어느 나라든지 외국을 방문한 외국인은 대소의 컬처 쇼크를 경험한다.

자신이 정신적으로 속한 모국의 문화와는 전혀 다른 이국의 문화를 경험했을 때 느끼는 충격은 2차례 일어난다.처음에는 익숙하지 않은 문화를 접한 때의 충격과 그 나라의 문화에 어느 정도 익숙해져서 자신의 나라로 돌아왔을 때 새삼 느끼게 되는 낯선 느낌이다.

한국국가신용 거래국가

한국인으로서 일본에서 생활하면서도 적지 않은 문화 충격을 경험했다. 그 중에서도 대표적인 것이 현금 사용에 관한 문화다. 한국에서는 정말 신용 카드만 가지고 생활했다. 신용 카드로 전차·버스·택시 등 대중 교통을 이용하거나 밥을 먹고 쇼핑을 하는 등 모든 일상적인 행위를 카드 하나로 해결했다. 요즘은 카드도 귀찮고 지갑만 가지지 않고 스마트 폰 하나만 가지고 밖으로 나왔다. 편의점에서 스마트 폰을 단말기에 가져가자 즉시 결제가 완료된다.인터넷 쇼핑도 은행 거래도 모두 스마트 폰으로 처리가 생기니까, 정말 휴대폰 하나로 일상의 모든 것을 해결할 수 있다.

그러나 일본에 와서 보면 언제나 현금을 준비해야 하는 것이 일단 불편했다. 신용 카드를 취급하지 않는 가게도 의외로 상당히 많으며 카드 결제는 불가하지만 결제 처리에 상당히 오랜 시간이 소요되는 상점이 많았다. 그렇게 되면"카드 결제 가능한가요?"라고 묻는 것도 좀 거리낌이 있었다. 한국과 문화가 완전히 다르다. 확실히, 대대로 내려온 노포에 NFC방식의 모바일 페이 기능을 지원하는 최신 POS단말기가 놓인 것도 좀 이상하게 보일 것이다. 그럼에도 편리함의 중독성은 정말 놀라운 것이어서 세상이 조금씩 조금씩 변화할 때는 그 변화를 모르다가 다시 과거로 돌아가다면 매우 불편하고 절대 들어갈 수 없다.그래서 일본의 현금 문화는 아직 매우 불편하게 느껴진다.

아무튼 그렇게 할 수밖에 없으니 현금을 가지고 외출하게 익숙해지밖에 없었다. 그리고 어느 정도 익숙해졌을 때 한국으로 돌아왔다. 하면 이는 이상한 기분이 들게 된다. 이 편리함은, 아니, 이건 정말 좀 무서운 것 아닌가. 이것은 너무 무모하잖아. 카드 결제 보안 규격 중에서 "트럭 1"에 기록되는 은행의 계정 정보,"트럭 3"의 제휴사의 정보 등의 결제와 직접 관련되지 않은 정보를 저장할 트럭과 달리 신용 카드의 카드 번호, 발행일, 만료 기한 등의 결제 과정에서 필수적인 정보를 저장하는 "트럭 2"의 민감 정보는 만약 탈취된다면 누구라도 어디든지 임의로 결제할 수 있다. 그래서 비밀 번호를 포함한 트럭 2데이터는 국제 암시장에서 1개 당$4,000정도로 거래되는 매우 가치가 높은 정보이다. 그런 정보가 특별한 확인 절차도 없이 이렇게 광범위하게 마구잡이로 유통되고도 과연 안전한가?5만원 이하의 거래는 서명 절차도 생략하고 그대로 결제한다.편리하지만 불안하다.

안전하지만 어려운 "PCI DSS"

물론 신용 거래 안전을 위한 장치는 있다. 신용 거래의 안전을 담보하는 가장 일반적 기준이자 사실상 국제 표준은 "PCI DSS"이다."PCI DSS"는 신용 카드 회원의 카드 정보 및 거래 정보를 안전하게 관리하기 위해서 신용 거래의 전과정까지 거래와 관련된 자들이 함께 준수해야 하는 신용 업계의 보안 표준이다. PCI DSS가 등장하기 전에는 신용 카드 회사마다 다른 보안 기준을 요구했다. 그래서 신용 카드 가맹점 사업자들은 각 회사의 다른 기준을 다 합쳐야 했지만 이는 어렵고 비용도 많이 내야 했다. 이런 불편을 해소하기 때문에 JCB아메리칸 익스프레스, Discover, MasterCard, VISA등 국제 신용 카드 기업이 공동으로 위원회를 조직하고"PCI DSS"라고 하는 규격을 책정했다.회사들의 약속에 불과하지만 사실상 국제 표준으로 통용된다.

신용 거래의 기준으로 "EMV규격(EuroPay, MasterCard, Visa사이에서 합의한 IC카드 통일 규격)"을 사용하는 일본도 PCI DSS규격에 준거한 보안 대책을 수립하고 있다. 2020년 3월을 목표로 PCI DSS에 준거하고 EMV기준 IC카드의 보안 대책을 내놓았다. 그런데, 어렵고 비용도 걸려서 PCI DSS를 내놓은 셈인데 이도 여전히 어렵고 복잡하다. POS가맹점 기준으로 PCI DSS규격을 준수하기 위한 노력과 비용이 상당히인 것이다.작고 예쁜 가게 하나를 내리겠다는 꿈이 있어도 신용 거래 기준을 맞추기가 어려워서 처음부터 포기해야 할 정도다.

