본문 바로가기

IT Device Game

모바일 카드 주도권 전쟁, 삼성 앱카드 해킹 및 도용 사고 관련 궁금증 풀기

아마도 최근에 뉴스를 보신 분들이라면 삼성 앱카드를 해킹해 도용한 사고를 들어보셨을 겁니다.


이미 앱카드와 같은 모바일 카드를 스마트폰에 설치 하여 잘 활용하고 계신 분들도 있으시겠지만 어쩌면 많은 사람들에게 아직도 생소한 부분일수도 있는 것이 모바일 카드인 것 같습니다. 오늘은 바로 그 모바일 카드에 대해서 한번 이야기 해 보려 합니다. 

 

모바일 카드는 우리가 늘 들고 다니는 휴대폰과 같은 모바일 기기에 신용카드와 같은 결제 수단을 기능으로 포함한 것을 말합니다. 과거의 RFID(Radio Frequency Identification)와 유비쿼터스란 개념이 유행하던 시절부터 휴대폰 처럼 항상 들고 다니는 모바일 기기에 신용카드와 같은 결제 수단을 포함하려는 아이디어와 시도들이 있어왔습니다. 스마트폰 이전의 피처폰 에서도 RFID를 이용한 교통카드 기능은 이미 오래전 부터 있어온 기능이기도 합니다.

 

신용카드의 경우는 RF 결제가 존재하긴 했지만 그다지 활성화 되지는 못했고 근거리의 짧은 인식 범위로 인해 주목받기 시작한 NFC가 등장하면서 우리나라에서도 그 기능을 휴대폰에 통합하려는 시도가 본격화 되었습니다.

 

 

 

모바일 카드의 종류 

 

모바일 카드는 그 구현 방식에 따라 크게 두가지로 나뉩니다. 바로 휴대폰의 NFC와 USIM(유심) 칩을 활용한 유심기반의 모바일 카드와 앱(App), 즉 어플리케이션을 기반으로 한 앱카드 입니다. 물론 앱카드 역시 유심과 NFC를 이용하긴 하지만 유심기반이 반드시 유심에 카드 정보를 심고 NFC 기능이 있어야 하는 반면 앱카드는 어디까지나 보조적인 인식 수단으로만 이용하기 때문에 NFC나 유심에 접근이나 제어를 쉽게 허락치 않는 아이폰과 같은 스마트폰에서도 앱카드는 이용할 수가 있습니다.

 

그 차이를 복잡하게 설명 하기보다는 모바일 카드는 크게 휴대폰의 유심에 카드정보가 있는 유심기반 모바일 카드와 스마트폰의 프로그램에 카드 정보를 가져올수 있는 기능을 가진 앱을 기반으로 한 앱카드로 나누어 볼수 있다고 정리 하는게 좋을 것 같습니다.

 

유심 기반 모바일 카드, SK 제국군 과 KT 연합군

 

 

유심 기반으로 가장 먼저 등장한 것은 당시 "터치" 라는 결제 형태를 전면에 내세운 광고를 선보인 하나SK 터치1 입니다. 신용카드 정보가 스마트폰의 유심 칩에 들어가고 NFC 기능을 이용하여 스마트폰을 결제기에 터치하여 결제를 하는 방식 입니다. 오프라인 환경의 결제에서는 카드 사용을 위해 앱을 실행할 필요가 없습니다. 

 

사실 신용카드와 휴대폰을 생각하면 필연적으로 도달하게 되는 이 아이디어는 이통사와 카드사라는 서로 다른 관심사와 이권을 가진 주체들이각자 자신의 영역에서 주도권을 잡으려 하였기에 쉽사리 현실에서 구체화 하기 어려운 사안 이었습니다..

 

SK 텔레콤의 경우 국내에서도 USIM이 휴대폰에 삽입 되면서 전략적으로 모바일 카드에 대한 어떤 큰 그림을 가지고 있었던 것 같습니다. 물론 그 큰 그림에서의 주역은 역시 이동 통신이었습니다. SK는 당시 군소 카드사 중 하나 였던 하나 카드를 인수하여 하나SK카드로 사명을 바꾸고 그때만 해도 대형 카드사의 결제 시스템에 제휴 형태로 서비스 되던 하나SK카드를 독립적인 카드사로 변신 시켰습니다. 최근에 하나SK카드는 외환 카드사도 인수하여 그 덩치를 불리고 있습니다. 결과적으로 하나SK 터치의 경우 이통사 주도로 스마트폰에 신용카드를 넣으려 했던 그림이라고 할 수 있습니다. SK의 유심기반 카드는 2010년 하반기 부터 개발되어 지속적으로 저변을 넓히려는 시도를 하게됩니다.

