[급부상하는 핀테크의 세계⑦] 태풍의 눈으로 떠오른 HCE…카드업계 승부수

[클라우드 컴퓨팅으로 보안·편의성 잡는다]

HCE(Host Card Emulation) NFC 모바일 결제가 신용카드 업계와 모바일 결제 플랫폼 업계의 ‘태풍의 눈’으로 떠올랐다. 올해 초 비자, 마스터카드 등 카드결제 네트워크사들이 향후 HCE NFC 방식을 공식 결제 수단으로 채택하겠다고 발표했기 때문이다. 신용카드 업계는 HCE NFC 모바일 결제라는 첨단 병기를 앞세워 모바일 결제 시장을 재편하겠다는 의지를 다지고 있다.

지금까지 모바일 및 온라인 결제 시장에선 SIM카드를 활용한 NFC 모바일 결제를 비롯해 페이팔, 구글 월렛 등 다양한 결제 수단이 등장해 기존의 결제 시장을 위협했다. 특히 비접촉식 신용카드 모바일 결제 시장에선 SIM카드 NFC 결제 방식이 유력한 결제 수단으로 자리 잡았다.

다양한 이해 관계자들이 존재했지만 중심에는 이동통신 업체들이 있었다. 이동통신사업자들이 금융 SIM카드 부문에서 막강한 영향력을 행사하면서 그동안 카드결제 네트워크사들이 누리던 영향력이 상당 부분 축소됐다. 이 같은 상황에서 HCE NFC 모바일 결제가 종전의 모바일 결제 시장의 판도를 변화시킬 수 있는 강력한 대안으로 떠오르고 있는 것이다.

모바일 카드 결제 시장에 도대체 무슨 일이 일어났기에 이런 일이 가능해진 것일까?

카드업계, HCE로 이통사 영향력 배제 기대감

기존의 NFC 모바일 결제 시장을 이해하기 위해선 ‘보안요소(SE: Secure Element)’라는 개념을 아는 게 중요하다. 스마트폰 제조업체, MNO(네트워크사업자), 모바일거래 관리업체(TSM; Trusted Service Manager), 신용카드 발급사 등 주요 이해 관계자들 간에 신용카드 정보가 왔다 갔다 하는데, 이때 핵심이 되는 게 바로 ‘SE’다.

SE는 SIM카드나 마이크로 SD카드 등의 형태로 존재하는데 결제 애플리케이션(앱) 설치 및 관리, 카드 관련 정보 등을 담고 있는 하드웨어 영역이다. SIM카드나 마이크로 SD카드가 아니라 스마트폰 제조업체들이 아예 임베디드 형태로 만들기도 한다. 우리나라에선 주로 SIM카드 방식이 사용된다. 마이크로SD카드나 SIM카드는 탈·부착이 가능하지만 임베디드 형태는 불가능하다. SIM카드나 마이크로 SD카드에 있는 SE는 스마트폰에 내장된 NFC 안테나와 컨트롤러를 통해 POS 단말기 또는 신용카드 결제 단말기와 통신함으로써 주요 이해 관계자들과 신용카드 정보를 교환한다. 스마트폰을 결제 단말기에 갖다 대면 무선으로 결제가 이뤄지는 ‘탭 앤드 페이(Tap & Pay)’ 방식이 비로소 가능해지는 것이다.

카드결제 네트워크사들이 새로 도입키로 한 NFC HCE 방식은 ‘카드 에뮬레이션’, ‘피어 투 피어(peer-to-peer)’, ‘리드/라이트(Read/Write)’ 등 NFC의 세 가지 통신 방식 가운데 ‘카드 에뮬레이션’을 채택하고 있다. NFC 단말기는 단지 수동형 기기로 정보를 읽는 결제 단말기 및 통신 기능을 수행할 뿐이다.