이런 문제를 한국은 "VAN(Value Added Network)"회사가 신용 거래 프로세스의 중간 단계에서 해결한다. VAN업체들은 신용 카드 회사 대신 가맹점을 모집하고 단말기 등의 디바이스를 제공하여 카드 결재 승인 과정을 중계하고 주고 매출 자료를 정리하는 전표의 매입 서비스 등을 제공한다. 신용 카드사와 가맹점의 귀찮은 일을 대신했으니 일단 편하지만, 거래 1건마다 별도 부과되는 수수료가 결코 적지 않다."VAN수수료 인하!"이 정치가들의 선거 공약에 가까울 정도이다. 개업 때, 아울러 많은 부과하거나 장사하면서 조금씩 물릴지를 선택하는 것이다. 그리고 가운데 마진을 얻겠다는 사업의 성질에 대형 유통사를 상대로 부정 부패 등의 사건도 자주 일어난다.고비용 문제를 몇번인지 피하려는 동안 오히려 훨씬 크고 무서운 다른 문제에 만난 것이다.

신용 거래 보안P2PE암거래호화로 안전

PCI DSS는 안전이다. 그러나 가맹점 입장에서는 어려운 일이기도 하다. 이는 마치"고양이 목에 방울 달기." 같은 문제였다.쥐의 입장에서는 고양이 목에 방울 달기만 하면 안전하지만 이는 도대체 단 마음에 안 된다.

그러나 2017년 3월 개정된 "신용 카드 거래의 보안 대책 강화를 위한 실행 계획 2017"이 발표됐다. 해당 가이드 라인이 2016년 가이드 라인으로 특히 다른 점은 POS가맹점에 요구된 보안 대책 중이며, 보유와 PCI DSS대응 부분에서 "비 보유"의 방법으로 "암호화"를 추가하고 그 내용으로서 PCI DSS규격 중에서 "PCI P2PE(Point to Point Encryption)의 구조를 언급하고 있다는 점이다."PCI P2PE"이란 카드 회원의 민감 정보를 카드 리더 단말기에서 결제가 승인되고 처리되는 서버까지 안전하게 전송하고 처리하는 방식에 대한 규정이다. 그 기초가 되는 기술은 "암호화"이다. 그대로 암호화가 아니라"P2P암호화", 즉 신용 카드 단말기에서 카드 회사의 애플리케이션 서버를 거쳐서, 데이타베이스에 보존될 때까지 데이터가 이동하는 전 과정에 걸쳐"엔드 투 엔드의 암호화"이다. 이는 "E2E(End to End)"암호화라고도 부른다.이른바"지갑에서 서버까지 "의 뜻이다.

P2PE또는 E2EE가 현실적이지 않다는 주장을 하는 사람들도 있지만 이는 해당 용어를 문자 그대로의 의미로 이해했기 때문이다. 엔드 투 엔드의 암호화는 단말기에서 정보를 암호화하고, 통신 구간에서 SSL을 사용하거나 구간 암호화를 활용함으로써 아무런 문제도 없이 간단하게 구현할 수 있는 기술이다. 안전하고, 간단하다. 그래서 어렵고 복잡한 PCI DSS규격 중에서 우선 P2PE부터 적용해야 한다는 것이다. 다른 나라들도 이미 일반적으로 실시하는 조치이다.한국에서는 P2PE조치를 취하지 않은 신규 가맹점은 사업을 시작할 수도 없다.

그 충분한 안전성의 근거는 "DUKPT(Derived Unique Key Per Transaction)"이다."DUKPT"이란 카드 리더 단말기와 서버 사이에 민감 정보가 전송될 때마다 매번 새로 생성된다"One Time Encryption Key"를 사용하여 암·복호화 할 키 관리 기술이다. 모든 신용 거래 보안은 고유한 암호 키를 사용하지만, 키 관리에 문제가 생긴다면, 문에 자물쇠를 걸려서 자물쇠의 옆에 열쇠를 두는 것처럼 전혀 안전하지 않다. 그 중에서도 가장 취약한 상태는 하나의 키를 암호화와 복호화에 같이 사용하는 것이다. 자물쇠를 채우고 바로 열쇠를 누구한테 주는 것과 마찬가지다. 그러나 DUKPT는 민감 정보를 전송할 때마다 한번만 사용되는 키를 사용하기 때문에 만약 키가 노출되는 일이 일어나도 해당 키는 단지 그 트랜잭션에만 유효하기 때문에 악용될 위험이 매우 적다.그러므로 DUKPT는 PCI DSS규격에 가장 적합한 암호화 방식으로 추천되는 것이다.

결론은 신용 거래 시 DUKPT등의 적절한 암호화 기술을 이용하면 충분한 보안 효과를 얻을 수 있다는 사실이다. 지도자 단말기에서 카드 정보를 읽는 동시에 정보를 암호화하면 그 정보는 누가 훔치고도 안 되서 원래 처음부터 읽지 않게 된다. 그리고 그 상태에서 서버까지 보내고 또 서버로부터 받는 정보 또한 마찬가지로 처리하면 신용 거래 과정의 어디에도 정보가 없는 것과 마찬가지다. 훔치려고 해도 도둑맞지 않는다.그래서 적절한 암호화 기술을 이용하면 충분한 보안 효과를 얻게 된다.

즉, PCI DSS에서 "P2PE"엔드 투 엔드 암호화를 통해서"트럭 2"의 정보만 지갑에서 서버까지 안전하게 지키면, 충분한 보안을 달성할 수 있다.