 

이동통신 2위 사업자이던 KT는 SK의 이 같은 행보를 보며 우리나라 2위 사업자들이 통상적으로 늘 해오고, 또 그 당시만 해도 언제나 잘 먹히던 패스트 팔로우 전략을 시전 합니다. 그들 역시 BC카드사를 인수하고 SK와 동일하게 NFC 및 유심(USIM) 기반의 "BC 차세대 모바일 카드"를 준비합니다. 다만 그대로 따라만 하기에는 자존심이 상하는지라 NFC 기반에 보안성이 강한 IC카드 규약과 스펙(EMV)를 적용하여 이를 국가 표준(KS)으로 인정 받으려 합니다. 결국 이 KT와 BC의 모바일 카드 결제 방식은 2012년 초 국가 표준(KS)으로 확정되어 업계에서 줄여서 부를때 "KS 표준" 으로 부르기도 합니다.

 

 

 

하지만 KT 역시 이렇게 준비를 하고있던 찰나 하나 SK, SK 텔레콤이 대형 유통점과 제휴를 성사시켜 "터치" 라는 모바일 카드를 실제로 런칭하고 광고 하기 시작하자 KT의 높으신 분이 "SK가 저렇게 런칭 하는 동안 우리는 뭐했느냐! 올해안에 결과를 내놓지 않으면 모두 자리를 걱정해야 할거다!" 라고 불같이 역정을 냈다는 소문이 있었습니다. 이 때문인지 갑자기 의욕을 보이며 그 열정에 박차를 가한 ( = 협력사들을 압박하고 야근 시킨) KT와 BC는 조금은 지지 부진하던 이 "KS 표준" 을 2012년 중반 정도에 급하게 "BC 차세대 모바일 카드" 라는 이름으로 결국 현장 런칭을 하게 되었습니다.

 

그리고 나머지 이동 통신사였던 LG U+는 유심 기반 모바일 카드 프로젝트가 SK와 BC에서 이미 준비 되던 시점에는 유일하게 휴대폰에 유심을 채용하지 않은 이동 통신사였습니다. 스마트폰과 3G 통신과 같은 통신망 경쟁력에서도 뒤져서 그 존망이 어렵던 시기이니만큼 모바일 카드에 신경 쓸 여력도 없었으리라 짐작 됩니다. 최근에는 LTE에 대한 공격적인 선 투자로 KT를 위협할 정도로 그 위치가 급 부상했지만 불과 3, 4년전만 해도 U+ 는 LG 텔레콤 때부터의 투자와 전략 미스를 이어 받아서 스마트폰 시대에 이르러 2G 기반의 느린 통신망으로 인해서 데이터 이용자들에게 헬지로 불리며 앞날을 기약하기 힘든 형편이었습니다.

 

이러한 유심기반의 모바일 카드들은 2010년 부터 구상되어 대부분 2012년 정도 부터 그 저변을 넓히려 노력해 왔지만 사실 초기 투자시 설치된 인프라 외에는 확대가 원활하게 이루어지지 못하고 있습니다.

 

그 이유는 이전 글에서도 언급하였 듯이 이러한 유심기반 모바일 카드의 결제를 위해서는 가맹점에 NFC 동글 이라고 불리는 기기를 설치하거나 기존 단말기를 교체해야 하는 인프라 교체 사업이 주요한 부분이 되기 때문 입니다. 최초 이통사들은 카드사들이 가맹점을 통제할 수 있으리라 기대 했지만 현실은 그쪽 분야는 비교적 작은 덩치인 VAN과 PG, POS 개발사, 설치 대리점이라는 수많은 이권이 얽힌 업체들이 존재 하고 있습니다.

 

간단히 말하자면 지금의 플라스틱 카드를 SWIP(홈에 통과시키는 행위, 즉 카드를 긁는 것)하는 카드 리더기와 전용 단말기 등은 등장한 후 이미 20여년에 걸쳐서 인프라가 확대되고 설치되어 왔습니다. 이러한 인프라를 터치 기반의 NFC동글 및 단말기로 모두 교체하는 것은 생각보다 어마어마한 비용이 필요합니다. 결국 점진적으로 이루어질 수 밖에 없는데 그마저도 현재 최소한의 저렴한 장비로 신용카드 결제가 잘 되고 있는데 조금 더 값비싼 장비로 비용을 들여서 교체한다고 하면 이 비용은 누가 감당해야 할까요? 가맹점이?, 설치 대리점이?, VAN사가?, 아니면 카드사가? 어느 누구도 이 어마어마한 비용을 지불하려 하지 않습니다. 심지어 이것을 원하는 이동 통신사 조차도 일부라면 모를까 전체에 투자를 한다는 것은 자본주의 시장 경제에서는 어려운 일입니다.