HCE NFC 결제 방식의 핵심은 ‘SE’를 우회한다는 점에 있다. SE가 없어도 된다는 의미다. 결제 앱은 스마트폰 운영체제(OS) 속으로 들어가고, 카드 관련 정보는 카드사의 클라우드 시스템에 저장된다. 따라서 SIM카드나 마이크로 SD카드를 교체할 필요 없이 새로운 OS를 온에어 방식으로 다운로드하면 NFC 결제 서비스를 바로 이용할 수 있다. SE를 우회하기 때문에 이동통신사업자의 개입을 차단할 수 있다. 모바일 결제 관련 이해관계자의 하나인 이동통신사업자의 영향을 배제할 수 있다. 카드사들이 HCE NFC 결제에 잔뜩 기대하는 이유도 여기에 있다.

구글, 안드로이드에 HCE NFC 결제 기능 탑재

HCE NFC 방식 부상에 주도 역할을 한 업체가 바로 구글이다. 구글은 지난 2010년 12월 안드로이드 2.3과 ‘넥서스S’ 스마트폰에 처음으로 NFC 결제를 지원하기 시작했다. 하지만 2011년 5월 구글 월렛(Google Wallet) 서비스를 도입하면서 이동통신사업자와 갈등을 빚었다. 구글은 이동통신사업자의 견제를 우회하는 방법으로 지난해 10월 안드로이드 4.4 킷캣을 발표하면서 OS에 HCE NFC 결제 기능을 넣었다. 올해 4월부터는 구글 월렛 서비스에서 더 이상 SE를 지원하지 않는다고 발표했다. HCE NFC가 구글의 모바일 결제 표준이라는 점에 쐐기를 박은 셈이다. 현재 구글과 블랙베리가 OS에서 HCE를 지원하고 있다.

비자, 마스터카드 등 신용카드 결제 네트워크가 지난 2월 HCE NFC를 본격 채택하기로 하면서 HCE NFC 결제 방식은 모바일 결제 시장을 재편할 큰 흐름으로 자리 잡았다. 은행과 카드사들이 속속 HCE NFC 결제 시스템의 도입을 추진하거나 테스트를 진행하고 있다. 이미 서비스에 들어간 곳도 있다.

스페인 금융 기관인 ‘BBVA’는 비자가 마련한 HCE NFC 규격에 따라 은행권 가운데 처음으로 지난 6월 HCE 서비스를 출시했다. 올 6월 기준으로 이 은행은 20만 명의 ‘BBVA 월렛’ 서비스 가입자를 확보하고 있으며, 안드로이드 4.4 킷캣 스마트폰 사용자들에게 모바일 결제가 가능한 BBVA 월렛의 앱 버전을 새로 제공하고 있다. 올해 말까지 BBVA는 스페인뿐만 아니라 미국, 멕시코, 칠레 등에까지 서비스 지역을 확대한다는 계획이다.

BBVA 측은 “BBVA 월렛 서비스의 세계 확장이 비자의 클라우드 기반 HCE 규격 아래 이뤄질 것”이라면서 “은행의 클라우드 시스템에 보관된 안전한 데이터를 활용해 모바일 거래가 활성화될 것”이라며 자신감을 내비쳤다. 고객들이 SIM카드를 교체하지 않고도 양질의 모바일 결제 서비스를 이용할 수 있다는 것. 비자 측도 이번 BBVA의 HCE NFC 서비스 도입이 고객들에게 모바일 결제 서비스 접근성을 높이면서 비접촉식 모바일 서비스 확산에 필요한 ‘타임 투 마켓(time to market)’ 전략을 제공하게 될 것이라고 평가했다.

금융권 HCE NFC 도입 추진 잇따라

마스터카드는 최근 미국에서 스페인의 ‘사바델은행(Banco Sabadell)’, 미국 금융기관 ‘캐피털 원(Capital One)’과 HCE NFC 결제 테스트를 진행했다. 이들과의 협업으로 마스터카드는 임베디드 방식과 SIM 기반 SE에 HCE NFC 규격을 추가했다.

