[비즈트리뷴=백승원기자] 정부와 서울시가 소상공인의 가맹점 수수료를 줄여주기위해 '제로페이' 도입에 속도를 내고 있는 가운데 금융거래의 기본인 '보안 리스크'에 대한 우려도 제기되고 있어 주목된다.

 

제로페이는 내년 1월 시행을 목표로 하고 있다. 홍종학 중소벤처기업부 장관은 최근 국회 국정감사에서“제로페이는 일단 QR 방식으로 시작할 것”이라고 밝히면서 QR결제의 보안문제가 새롭게 부상하고 있다.

 

QR은 'Quick Response'의 약자로 매트릭스 형식의 2차원 바코드라 할 수 있다. 바코드의 경우, 기본적으로 최대 20여 자의 숫자 정보만 넣을 수 있는 단방향의 1차원적 구성인 반면, QR코드는 종횡의 2차원적 구성으로 최대 7089자의 숫자와 최대 4,296자의 문자를 기록할 수 있다. QR코드를 통해 인터넷주소(URL) 및 사진, 동영상 정보, 지도 정보, 명함 정보 등 다양한 정보를 더 편리하게 담을 수 있으며, 할인쿠폰 등 홍보 및 마케팅 수단으로 많이 사용되기도한다. 

 

QR을 이용한 모바일 결제 방식은 크게 두가지의 형태가 있다. 정적QR(Static QR)과 동적QR(Dynamic QR)이다.

 

정적QR (Static QR)은 구매자의 스마트폰 앱을 통해 판매자의 인쇄된(고정된) QR을 촬영하는 방식이다. 이 경우 결제 금액은 구매자가 입력하게 된다. POS나 신용카드 단말기 등이 없이도 QR의 인쇄물만으로 결제할 수 있어, 현재 중국에서 가장 대표적인 결제 방식으로 사용되고 있다. 흔히 '중국에서는 거지도 모바일 결제를 쓴다'라고 했을 때 바로 이 방식으로 결제한다는 것을 의미한다.

 

반면 동적QR(Dynamic QR)은 판매자의 QR스캐너를 통해 구매자의 스마트폰의 동적QR을 촬영하는 방식이다. 이 경우 결제금액은 판매자가 입력하게 되며, 정적QR과는 반대의 사용방식이다. 정적QR의 보안성 문제를 해결할 수 있는 장점이 있으며, 바코드와 같은 사용방법을 제공하는 만큼 정적QR보다 편리하다는 평가를 받고 있다.

 

■QR 결제 사용하려면 1일 거래한도 제한부터 정해야

 

지난해 12월26일 중국 인민은행은 '바코드 결제업무 규범 규정'을 발표하고 올 4월부터 시행적용을 통해 보안 안정성이 가장 낮다고 여겨지는 '정적QR' 결제에 대한 관리를 강화하기 시작했다. 정적QR의 경우 위조가 쉽고, 스캔 과정에서 바이러스에 감염될 가능성이 높기 때문이었다. 현재 소액결제를 비롯해 현재 중국내 매장에서 가장 많이 사용되는 정적QR 결제는 보안등급이 가장 낮은 D등급으로 분류돼 모든 소비자들의 일일 결제 한도액이 500위안 이하로 제한되어 사용되고있다.

 

그렇다면 제로페이 등에서 사용하겠다는 QR은 이런 보안문제가 해결된 것일까. 그게 아니라면 우리도 중국 정부와 같이 결제 한도액을 제한해 사고의 크기를 최소화하는 규제 조치가 선행되어야한다. 그러나 과연 우리나라의 환경에서 1일 결제한도액에 제한이 있고, 그것도 그 이유가 취약한 보안 때문이라고 한다면, 누가 그 결제를 안심하고 사용할 지는 의문이다.

 

■중국은 과연 모바일 페이 선진국인가

 

정적 QR의 경우, 보안성과 사용성면에 취약점이 있고 이 때문에 삼성페이, 애플페이, 구글페이 등에서는 이러한 방식을 사용하고 있지 않는 상황이다. 그러면 왜 중국에서는 QR이 크게 성공할 수 있었을까. 그 확산 배경에 대해 알아보자.

 

2012년 7월 위챗은 ‘사오마’에 'QR코드 스캔' 기능을 탑재한 V4.3 버전을 업데이트를 한다. 그 해 12월 알리바바는 사람들이 QR을 널리 사용하게 되자, 재빨리 금융결제 자회사인 즈푸바오를 통해 QR코드 스캔 결제를 도입하고 2013년 위챗은 오히려 뒤늦게 QR결제 기능을 추가하게 된다. 이렇듯 현재 중국인들의 일상생활에서 널리 사용되는 QR 코드가 보편화할 수 있었던 데에는 위챗의 공이 컸다.