 

앞서의 문제는 보안 면에서 뛰어난 IC 단말기나 최초 기대를 모았던 이통사 RF 통합 동글 등이 모두 확산에 실패한 이유이기도 합니다. 반면 해외는 대개 카드사가 자사의 결제기기를 다이렉트로 관리하고 IC카드 도입기에 비교적(한국과 비교 하자면) 신용카드 가맹점 수도 적은 편이기 때문에 빠르게 IC카드 결제기로 전환할 수 있었던 이유이기도 합니다.

 

관련 글

NFC 결제수단으로 왜 확산되지 못할까?

 

다음 단락에서 자세히 설명 하겠지만 이 때문에 모바일 카드 결제 시장에서 필자가 재미를 위해 표현 하자면 SK 텔레콤, 하나SK 카드, SK 주유소등 SK 계열이 연합한 SK 제국군과 KT, BC카드, GS칼텍스 주유소, GS리테일 유통점의 KT 연합군 같은 모양의 대치 상황이 나타납니다.

 

앱카드, 6 카드왕국의 동맹

 

초기 이러한 이통사를 중심으로한 모바일 카드의 등장에 하나SK와 BC를 제외한 카드사들은 약간은 불안한 시선을 보내고 있었습니다. 신한과 KB(국민)의 경우는 이통사와 제휴를 통해 유심기반 카드를 발행하기도 하였습니다.

 

SK의 경우 카드사 최대 가맹점 중 하나인 SK 주유소와 대형 유통점과 제휴를 통해서, KT의 경우는 GS칼텍스 주유소와 GS 리테일등 유통점과 제휴 해서 초기 인프라를 확대해 나갔기에 앞서 언급한 인프라 교체의 문제도 당시에는 어느정도는 해소할 듯 보였습니다.

 

요약하자면 SK 텔레콤, 하나SK 카드, SK 주유소등 SK 제국과 KT, BC카드, GS칼텍스 및 GS리테일 연합군으로 카드사는 아랑곳 없다는듯 제쳐 놓고 미래에 결제 사업의 주도권을 놓고 쟁탈전을 벌이고 있다는 인식 마저도 있었습니다. 필자가 이 이야기를 들을 당시에는 그 전장에 말단에 서 있는것 같아서 살짝 가슴 설레이는 부분도 있는 그럴듯한 구도처럼 생각되었습니다.

 

결국 이통사에 카드 발급의 주도권을 빼앗기고 결제 방식 역시 종속 될지도 모른다는 위기감이 고조 되었고 이를 두고 볼 수만은 없었던 신한 카드를 중심으로 KB, 삼성, 현대, 롯데, 농협과 같은 주류 6개 카드사들이 동맹을 결성합니다. 한국에는 8개의 주류 로컬 카드사가 있고 그 외의 작은 카드사들은 독립적이지 못하고 주류 카드사의 결제 시스템에 편승해 종종 제휴라는 형태로 편을 바꾸어 왔습니다.(전북, 수협, 광주, 제주, 씨티카드 등등은 과거에는 신한이나 KB, 외환 등의 제휴사 였다가 지금은 BC카드사 제휴카드 입니다. 언젠가 카드사의 변천사도 다루어 보겠습니다.) 앞서와 같이 재미로 표현하자면 자치권을 가지고 더 큰 이익을 주는 큰 나라로 종종 편을 바꾸는 속국이나 자치령 같은 개념이지요. 실제로 이통사에 인수되지 않은 독립적인 큰 카드사들은 모두 동맹을 맺은 셈입니다.

 

이 6개 카드사가 공동으로 스펙을 정의하고 개발한 것이 바로 이동 통신사의 하드웨어인 스마트폰이나 유심(USIM)에 의존하지 않는 어플리케이션 기반의 앱카드 입니다. 더구나 썩어도 준치라는 말이 있듯 결제 밥을 오래 먹어온 이들은 이미 유심기반 모바일 카드들이 겪고 있는 인프라 문제도 피해 갈수 있는 방안을 찾아 내었습니다. 앱카드는 NFC 결제 방식도 선택 가능하지만 바코드로 출력되는 OTC(One Time Card Number)라는 형태의 일회용 카드번호를 리딩하여 결제 하는 방식을 이용해서 보안과 인프라 문제를 해결 하였습니다.

