삼성 페이
SAMSUNG PAY
그리고 모바일 결제 시장
AND MOBILE PAYMENT MARKET
갤럭시s6 이후의 삼성 스마트폰 모델에는 삼성페이라는 모바일 결제 솔루션이 포함되어 있다.(A시리즈 2015년형 및 저가형 제외. A시리즈 2016년형에는 탑재예정) 처음 삼성페이가 발표되고, 많은 논란이 있었다. 결제방식부터 보안문제, 상용화 가능성까지 설왕설래가 끊이지 않았다. 하지만 돌아보면, 사실상 2015년 가장 주목받는 IT기술이었음은 부정할 수 없다. 그만큼 많은 정보가 나왔고, 그 중에는 잘못된 정보도 많았다. 이 포스트를 통해 삼성페이에 관한 전반적인 사항을 살펴보겠다.
현재 한국과 미국에서 정식으로 서비스하고 있으며, 2016년인 올해, 중국과 유럽에도 서비스를 확대할 예정이다. 지금까지 지원되는 삼성 스마트폰은 갤럭시s6, 갤럭시s6 엣지, 갤럭시s6 엣지+, 갤럭시 노트5이다. 올해 발매되는 중고가형인 갤럭시A 시리즈 2016년형(A5, A7)에도 탑재될 예정이다.
삼성은 2015년 MWC(Mobile World Congress: GSMA가 주최하는 세계 최대의 정보통신 산업 전시회)에서 자사의 새로운 플래그쉽 스마트폰인 갤럭시s6와 함께 삼성페이를 발표했다. 경쟁사인 애플은 이미 2014년 하반기에 애플페이라는 모바일 결제 서비스를 시행하고 있는 상황에서, 과연 삼성은 어떤 차별점을 바탕으로 결제 서비스를 공개할지 기대되는 상황이었다. 그리고 삼성은 후발주자 답게 보다 경쟁력 있는 서비스를 공개했다. 기존의 모바일 결제들이 NFC(Near Field Communication)만을 기반으로 한 것과 달리 NFC뿐만 아니라 MST(Magnetic Secure Transmission) 기술을 추가하면서 마그네틱 장치에서도 인식할 수 있는 서비스를 공개한 것이다.
삼성페이는 루프페이(Loop Pay)라는 회사의 기술을 기반으로 한다. 루프페이는 케이스 형태의 악세사리로, 케이스에 마그네틱 카드정보를 저장하고 케이스에 달린 마그네틱 장치로 자기장을 발생시켜 인식시키는 방식이다. 단점으로는 카드 정보 자체를 복제하는 것이기에, 대부분의 국가에서 불법이다. (카드복제와 마찬가지) 그리고 루프페이 케이스를 별도로 장착해야 한다. 때문에 편하게 쓰기에는 무리가 있다. 삼성은 이 루프페이 업체를 인수해서, 이 마그네틱 발생 모듈을 스마트폰에 탑재했다. 스마트폰에 내장되어 있기 때문에 루프페이에 비해 디자인적인 부분에서 큰 강점을 가진다. 또한 카드 정보를 전송하는 방식도 토큰방식으로 바꾸면서 루프페이가 가진 보안문제를 해결했다.
삼성페이의 사용방법은 매우 간단하다. 심플페이라고 불리는 방식으로 화면 하단에서 위로 스와이프하면 등록된 카드가 뜨는데, 결제할 카드를 선택하고 지문을 인식하면 일정 시간의 데이터 통신 후 결제가능상태가 된다. 이 상태에서 마그네틱 단자 부분에 스마트폰 뒷면을 갖다대면 결제가 이루어진다. 초기에는 가상 토큰을 이용해서 결제 준비시간이 꽤 길었다. 약 5~7초 정도 걸렸다. 최근에는 방식을 고정 토큰으로 바꾸면서 결제 준비 시간이 5초 미만으로 줄어들었다. 하지만 아직 미국 서비스와 비교하면 속도가 느리다.