 

위챗은 중국의 대표적인 모바일 메신저로서 복잡한 한자 병음을 일일이 입력하는 대신 상대방 스마트폰의 QR코드를 스캔해 위챗의 친구로 등록하게 했고, 이 방식이 중국인들에게는 훨씬 편했기 때문에 하루아침에 전 중국인의 QR사용이 이루어지게 된 것이다.

 

즉, 중국인들은 QR결제 이전에 이미 메신저에서 QR을 누구나 사용하고 있었다는 얘기다. 다시말해 처음부터 페이로 QR을 쓴 것이 아니라, 모바일 메신저를 통해 QR의 경험과 학습이 모두 이루어진 환경에서 페이가 시작됐고 신용카드 경험이 없는 중국인들에게 거부감 없이 확산될 수 있었다는 분석이다. 이러한 현상은 신용카드 결제 인프라가 부족한 상태에서 중국내 모바일 환경의 특수한 변화들이 맞물려 발생한 것이라고 볼 수 있다. 따라서 오늘날 중국의 모바일 결제의 대부분이 QR을 통해 이루어지고 있지만 이를 마치 애플이나 구글, 삼성을 뛰어넘는 모바일페이의 기술 선진국인양 착각해선 안된다.

 

우리의 경우, 고객이 직접 금액을 입력하여 결제하는 경우는 거의 없다.

 

결제라는 행위는 사소한(간단한, 매우 간단히 이루어 져야하는) 행위이며 관습화된 행위이다.그러나 이러한 사소한 관습의 행동을 바꾸고 학습한다는 것은 쉬운 일이 아니다. 정적QR의 경우 고객은 촬영도 하지만, 직접 구매 금액도 입력해야 한다. 그러나 생각해 보자. 물건을 사면서 본인이 구매 금액을 직접 입력해 본 적이 있는지?

 

이렇듯 보안성과 사용성이 떨어지더라도 중국의 결제 환경이 QR로 갈 수 밖에 없었던 것은 신용카드 이용이 적었고, 이미 QR 사용에 대한 긍정적인 마음과 학습이 모두 이루어져 있었고, 고객이 금액을 입력하는 것에 거부감이 없었고, 단말 등의 투자비용 없이 민간업체가 쉽게 도입할 수 있었던 기술이었기에 가능했다고 요약할 수 있다.

 

그렇다면 우리의 경우는 어떠한가. 당장 본인 스스로 QR코드를 스캔해본 적이 얼마나 있는지를 떠올려본다면, 답은 어렵지않다.

 

 

■거꾸로 가는 결제 보안

 

최근 신용카드는 보안성을 강화하기 위해 많은 비용을 들여 마그네틱에서 IC로 전환했다. 이러한 마당에, 특히 민간도 아닌 정부에서 보안성이 떨어지는 최하 보안등급인 QR을 사용하고 장려한다면,

이에 대한 충분한 대비와 준비가 선행돼야한다고 전문가들은 입을 모은다.

 

또한 정부는 비용을 안들이고 도입할 수 있다고 주장하고 있으나 보안성과 편리성을 희생하면서 비용이 안든다고만 자랑해서도 안 될 것이다.

여신금융연구소 윤종문 박사도 금융보안원이 지난 24일 개최한 ‘금융정보보호 컨퍼런스’에서 "QR코드에 악성 바이러스를 심어 이용자들의 계좌 예치금을 통째로 빼내는 신종 금융사기가 중국에서 급등하고 있다”며 “QR코드 오류복원 기능을 이용해 악성사이트 이동의 빈도수 조절이 가능하고 변조 QR탐지와 추적이 힘들다”고 지적했다.

 

윤 박사는 이어“제로 페이의 경우 QR코드 방식 중 보안성이 가장 취약한 스티커QR방식을 중심으로 검토되고 있는데 일일 결제한도를 10만원으로 제한하고 추후 보안이슈 발생 여부에 따라 완화하고 변동형 QR코드는 토큰화 방식을 이용하고 생체인식 등 추가 인증방식을 요구할 필요가 있다”고 주장했다.

 

■'중국베끼기'가 아닌 '한국형 모바일결제'가 필요하다

 

이미 우리는 신용카드 사회에 살고 있고, 신용카드의 편리함에 이미 익숙해 져 있다. 중국과의 비교가 아닌 지금 우리가 쓰고 있는 신용카드와 비교해야 하는 이유가 여기에 있다.

 

신용카드 보다 편리하고 뛰어난 사용성과 보안성이 있는 한국형 모바일 페이먼트에 대한 근본적인 고민이 필요할 때이다.