 

 

바코드 리더기의 경우는 이미 많은 유통점, 편의점, 프렌차이즈, 심지어 동네 슈퍼들도 이미 보유하고 있는 인프라 입니다. 앱카드 사용을 위해서 전부는 아니지만 많은 수의 가맹점들이 별도의 돈을 들여 새로이 결제 인프라를 교체 하거나 신규로 마련할 필요가 없습니다.

 

 

모바일이나 인터넷 결제시에는 유심기반 모바일 카드들 역시 인프라에 영향을 받지 않고 기존의 ISP나 안심클릭으로 잘 녹아 들어 비교적 편리한 결제 방식을 제공합니다. 하지만 앱카드 역시 QR 코드를 읽거나 결제 코드를 입력하는 방식으로 좀더 사용자가 직관적이고 쉽게 이용할 수 있는 부분이 있습니다. 즉 모바일에서 사용성은 유심기반 카드나 앱카드가 비슷해 보입니다. 그러나 개인적인 경험으로는 앱카드 사용 방식이 좀더 직관적으로 와 닿습니다. 또한 앱카드는 오프라인 매장에서 결제시 인프라 측면에서 유심기반 모바일 카드들 보다 훨씬 우위에 서 있습니다.

 

 

이러한 부분들 때문인지 2013년 5월에야 상용화되어 유심기반 모바일 카드 보다 1, 2년 늦게 전장에 뛰어 들었지만 이들은 순식간에 전세를 좌지우지할 수 있는 무시 못할 성과를 얻게 됩니다.

 

전쟁의 경과

 

SK 제국군과 KT 연합군이 싸우는 전쟁 와중에 뒤 늦게 참전한 6 카드왕국은 비록 출발이 늦었지만 무서운 뒷심을 발휘 하였습니다.

 

유심형 모바일 카드의 발급이 빠르면 3~1년 정도 더 빨랐다는 걸 생각하면 앱카드는 짧은 기간 빠르게 이들의 발급 수를 초과하였습니다. 전쟁으로 비유 하자면 훨씬 단기간에 기존 두 세력을 넘어서는 병력을 동원한 셈입니다.

 

 

결제 금액 면에서도 유심(USIM) 칩 기반 카드들이 아주 조금씩 느리게 성장 한데 비해 앱카드는 2013년 5월 이후 그 결제 금액면에서 가파른 성장세를 보였습니다. 이 자료로만 본다면 이제 모바일 카드의 전장은 SK 진영이냐 KT 진영이냐가 아닌 유심 기반 모바일 카드와 어플리케이션 기반 앱카드의 주도권을 놓은 싸움으로 봐도 될 정도 입니다. 더구나 현재의 전황은 앱카드가 매우 우세한 상황 입니다.

 

더구나 유심 기반 모바일 카드 진영의 한축인  KT연합군의 수장이던 KT가 그동안 사업을 다각화 하느라 본연의 통신 분야에서 죽을 쑤는 바람에 전 회장이 물러나고 새로운 경영자로 교체 되었습니다. KT가 기존의 방만하게 확장했던 사업들을 정리하면서 어쩌면 현재의 KT, BC 연합이 해체될지도 모르는 위기에 처해 있습니다. SK의 경우도 외환카드를 집어 삼키긴 했지만 앞으로도 그저 한 카드사의 결제 방식으로 남을 가능성이 큽니다.

 

하지만 아직까지 유심칩 기반 카드사들에게 반격의 실마리가 완전히 사라진 것은 아닙니다.

 

앱카드 복병을 만나다.

 

하지만 이처럼 무섭게 성장하던 앱카드도 숨겨진 복병을 만나게 되었습니다. 그것은 바로 얼마전 발생한 삼성 앱카드 도용 사고 입니다. 초기 기사들은 마치 아이폰에서 취약한 보안 문제로 도용된 것처럼 속보성 기사를 냈고 베껴쓴 많은 기사들도 이를 따랐습니다.