우리은행의 경우 ATM에서도 삼성페이를 통한 출금서비스를 제공하고 있다. (출금 시 금액을 선택하고 지문인식 후 갖다대기만 하면 출금할 수 있다.) 2016년인 올해 다른 은행들과도 협력해 대부분의 은행 ATM에서 삼성페이를 사용할 수 있게 될 것이라는게 삼성의 발표이다. 하지만 현실적으로 삼성페이를 활용할 수 있는 ATM 기기를 별도로 설치해야 되기 때문에 순조롭게 진행될지는 의문이다. '비용은 누가 감당할 것인가'하는 문제는 어느 분야나 공통적으로 가지고 있는 가장 현실적인 문제이다.
최근 업데이트를 통해 삼성페이에 멤버쉽 카드 기능도 추가되었다. 하지만 멤버쉽 카드는 MST 방식을 이용하지 않고 바코드를 이용하기 때문에 다른 멤버쉽 서비스와 크게 차별되는 점은 없다. 그래도 다른 앱 필요없이 삼성페이 하나로 결제와 멤버쉽 모두 활용가능한 것은 장점이다. 특정 멤버쉽만 가능하던 초기 업데이트와 달리 최근에는 직접 멤버쉽 카드를 등록할 수 있게 되어, 활용성이 조금 더 상승했다.
추가로 교통카드 기능도 지원되고 있는데, 티머니와 캐시비 기반이다. NFC 방식의 교통카드인데, 기존 티머니나 캐시비와 같은 방식이기 때문에 서비스 자체의 차별점은 없다. 장점이라면 삼성페이와 티머니, 시럽 등으로 분산되어있던 서비스를 하나의 앱으로 통합해서 사용할 수 있다는 점이다.
삼성페이를 통해 결제 시 위치를 잘 잡아야 한다. 공격적인 마케팅으로 꽤 인지도가 높아졌으나, 여전히 모르는 사람이 많다. (처음 베타 서비스 때는 상점마다 일일이 다 설명하면서 사용해야 했다.)
일단 기존의 카드가 어떤 방식으로 결제되는지 알아야 한다. 지금 우리가 흔히 쓰는 카드들은 뒷면의 마그네틱 바와 전면 IC칩에 카드정보가 저장되어 있다. 마그네틱에 저장된 정보의 경우, 결제 단말기의 마그네틱 슬롯에 카드를 긁으면 자기장이 발생해 카드정보가 전달된다. IC칩에 저장된 정보의 경우 IC 단말기에 카드를 삽입하면 기기가 IC칩의 정보를 읽어들인다. 삼성페이는 여기서 마그네틱 슬롯을 긁을 때 발생하는 자기장을 스마트폰 뒷면에 추가된 MST 모듈을 통해 발생시키는 것이다. 때문에 기존에 카드를 긁던 곳에 스마트폰을 갖다대면 인식된다. 이러한 방식을 모르는 사람들은 삼성페이를 사용하기 위해서는 별도의 결제 단말기가 필요하다고 생각한다. 물론 모든 결제 단말기에서 다 사용할 수 있는 것은 아니다. 너무 구형의 마그네틱 단말기의 경우 토큰화된 정보를 전송하지 못해서 결제가 불가능한 경우가 있으며, 특정 사업체의 경우, 삼성과 협력이 이루어지지 않아 토큰화 방식을 시스템적으로 승인처리하지 않아 사용이 불가능하다.
의외로 삼성페이가 가지는 진정한 강점은 온라인 결제이다. 최근 모바일 결제들이 많이 간편해졌다. 특히 데스크탑에서 결제를 하려면 온갖 프로그램들을 설치해야되기 때문에 PC로는 장바구니에 담기만 하고 결제는 모바일로 하는 사람도 많다. 상대적으로 편한 모바일 결제지만, 역시나 여러 단계를 거친다. 일반 카드결제의 경우 카드번호를 치고, 비밀번호와 CVC값을 입력해야 결제가 된다. 앱카드를 쓴다고 하더라도 앱카드를 구동하는 시간과 앱카드 비밀번호를 입력하는 과정이 있다. 삼성페이는 그런거 없다. 카드를 선택하고 지문인식하면 바로 결제된다. 결제시간이 진짜 절반으로 줄어든다. 아주 무섭게 카드값이 상승하니 조심해야 한다. (현재 삼성카드만 온라인 결제를 지원한다. 일해라 삼성.)
