삼성페이 보안의 핵심 ‘토큰화’

실시간
뉴스

솔루션

삼성페이 보안의 핵심 ‘토큰화’

디지털데일리 발행일 2015-08-20 10:41:43

이민형

URL복사

[디지털데일리 이민형기자] 삼성전자의 모바일 결제서비스 삼성페이가 20일 출시됐다.

삼성페이는 스마트폰에서 카드결제기로 암호화된 정보를 전달하는 마그네틱 보안 전송(MST) 과 근거리무선통신(NFC) 방식을 지원하는 결제서비스다. 기존 카드 결제기를 교체하지 않아도 모바일 결제가 가능하다. 교통카드를 사용하듯이 판매시점관리(POS)단말기에 스마트폰을 갖에 갖다대면 결제가 완료된다.

간편하지만 보안은 강력하다. 삼성페이는 ‘토큰화(Tokenization)’ 기술이 적용됐다. 토큰화란 신용카드 정보나 개인정보 등을 토큰으로 만들어주는 것을 말한다. 버스 토큰처럼 결제를 할 때 1회용으로 사용된다.

삼성페이에 적용된 토큰화는 등록된 신용카드 정보를 가상의 데이터로 바꿔주는 것이 핵심이다.

우선 입력된 신용카드 정보는 암호화돼 관리용 서버에 전송된다. 서버는 해당 값을 복호화해 카드사별로 분류한 뒤 해당 신용카드사에 재암호화해서 전송한다. 카드사는 수신한 카드번호와 사용자를 확인한 뒤 토큰(가상의 카드번호)과 인증값(시드)을 사용자 스마트폰에 보낸다. 토큰과 인증값은 카드사 서버와 스마트폰 애플리케이션프로세서(AP) 트러스트존에 각각 저장된다.

즉, 실제 신용카드 정보는 어느 곳에도 없다. 신용카드사도, 사용자도 가상의 카드번호를 갖고 있는 셈이다. 결제를 하기 위해 삼성페이를 구동하면 토큰과 인증값이 POS단말기를 거쳐 카드사로 전송된다. 인증값은 시간과 결합돼 만들어지기 때문에 매번 바뀐다. 카드사는 전달된 토큰과 인증값이 일치하는지 비교한 뒤 결제 승인 신호를 보낸다. 따라서 POS단말기와 스마트폰 사이의 패킷이 탈취되더라도 안전하다.

애플리케이션 보안을 위해 삼성전자는 삼성 녹스(Knox)에 삼성페이를 올렸다. 삼성 녹스는 애플리케이션 컨테이너(샌드박스)를 기본으로 한다. 보안정책에 위배되는 데이터는 녹스로 들어올 수 없다. 따라서 모바일 악성코드 등에 스마트폰이 감염되더라도 상대적으로 안전하다. 삼성전자가 녹스가 깨지면 삼성페이를 사용할 수 없게 설계한 것도 보안 때문이다.

한편 삼성페이는 삼성카드, 신한카드, 국민카드, 현대카드, 롯데카드, NH농협카드, BC카드, 하나카드, 우리카드, 씨티카드 등 모든 국내 카드사와 제휴가 돼 있다.

<이민형 기자>kiku@ddaily.co.kr