마리오 실리아스키 마스터카드 수석부사장은 “어떤 환경에선 HCE가 SE 방식보다 분명히 의미 있는 기술이 될 것”이라며 HCE가 빠른 속도로 확산될 것이라고 자신했다. 그는 “이번에 진행한 HCE NFC 결제 테스트가 모바일 결제 정책의 방향을 잡는데 큰 도움을 주었다”면서 연내 전 세계 금융기관과 협의해 HCE NFC 결제 도입에 힘쓰겠다고 언급했다. 그는 또 “고객들은 자신의 필요와 라이프스타일에 맞는 최상의 방식으로 쇼핑하고 자신이 보유하고 있는 단말기로 결제한다”며 HCE가 매력 넘치는 NFC 결제 방식이 될 것이라고 설명했다.

아메리칸 익스프레스도 HCE NFC 결제를 시험하고 있다. 아메리칸 익스프레스는 현재 크로아티아에서 이탈리아 ‘인테사 산파올로’ 금융그룹의 계열사인 ‘프리브레드나 방카 자그레브(PBZ)’와 HCE NFC 결제를 시험 운영하고 있다. PBZ의 HCE 시험이 성공한다면 모기업인 인테사 산파올로의 국제금융 네트워크를 통해 HCE 결제 방식이 확산될 수 있는 계기를 마련할 수 있을 것으로 보인다.

인테사 산파올로 측은 이번 PBZ의 HCE 시험은 크로아티아를 시작으로 다른 지역으로의 서비스 확산 시금석이 될 것이라고 강조했다. 물론 아메리칸 익스프레스도 크로아티아에서 이뤄지고 있는 이번 HCE NFC 결제 시험이 새로운 NFC 결제 방식의 확산에 촉매제가 될 것으로 기대하고 있다.

1억 명의 고객을 확보하고 있는 유럽 3위 은행인 러시아의 ‘스베르’도 모스크바에서 임베디드 방식 SE NFC 지불 결제를 시작한 데 이어 올해 중에 HCE 지불 결제 테스트를 하겠다는 계획을 세워 놓고 있다. ‘시퀀트 소프트웨어’의 클라우드 기반 디지털 카드 발행 솔루션을 적용할 예정이다.

미르체아 미하에스쿠 스베르뱅크 매니징 디렉터는 “현재 SE NFC 지불 결제를 소규모로 선택된 고객 대상으로 진행하고 있는데 향후 SE NFC와 HCE 지불 결제를 더욱 큰 규모로 복합 진행할 것”이라고 설명했다.

스페인 ‘방킨테르(Bankinter)’는 올해 3분기 안에 HCE NFC 결제 방식을 도입할 계획이다. 방킨테르는 지난해 ‘모바일버추얼카드’(MVC)라는 개념을 발표했는데 현금카드와 신용카드를 한 번 만들면 소매점에서 모바일 상거래와 비접촉식 카드 결제를 가능하도록 한다는 내용이다. MVC는 기존의 IC카드 표준인 EMV를 기반으로 진행되고 있지만 다른 앱도 복합 적용하겠다는 방침이다. 올해 3분기 안에 HCE NFC 결제를 도입한다면 모바일 결제 정책에 상당한 변화가 예상된다.

야고보 디아즈 방킨테르 혁신·마케팅 담담 임원은 “블랙베리에 이어 구글이 안드로이드 4.4 킷캣에서 HCE를 지원함에 따라 고객들에게 좀 더 넓은 시각에서 새로운 서비스를 제안할 수 있게 됐다”며 HCE 기술 도입에 호응하는 자세를 보였다.

‘웨스트팩(Westpac)’도 뉴질랜드에서 HCE 파일로 프로젝트를 진행하고 있다. 웨스트팩은 일부 고객과 직원들을 대상으로 3개월 동안 시험한 뒤 내년부터 HCE NFC 결제 서비스를 본격 도입하겠다는 계획이다. 우크라이나의 ‘프리밧은행(PrivatBank)’도 올해 2월 HCE NFC 지불 결제를 도입했다. 프리밧은행 측은 HCE가 독특하며 매우 쉬운 솔루션이라며 도입 배경을 설명했다.

HCE의 최대 과제, 보안 취약 우려

이처럼 HCE NFC 결제 방식이 확산될 기미를 보이고 있지만 아직 HCE NFC 결제 방식이 해결해야 할 부분이 적지 않다. 보안상 취약점이 최대 숙제다.