Q1. NFC
NFC란 Near Field Communication의 약자로, 라디오 주파수를 이용한 RFID 기술의 한 종류이다. 별도의 전원이나 동글이 필요하지 않아 널리 쓰이는 근거리 통신방식이다. 하지만 별도의 전원없이 작동하기 때문에 블루투스처럼 장거리 통신은 불가능하고 약 1m 내외의 근거리 통신만 가능하다. NFC가 가지는 장점은 NFC칩이 소형이라 탑재하기 쉽다는 점과, 표준화되어 널리 사용된다는 점, 일반적인 통신방식보다 보안이 뛰어나다는 점 등이 있다. 단점으로는 별도의 NFC칩이나 모듈을 장착해야 된다는 점인데, 현재 대부분의 스마트폰에는 NFC모듈이 내장되어 있다. 하지만 여기서 문제는 스마트폰에는 NFC모듈이 탑재되어 있어 신호를 보낼 수 있는데, 결제 단말기에는 NFC모듈이 없다는 점이다. 최근 설치되는 결제 단말기들은 NFC 기능도 포함되는 경우가 대부분이나 최신 단말기를 제외하고는 NFC를 인식할 방법이 없다. (추가적으로 NFC 결제 패드를 설치하면 되기는 하는데, 이것도 설치할 수 있는 단말기가 한정적이다.) 이러한 문제 때문에 현재 NFC를 기반으로 한 모바일 결제 시스템은 범용성에 큰 한계가 있다. 전국에 있는 결제 단말기가 모두 교체될 때까지는 모바일 결제를 사용할 수 없는 곳이 있다는 의미이기 때문이다. 신형 결제 단말기 보급을 위한 노력들이 있지만, 단말기 설치비용을 누가 감당할 것인가 하는 문제 때문에 실제로 진행속도는 굉장히 느린 편.
참고로 애플의 NFC는 표준과 거리가 멀다. 애플은 아이폰6 모델부터 NFC 모듈을 탑재했는데, 독자규격을 사랑하는 애플은 NFC조차 자사에서 허용하는 서비스 외에는 사용할 수 없게 막아놨다. 때문에 범용 NFC 단말기가 설치되더라도 애플페이를 사용하지 못할 확률이 높다. 애플페이를 지원하는 NFC단말기가 설치되어야 결제할 수 있기 때문이다. (물론 애플 스토어조차 들어오지 않는 시장에 과연 서비스는 시행할지도 의문이다.)
Q2. MST
MST는 Magnetic Secure Transmission의 약자로, 마그네틱 보안 전송을 의미한다. 기기에서 카드정보를 전송할 때 자기장을 이용해 전송하는 기술로, 루프페이의 기술을 기반으로 한다. 실물카드를 긁을 때 발생하는 자기장을 스마트폰에서 발생시키는 것이기 때문에 이론적으로는 실물카드가 인식되는 단말기에서는 인식되는 것이 정상이다. 하지만 삼성페이의 경우 토큰화시킨 정보를 전송하기 때문에, 단말기에서 이 토큰화된 정보를 처리하는 과정이 추가된다. 대부분의 단말기에서는 처리가능하지만 너무 구형에서는 처리가 안되는 경우가 있다. 또한 단말기 뿐만 아니라 업체 서버에서도 토큰화된 정보를 처리해야 하는데, 이 부분이 협력되지 않으면 삼성페이를 사용할 수 없다. SSG 계열사의 경우 삼성과 협력이 이루어지지 않아 삼성페이를 사용할 수 없다.
Q3. 토큰화
루프페이의 문제점은 카드 정보를 통째로 저장하고 그 정보를 전송하는 것이었다. 때문에 한국에서는 루프페이 사용이 불법이다. (대부분의 국가에서 불법일 것이다. 신용카드 복제문제는 전세계적으로 가장 흔한 금융범죄다.) 삼성페이는 이러한 문제를 해결하기 위해, 카드 정보를 전송하는 것이 아니라 인증 정보를 토큰화시켜 전송한다. 초기에는 이 토큰마저도 가상토큰으로 발급받아 인증과정이 진행되었기 때문에, 삼성페이를 사용할 때마다 영수증에 카드번호가 다르게 찍혔다. (승인정보를 바탕으로 결제취소는 가능하다.) 하지만 최근에는 고정토큰으로 바꾸면서 결제과정이 조금 짧아졌다.