 

 

실제로는 안드로이드폰 이용 카드 고객에게서 스미싱을 통해서 개인정보와 인증서 정보를 빼냈고 이를 아이폰용으로 개발된 삼성 앱카드 앱에서 구현된 본인 인증의 허점을 이용해 아이폰에서 앱카드를 도용해 발급하였습니다. 이를 통해 게임사이트에서 게임 머니 결제를 통해 현금으로 환급한것이 사건의 본질 입니다.

 

즉 아이폰이나 IOS의 보안문제가 아니라 스미싱을 통한 개인정보 취득과 삼성 앱카드 앱의 허술한 본인인증의 취약한 부분을 파고든 부분 이었습니다. 실제로 본인 인증 절차를 제대로 갖춘 신한 앱카드나 다른 카드사 앱카드에서의 도용사례는 현재까지 언급된 것이 없습니다.

 

이러한 사고는 실물이 아닌 (유심 기반은 어떻게 보면 유심 카드를 카드 실물로 볼수 있습니다.) 어플리케이션을 기반으로 한 카드에서 보안 부분이 취약하게 개발 되었을때는 언제든 발생할 수 있는 도용사례가 표출 된것으로도 생각됩니다.

 

결국 이번 사고 전에는 순조롭게 성장하는 모습을 보이던 앱카드 진영 이었지만 삼성 앱카드 도용 사태로 인해서 나머지 카드사들의 앱카드들 역시 당분간 그 성장세가 주춤 하지 않을까 예상이 됩니다.

 

모바일 카드 전쟁은 아직 끝나지 않았다.

 

유심칩 기반 모바일 카드와 어플리케이션을 기반으로 한 모바일 카드인 앱카드, 최근 사고 전 까지 비록 앱카드가 확연한 우세한 모습을 보였지만 미래에 어떤 방식의 카드가 승리할지 예측하기는 어려운 일입니다. 어떤 한 방식이 승리 한다는 이분법적 예측보다는 앞으로도 두 가지의 방식 모두 각자의 진영에서 여전히 힘을 발휘하거나 서로의 장점을 취해서 새로운 모바일 카드로 수렴될지도 오르겠습니다.

 

개인적으로 확실한 것은 몇년 전 일부에서 예측 하기도 했던 이동 통신사가 신용카드 및 결제 산업의 주도권을 잡을 수 있었을지도 모르는 천재일우의 기회는 이미 날아가 버렸다는 생각입니다. 현실 세계는 참으로 복잡하고 예측 불가능한 것인가 봅니다.



  • 기존 전산사고는 담당자와 팀장 책임선에서 마무리가 되었지만 근래들어 보안사고는 CEO의 책임으로 변하고 있습니다. 그만큼 사고의 중요도성과 책임소제가 커지고 있는 가운데 발전하고 있는 앱시장에서 이런 보안사고는 부분적인 보안패치 보다는 앱카드업무 자체의 업무폐지로 이어질 수 있다고 생각됩니다. 6카드 왕국을 들으니 마치 왕좌의게임(미드) 같은 느낌이 듭니다. ^^ 잘보고 갑니다.

  • 제발 보안문제가 더이상 발생하지 않았으면 좋겠어요.
    잘보고다녀갑니당!!!ㅎㅎㅎ
    오늘은 날씨가 좋으네요^^

  • 보안의 비중이 점점 커지는 요즘추세...
    아나로그가 가끔은 그립기도 합니다....

  • 저는 아직까진 신용카드 결제는 폰으로 하고 싶지가 않더라구요. ^^;
    교통카드 대신 폰을 사용하는데..폰 배터리가 떨어지면 가끔 당황스러울때가 있어서요. ㅎㅎ

  • 보안도 참 문제네요;;

  • 요즘은 이렇게 산업간의 결합이 활발 하기에 경쟁 구도를 이해하기 힘들어진듯 합니다. 예전에 SKT가 하나카드를 인수할 때 그 이유를 금방 알지 못했었거든요 ^^ 모바일 결제나 금융이 활발 하게 이용될 것이기에 앞으로 관심있게 지켜봐야 할 영역이라 생각 됩니다.

  • 모바일카드가 좀 더 활성화 되었으면 좋겠어요. 간혹 지갑을 놓고 오거나 분실할 때 휴대폰으로 돈 찾고, 결제할 수 있다면 급할 때도 유용할 텐데, 아직까지 이용할 수 있는 곳도 많지 않고, 결제하는 방법을 아는 사람이 거의 없어 무용지물일 때도 있고. 분명 좋은 기능이지만 보안 문제 등 아직까지 갈 길이 머네요.