“토큰화(Tokenization) 기술을 이용하면 마그네틱 결제 방식의 보안 문제를 해결할 수 있습니다. 토큰화는 삼성페이의 핵심입니다.”
조지 월너 루프페이 공동창업자는 8일 서울 여의도 콘래드 호텔에서 열린 조선비즈 미래금융포럼에서 ‘토큰화’라는 단어를 수차례 연발했다.
삼성이 루프페이를 인수해 설립한 삼성페이는 기존 마그네틱 카드 기기에서 바로 사용할 수 있다는 점에서 편리하다. 그러나 마그네틱 방식이 전자칩(IC칩) 방식에 비해 보안에 취약하다는 지적이 나오는 것도 사실이다.
이에 대한 월너 공동창업자의 해답은 토큰화였다. 토큰화 기술은 쉽게 말해 카지노에서 칩을 이용하는 것과 유사하다. 카지노에서 임시로 현금과 칩을 교환해 사용하듯 삼성페이 역시 결제 순간 마다 새로운 가상카드정보(토큰)를 생성한다.
칩을 카지노 외부로 가지고 나가도 현금처럼 사용할 수 없는 것처럼, 토큰 역시 외부 유출된다고 해도 다른 결제에 도용될 가능성이 없다. 토큰에는 실제 카드나 사용자에 대한 정보가 포함돼 있지 않기 때문이다.
사용자가 삼성페이에 사용할 카드를 등록하면 해당 카드번호가 암호화된 상태로 관리용 서버에 전송된다. 이 정보는 재암호화해 카드사에 전송된다. 카드 발급사는 수신한 카드번호와 사용자를 확인한 뒤 토큰과 카드번호인증값을 생성해 사용자 스마트폰에 전송한다.
카드 사용자의 스마트폰과 카드사 서버에는 실제 카드번호와 카드번호인증값(CVV)을 대체하는 가상의 번호만 남게 되는 것이다.
월너 공동창업자는 “소비자는 어떤 기술이 보안에 사용되는지 관심이 없고 보안이 철저한지에만 관심을 보인다”며 “삼성페이는 토큰화를 활용해 안전하고 다양한 서비스를 제공할 것”이라고 말했다.
금융보안연구원 관계자는 "삼성페이, 애플페이 등 최근 스마트폰 결제 서비스는 지문 인식 기술과 일회용 결제 정보를 활용한다는 점에서 실물 카드 보다 보안성이 높다”면서도 “카드 등록시 보다 철저한 신원 확인과 단말기 등에 대한 보안 위협 수준을 낮추는 고민이 필요하다"고 말했다.