Q4. IC 전용 단말기와 마그네틱의 종말
마그네틱 방식은 굉장히 오래된 기술로, 많은 취약점이 드러난 상황이다. 때문에 대부분의 국가에서는 마그네틱을 금지시키고 IC칩 기반 카드로 바꾸는 중이다. 한국도 빠르면 2년 내 마그네틱 결제시스템을 퇴출시키기로 결정했다. 현재 ATM의 경우 마그네틱만 있는 카드는 거래를 할 수 없다. 하지만 항상 이론과 현실 간에 괴리가 있듯, 이러한 정책도 현실적인 문제들에 부딪힌 상황이다. 일단 카드는 대부분 IC칩 기반으로 바꾸었다. 비용이 얼마 들지 않고 몇년 전부터 카드 발급 시 마그네틱 바와 함께 IC칩이 달린 카드를 발급했기 때문이다. 문제는 단말기다. IC칩을 인식할 수 있는 단말기의 수가 매우 적다. 주변을 둘러보면 대부분 마그네틱 장치만 있는 단말기밖에 안보일 것이고, 최근에 개업한 상점이라면 IC칩 단말기(한국에는 IC칩만 결제되는 단말기는 유통되지 않는다. IC칩과 마그네틱 모두 탑재된 단말기가 유통된다.)가 설치되었을 것이다. IC칩 단말기는 IC칩 결제를 우선한다. 즉, 신용카드로 결제 시 마그네틱으로 긁으면 결제가 안되고 먼저 IC칩을 인식시킨 후 어떤 오류로 IC칩 결제가 진행되지 않을 경우에만 마그네틱 결제가 가능하다.
여기서 중요한 점은 삼성페이는 IC칩 우선결제 대상에서 제외라는 점이다. 삼성페이는 굳이 IC칩 인식실패 과정 없이 그냥 마그네틱 단자에 갖다대면 결제가능하다. 삼성페이가 여신법에서 요구하는 보안수준을 충족했기 때문에 IC칩에 준하는 결제절차가 적용되는 것이다. 그리고 IC칩 결제 단말기는 기본적으로 NFC 모듈이 탑재된 경우가 대부분이기 때문에 NFC 기반 모바일 결제도 가능하다.
[2016. 01. 21 내용추가]
IC칩 카드 우선 결제에 대한 법 조항은 다음과 같다. 정확히 말하자면, IC칩 카드를 우선 결제해야된다는게 법 내용이 아니라, 법에서는 금융위원회(여신전문금융업회에 위탁)에서 정하는 기술수준의 결제 단말기를 설치하도록 되어있다. 그리고 그 결제 단말기가 IC칩 카드일 경우 우선결제를 하도록 되어있는 것이다.
여신전문금융업법 제19조(가맹점의 준수사항)
③ 신용카드가맹점은 신용카드회원의 정보보호를 위하여 금융위원회에 등록된 신용카드 단말기를 설치·이용하여야 한다. <신설 2015.1.20.>
여신전문금융업법 제27조의4(신용카드 단말기의 등록)
① 부가통신업자는 자신이 전기통신서비스를 제공하는 신용카드 단말기를 금융위원회에 등록하여야 한다. 다만, 부가통신업자가 전기통신서비스를 제공하지 아니하는 신용카드 단말기의 경우에는 신용카드가맹점이 금융위원회에 등록하여야 한다.
② 등록하려는 신용카드 단말기는 신용카드회원의 정보보호를 위하여 금융위원회가 정하는 기술기준에 적합하여야 한다.
③ 신용카드 단말기의 등록요건 및 등록절차 등에 필요한 사항은 대통령령으로 정한다.
④ 금융위원회는 제1항 및 제2항에 따른 신용카드 단말기의 등록 및 기술기준에 관한 업무를 여신전문금융업협회장에게 위탁한다.
[본조신설 2015.1.20.]
신용카드 회원의 정보보호를 위한 신용카드 단말기 정보보호 기술기준 (여신금융협회)
제3장 신용카드 단말기 보안기능 및 시험 요구사항
제2절 기본 요구사항
1. 신용카드 거래승인에 대한 요구사항
신용카드 회원의 정보보호를 위해 안전한 유형의 신용카드를 우선 사용하도록 다음 요구사항을 만족
해야 한다.
