카드정보 노출 가능성 등 제기

30일 금융감독원은 삼성페이 앱에 대한 보안성 심의를 완료하고, 심의 중 발견된 기술과 법적 부분에서 보완할 점을 지시했다고 밝혔다.

삼성페이는 삼성카드와 국민카드, 신한카드, 농협카드, 현대카드, 롯데카드 등 6개 카드사가 참여하는 것으로 기존 가맹점의 마그네틱 결제단말기를 통해 전자결제가 가능한 시스템이다.

심의 결과 결제단말기가 스마트폰 카드정보(OTC)를 읽어오는 과정에서 카드정보를 가로채기 당할 위험이 있는 것으로 나타났다. 이에 금감원은 OTC(One-Time Cardnumber) 유효시간을 3분에서 1분으로 개선하도록 권고했다.

또한 개인 지문정보 등 주요 정보를 스마트폰에 저장해 분실시 부정결제 위험이 있다고 지적했다. 이에 주요 정보에 대해서는 스마트폰 내 안전한 메모리 영역(Trust Zone)에 저장하도록 할 예정이다.

결제서비스 이용에 따른 피싱이나 파밍 위험에 노출된 우려도 제기됐다. 이를 위해 삼성페이 서버와 클라이언트 간에 정보 송수신을 위한 통신세션 설정시 가짜 사이트의 개입을 방지하기 위한 상호 인증 기능이 필요하다.

아울러 지문인식을 이용한 본인인증시 지문정보 위·변조 및 도용에 따른 부정결제 위험이 발견됐다. 금감원은 부정결제 사고를 방지하기 위하여 FDS(이상거래감시시스템)를 강화해 금융소비자 보호를 철저하게 하도록 권고했다.

삼성페이는 스마트폰에 장착된 지문정보를 통해 본인인증 후 사용할 수 있다. 스마트폰을 가맹점의 마그네틱 결제단말기에 근접하면 결제가 가능하다. 카드사들은 기존 오프라인 가맹점을 대상으로 스마트폰 결제서비스를 제공함과 동시에 온라인 가맹점에도 제공할 예정이다.

국내와 미국에서 동시에 출시 예정인 삼성페이는 오는 7월 서비스가 개시될 예정이다.

심상목 기자 ssm@viva100.com