폰투폰 결제 보안 기준 강화..“오인할 만한 내용 적고 설명 없어” 업계 '혼란'

Photo Image

여신금융협회가 폰투폰 결제 구현을 위한 단말기 시험요구 사항을 개정했는데, 오인을 살만한 대목을 명시해 논란이다. 협회가 해당 내용에 대해 구체적 설명을 내놓지 않아 관련 업체들이 혼란을 겪고 있다.

23일 업계에 따르면 여신금융협회는 최근 스마트폰 결제 단말기 시험인증을 위한 '신용카드 단말기 정보보호 기술기준'을 개정했다.

개정된 내용 골자는 폰투폰 결제를 서비스 할 업체가 준수해야 할 보안 항목을 강화한 것이다. 문제가 된 대목은 '스마트폰 단독 단말기 인증을 위해서는 단말기 시험 가이드 009조항 및 010조항을 모두 충족해야 한다'는 문구다.

'단말기시험-가이드-009'는 하드웨어에 암호키를 저장하는 방식으로 현재 삼성전자만 채택하고 있다. 삼성전자는 갤럭시 S21 모델 이후부터 '녹스(KNOX)' 형태 보안 솔루션을 탑재하고 있다. '단말기시험-가이드-010' 앱 기반 암호키는 저장하는 방식을 말한다.

이번 개정 전까지 업체들은 009 조항과 010 조항 중 각자 사용하는 방식을 채택해 인증을 받아왔다. 하지만, 개정 내용을 문자 그대로 해석하면 앞으로 이 두 가지 방식을 모두 충족해야 인증을 받을 수 있다. 때문에 업계에서는 “앞으로 두 가지 방식을 모두 충족해야 인증을 받을 수 있다”는 우려가 제기됐다.

여신금융협회는 여기에 더해 009조항에 소프트웨어를 통해 논리적으로 하드웨어 TEE와 동일한 방식을 구현하는 'REE'를 추가했다. 쉽게 말해 009조항에 010조항 내용 일부를 더한 것이다.

일부 업체는 시험인증기관인 TTA에 직접 해당 내용을 문의했지만, 한 달이 지난 8월 현재 답변을 받지 못했다.

모바일 POS(포스) 결제 인프라를 개발하는 한 업체는 “시험조항이 개정되면서 추가된 내용에 업계가 혼란스러워하는 상황”이라면서 “두 가지 방식을 다 개발해야 한다는 건지 여부를 시험인증기관에 문의했지만, 답변받지 못했고, 여신금융협회 역시 설명을 하지 않아 시험인증을 잠시 보류했다”고 말했다.

여신금융협회는 업체들이 개정 문구를 오인했다는 입장이다. '009조항 및 010조항을 모두 충족해야 한다'는 문구는 009조항과 010조항을 통합 관리한다는 의미이지, 두 가지 방식을 모두 만족시키라는 뜻이 아니라는 것이다. 또 이를 상세히 설명할 경우 내부 기준이나 보안 사항이 노출 될 위험이 있어 인증 업무에 차질을 빚을 수 있다고 우려했다.

여신협회 관계는 “개정된 내용에서 모두 충족해야 한다는 조항은 기존에 별도 관리하던 TEE 기술기준을 통합해 관리하겠다는 뜻”이라면서 “업체들은 기술 발전에 따라 요구되는 백신 등 보안요구 사항을 충족한다면 기존과 동일하게 한 가지 방식만 선택해 인증을 접수 할 수 있다”고 말했다.

폰투폰 결제는 대형 가맹점 전유물이던 NFC 기반 비접촉 간편결제 단말기 기능을 영세·중소가맹점 소상공인이 자신의 스마트폰을 이용해 구현하는 방식이다. 현재 비버웍스, 위허브, 셀피 등 국내 5~6개 업체가 스마트폰을 이용한 모바일 POS(포스) 결제 인프라를 제공하고, 추가 밴사도 진입을 검토하는 것으로 알려졌다. 안드로이드 NFC 기능을 활성화하면 스마트폰으로 애플페이는 물론 QR 등 다양한 결제방식을 받아들이는 결제 인프라로 구현할 수 있다.


박윤호 기자 yuno@etnews.com