NFC 결제 방식은 스마트폰에 탑재된 NFC가 무선통신상의 보안 위협을 기본으로 안고 있으며, 스마트폰의 악성코드 문제도 골칫거리다.

스마트폰의 개인인증 방식이 모바일 결제 확산에 걸림돌이 될 수도 있다. 스마트폰 업체들이 지문인식 등 새로운 인증 수단을 제공하는 것도 이 같은 이유에서다. 여기에 더해 HCE 방식은 그동안 SE에 존재하던 비밀 암호키 등 정보가 클라우드로 이전되기 때문에 또 다른 위험 요소가 존재하는 것이다. 또한 SE NFC 결제 방식은 다소 오랜 시간 실제 현장에 적용되면서 기능상으로 많이 성숙해진 데 반해 HCE NFC는 아직 충분한 현장 검증 과정을 거치지 못했다. 기존의 SE 방식은 오프라인 결제 상황에서도 유용한 도구인 데 반해 HCE NFC 방식은 항상 온라인에 연결되어 있어야 한다는 한계도 단점으로 인식되고 있다.

기존 사업자들의 HCE NFC 저항감도 심한 편이다. SIM카드 제조업체 연합체인 ‘SIM얼라이언스’는 올 4월 HCE의 보안 취약점을 경고하기도 했다. 클라우드 HCE가 활성화되면 다른 대안을 모색해야 할 상황인 SIM카드 업계로선 마땅한 문제 제기다. SIM얼라이언스는 ‘SE의 전개와 HCE’라는 보고서에서 “HCE가 NFC 생태계 전반에 좋은 영향을 미치고 있지만 SE 방식에 비해 미성숙하고 비표준화되어 있다”고 비판했다.

특히 악의성 공격에 취약하다는 지적이다. 프레데릭 바스니에 SIM얼라이언스 회장도 언론과의 인터뷰에서 “항시 유용한 기능을 요구하지 않는 낮은 가치의 앱에 HCE가 적합하다”고 혹평했다.

GSMA의 클레어 크랜턴 미디어 담당 이사는 당분간 SIM카드 NFC 지불 결제의 우세를 점쳤다. 그는 “HCE라는 새로운 기술이 도래했음에도 올해 NFC SIM카드 보급이 지난해보다 3분의 2가량 증가할 것”이라면서 “당분간 지불결제 사업자들에게 SIM카드 SE 방식이 가장 유력한 선택지가 될 것”이라고 내다봤다. GSMA NFC 담당 임원인 피에르 콤벨도 “NFC SIM카드에 SE를 탑재하는 것과 클라우드 방식의 HCE 간에는 분명 성숙도 면에서 차이가 있다”면서 “중요한 것은 보안과 위험관리를 주의 깊게 관찰하는 것”이라고 지적했다. 그렇지만 HCE에 충분한 가능성이 열려 있다는 점은 인정했다.

검증 필요한 HCE…당분간은 SIM SE와 공존

카드업체가 HCE NFC에 승부수를 던지고 있지만 아직은 수많은 검증 과정이 필요해 보인다.

디지털 결제 분야 전문 솔루션 업체인 컨설트 하이페리온은 지난 6월 GSMA와 공동으로 ‘HCE와 SIM 보안 요소는 흑과 백이 아니다(HCE and SIM SecureElement: It’s not Black and White)’라는 제목의 보고서를 발표했다. 이 보고서는 SIM SE와 HCE NFC가 각각 금융기관에 중요한 이점을 제공하고 있다는 결론을 잠정 내렸다. HCE와 SIM SE 기반 모바일 결제가 상호 대립하는 관계로 인식되어서는 안 된다는 지적이다. 다양해지고 있는 앱과 시장에서 두 방식의 장점을 조합하는 게 더 적절할 수 있다는 것. 이 보고서는 HCE가 SE를 사용하지 않는다는 측면에서 모바일 NFC 결제 생태계를 일부 간소화한 측면이 있지만 생태계 통합, 리스크 관리, 인증 프로세스 관점에서 보면 이미 상업상으로 증명된 SIM SE가 훨씬 유용한 수단이라고 평가했다.