1.1 신용카드 단말기는 ISO7816에서 규정한 ID-1 TYPE 형태의 카드가 이용되는 경우
EMV(Europay Mastercard Visa) 거래 또는 이에 준하는 방식으로 우선 처리함을 원칙으로 한다.
1.2 비정상적 fall-back 거래 및 변칙적 MS 거래가 발생하지 않도록 해야 한다.
참고로 카드 타입은 다음과 같다.
ID-1 : ISO/IEC 7810에서 85.60mm x 53.98mm, 두께 : 0.76mm로 정의
ID-000 : 25mm x 15mm, 두께 : 0.76mm로 정의
Q5. 보안문제
전자화된 거래시스템에 대한 불안이 높다. 실제로 많은 사건사고들이 발생하고 있으며, 각종 해킹문제도 심심찮게 터지는 21세기이다. 때문에 아직도 많은 사람들이 불안해서 인터넷 뱅킹이나 스마트 뱅킹을 이용하지 않는 경우도 있다. 삼성페이도 마찬가지로 보안문제가 지적되었다. 하지만 삼성페이는 기본적으로 녹스(Knox) 보안구역에서 구동된다. 녹스는 삼성이 개발한 모바일 보안 솔루션으로 암호화된 공간이 스마트폰 내부에 추가로 생성된다고 보면 된다. 승인받지 않은 사용자는 해당 구역에 접근할 수 없으며, 해당 구역의 데이터 열람도 불가능하다. 더해서, 삼성페이가 탑재된 스마트폰은 모두 지문인식을 기반으로 한다. 분실한다고 해도 인증과정 없이는 결제가 불가능한 것이다. 사실상 실물카드보다 더 보안이 우수하다고 볼 수 있는 부분이다. 물론 완벽한 것은 없다고 생각하는 분들도 있을 것이다. 통신망이 해킹당할 확률을 아예 배제할 순 없다. 때문에 삼성페이는 와이파이 연결상태에서는 결제가 불가능하다. 현재 스마트폰 파밍 문제의 원인 중 큰 부분을 차지하는게 보안장치가 되어있지 않은 공개 와이파이이다. 암호화되지 않은 공유기는 연결된 스마트폰에 잘못된 정보를 전송하거나 스마트폰이 전송하는 정보를 중간에 채갈 수 있다. (공개된 장소에서 인증절차나 암호화가 되어있지 않은 공유기에는 접속하지 말자. 제발. 그리고 가정에서 쓰는 공유기도 암호화해야 한다. 랜선을 타고 들어온 악성코드에 공유기가 감염될 수도 있다.) 삼성페이는 와이파이에 연결이 되어있더라도 결제 시에는 데이터 통신으로 전환된다. 만약 통신사 데이터망이 털린다면, 그건 개인적 차원의 문제가 아니라 국가적 차원의 사이버 사고이다.
여러가지 현실적인 문제들로 모바일 결제 시장에서 삼성페이의 입지는 상당기간 유지될 것으로 보인다. 하지만 장기적으로 봤을 때, 결국 마그네틱 결제는 사장될 것이고, NFC기반의 결제가 보편화되는 시간이 온다. 그 때에는 당연히 생태계를 쥐고 있는 구글이나 애플이 더 강력한 영향력을 발휘하게 될 것이다. 삼성페이는 삼성의 중상급 기기에서밖에 사용할 수 없지만, 애플페이는 아이폰6 이후의 모든 모델에서, 안드로이드 페이는 NFC가 달린 안드로이드 기기라면 모두 지원되기 때문이다. 시장에서 NFC 결제가 가능한 환경이 갖추어진다면 규모면에서 삼성페이가 애플페이나 안드로이드 페이에게 밀리는 것은 당연하다. (결제시장은 궁극적으로 규모의 싸움이다. 결제정보를 많이 가져가는 쪽이 이기게 되어있다.) 물론 삼성페이도 NFC결제가 가능하지만, 서비스의 질이 같다면 규모 경쟁인데 OS생태계를 가진 경쟁사와는 상대가 될 수가 없다. 삼성페이는 그 전까지의 몇 년 동안 어떤 행보를 보이느냐에 따라 롱런할 것인지, 아니면 반짝하는 기술이 될지 결정될 것이다.