로 보인다.
-> 근데 딱봐도 해외서버 특성상 3, 4번은 거의 불가능할 것으로 보임


일반적으로 신용카드사 입장에서는 외부 결제 플랫폼 제휴시 금융고객의 개인정보 처리를 위탁해야 한다.

이는 삼성페이를 사용할 때도 해당된다. 
현대카드는 ‘삼성페이용 앱카드 결제 이용 약관 제15조’에 “서비스 제공을 위해 가입 고객의 동의를 받아 개인정보를 제휴사에게 제공할 수 있다”고 명시했다.

다시말하면 현대카드의 삼성페이 관련 내규는 애플페이를 통해 앱카드를 결제할 때도 해외 위탁사(애플·EMV)에 고객의 개인정보를 제공한다는 것을 의미한다.

다만 국내망을 이용하는 삼성페이와 다르게 애플페이는 해외에 서버를 둔 EMV 망을 원칙으로 삼고 있는데, 

현재 ‘금융회사의 정보처리 업무 위탁에 관한 규정’은 카드 결제자(금융소비자)의 고유식별정보 해외 위탁을 금지하고 있어 두 부분이 충돌하는 상황이다.

금융위원회가 보안성과 안정성을 따지지 않고 무조건 애플페이를 수용할 경우, 해외에서 발생하는 금융 보안 사고에 대해 당국이 개입하기 어렵다는 문제점이 있다.

오프라인 단말기 결제시 EMV 망에 토큰을 요청하기 위해 제공해야 하는 결제자의 계정 정보가 많을 뿐 아니라 EMV 자체의 보안성과 안정성이 질 낮은 수준으로 평가 받기 때문이다.
(해외보다 국내보안 규정이 훨씬 더 세다. 이건 소비자 입장에서 나쁜건 아님)


그럼 EMV라는 건 뭘까?

애플페이 결제단계를 좀 살펴보면

애플페이를 통한 오프라인 결제시 해외 EMV 망에 결제자의 결제 계정 정보를 제출해야 한다.

지급결제 전문가 A씨는 “EMV를 통한 오프라인 NFC 단말기 결제 시 개인정보 확인 과정에서 암호화된 토큰을 해독하는 ‘디-토크니제이션(De-tokenization)’ 과정을 거쳐야 한다”고 말했다.

이어 “토큰을 해독하기 위해선 승인요청전문(100번 전문)이 유로페이, 마스터카드, 비자카드 서버에서 토근인증(Token Vault)을 거쳐야 하는데 이 서버가 해외에 있다”고 설명했다.

쉽게 말해, 국내에서 발급된 신용카드를 국내에서 사용하는데 애플페이를 사용하기 위해선 개인정보를 포함한 전체 거래전문이 반드시 해외로 유출될 수 밖에 없는 구조라는 것이다.


그리고 EMV, 보안 이슈 구설수도 있다.

금융 당국이 지금의 EMV 결제 방식을 그대로 수용할 수 있지만, 이 경우 애플페이를 통한 오프라인 단말기 결제시 보안 이슈가 우려된다.

오프라인 단말기를 통해 결제할 경우, 단말기가 PIN을 EMV에 전송하기 전 신용카드의 공개 키(Key)로 일반텍스트 PIN 블록을 암호화하는데, 
이 과정에서 단말기를 속여 비접촉 방식으로 PIN을 우회한 공격에 대해 취약하다는 단점이 있다.

또한 2017년 EMVCo는 ’EMV 버전 4.3’에 모바일 디바이스의 생체 인증을 통한 결제 방식을 추가했는데, 
오프라인 결제시 임의로 생성된 PIN의 수집을 허용하는 등의 문제가 논란이다.


황승익 한국NFC 대표는 “한국의 신용카드 보안사고 발생율은 외국과 비교했을 때 극소수에 가깝다”며 
“금융당국에서 심사를 워낙 깐깐하게 하기 때문에 신규 사업 허가를 받는 것도 쉽지 않은 일”이라고 말했다.

황승익 대표는 “EMV 결제 방식이 워낙 오래됐기 때문에 보안에 취약할 수 밖에 없다”며 
“국내에서 만든 독자적인 결제 표준이 보안 측면에선 EMV보다 훨씬 뛰어나다”고 설명했다.

전문가들은 “애플페이가 EMV 방식을 양보하지 않는 이상 금융당국이 허가를 내주지 않을 것”이라고 입을 모은다. 
EMV 전면 허용은 잠재적 리스크 큰 해외페이까지 국내 시장의 문을 열어주는 것이기 때문이다.

EMV 허용시 발생하는 보안이슈는 애플페이만의 문제가 아니다는 분석도 있다.

지급결제 전문가 B씨는 “지금의 EMV 방식을 수정없이 전면 허용한다면, 

중국 기반의 기업들도 한국시장 진출을 시도할 것”이라고 말했다. 
이어 “금융 소비자 개개인의 결제 정보가 중국의 페이사를 통해 

EMV 망으로 오고 가며 사고가 언제 어떻게 날지 아무도 모르는 일”이라고 설명했다.

 

학계에서도 페이먼트 서비스 종류와 사용자가 많아질수록 리스크도 커진다는 우려가 있다.

서지용 한국신용카드학회장(상명대 교수)은 “애플페이를 포함해 수 많은 간편결제 서비스가 경쟁하듯이 

생겨나고 있고, 이용자도 급증하고 있다”며 

“그만큼 보안사고 가능성이 높아질 수 밖에 없고, 경우에 따라 심각한 사회적 파장을 야기할 수 있다”고 말했다.

 

3. 결론

 

일각에선 애플페이가 한국형 신용카드 독자 표준 규격인 KLSC(Korea Local Smart Card)를 내재화해 보안 토큰으로 받아낼 가능성을 점치고 있다. 
하지만 현재의 분위기는 애플이 EMV를 고집할 가능성이 훨씬 큰 상황이다.

지급결제 전문가 C씨는 “금융당국이나 국회가 특정 사기업의 이익을 위해 전국민의 금융 보안 이슈가 달려있는 법안을 쉽게 고칠지는 의문”이라며 
“솔직히 애플페이의 한국시장 정착은 거의 불가능에 가깝다”고 밝혔다.

국내 오프라인 가맹점 중 애플페이 결제를 지원하는 NFC 단말기를 확보한 비율도 전체 대비 10% 미만으로 저조한 상황이다.

이어 “당연한 논리지만, 당사자(현대카드)가 아닌 다른 카드사들은 NFC 단말기 보급을 반기지 않는 분위기”라고 덧붙였다.


비용문제, 보안이슈, 여러 이해관계로 인해 애플페이 한국장착 쉽지 않겠다. 

끝.




참조 : https://zdnet.co.kr/view/?no=20230113184729

https://blog.naver.com/starn000/222869695578