컨설트 하이페리온 측은 이 같은 사실을 바탕으로 몇 가지 중요한 제안을 한다. 우선 새로운 모바일 결제 방식 도입 이전에 해당 지역의 환경 이해와 유연한 전략의 필요성이 있다는 지적이었다. 해당 지역의 금융 및 IT 환경에 맞게 SIM 보안 요소와 HCE NFC 결제 방식을 선택 도입하고, HCE의 보안과 인증의 결함 문제를 보완하기 위해 하이브리드 방식 모바일 솔루션을 검토할 가능성도 열어 둬야 한다고 제안하기도 했다. 또한 오프라인이 중시되는 특정 거래 환경에선 HCE보다 SIM 보안 요소가 현명한 대안이 될 수 있다고 덧붙였다.

모바일 결제 시장에서 최근 급부상하고 있는 ‘토큰화(tokenization)’ 이슈도 HCE NFC 결제와 함께 검토되어야 할 사안이다. 지난해 10월 비자, 마스터카드, 아메리칸 익스프레스 등 카드결제 네트워크사들은 기존의 ‘PAN(Primary Account Number: 카드 고유번호)’을 대체하는 ‘토큰’(암호화된 번호) 표준화를 추진하겠다고 발표했다. 거래 때 신용카드 번호 대신 토큰을 사용하면 신용카드 업계가 고민하고 있는 민간자율보안 규정인 ‘PCI DSS(Payment Card Industry Data Security Standard) 리스크’를 상당 부분 줄일 수 있을 것으로 전문가들은 보고 있다.

토큰 방식은 신용카드 고유번호가 유통되는 것이 아니라 임시 발급되는 토큰 사용으로 신용카드 결제가 이뤄진다. 생성된 토큰은 특정 가맹점과 특정 채널에서만 임시 사용된다. 신용카드 가맹점에서 고객의 신용카드 정보를 저장할 필요가 없으며, 토큰 정보가 외부에 유출되더라도 걱정할 필요가 없다. 토큰 도입이 시사하는 바는 앞으로 HCE NFC 모바일 결제가 도입되더라도 ‘토큰화’라는 이슈와 별개로 갈 수 없다는 점이다.

HCE NFC에 ‘토큰화’ 기술을 수용한다면 신용카드 결제 때 발생하는 근본 보안 문제를 해결할 수 있을 것으로 기대되고 있다. 애플은 최근 ‘아이폰6’를 발표하면서 ‘애플페이’라는 SE의 NFC 결제 방식을 공개했다. 애플페이에는 토큰 기술이 적용된다. 앞으로 ‘토큰화’는 카드업계의 핫 이슈가 될 전망이다.

신용카드 업계가 새로운 대안으로 내세운 HCE NFC 결제 방식이 앞으로 카드업계와 은행업계에 얼마나 확산될 수 있을지는 예단하기 어렵다. 다만 현재 각 은행과 카드사가 HCE에 쏟는 관심은 분명 모바일 결제 시장의 체제 개편을 예고하기에 충분하다.

글=장길수 IT칼럼니스트

[핀테크①] IT, 금융으로 진격하다

[핀테크②] 모바일 페이먼트 시장의 글로벌 합종연횡

[핀테크③] 금융 재창조하는 핀테크 스타트업들

[핀테크④] 핀테크 바람에도 국내금융 입지 튼튼

[핀테크⑤] 글로벌 기업들 넥스트 머니 겨냥한 움직임 본격화

[핀테크⑥] 결제 방식 변화에 따른 전자지불(PG)업계 대응 방안

[핀테크⑦] 카드업계 승부수 HCE NFC

[핀테크⑧] 기대 저버린 NFC, 되살아날까

[핀테크⑨] 금융에 들어온 바이오 인식 기술

[핀테크⑩] 비트코인, 직거래 가능한 국제금융 네트워크이자 글로벌 화폐

[핀테크⑪] 크라우드 펀딩, 집단지성 통해 혁신기업 탄생 지원

[핀테크⑫] 컴퓨터와 수학으로 돈의 흐름을 예측한다





테크앤비욘드 편집부

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>