어떤 나라 든 외국을 방문한 외국인은 크고 작은 문화적 충격을 경험한다.

자신이 정신적으로 속해있는 모국의 문화와는 전혀 다른 이국 문화를 경험했을 때 느끼는 충격은 2 회에 걸쳐 일어난다. 처음에는 익숙하지 않은 문화를 접한 때의 충격과 그 나라의 문화에 어느 정도 익숙해 져 자신의 나라에 돌아 왔을 때, 새삼 느끼게된다 낯선 느낌이다.

한국 국가 신용 거래의 나라

한국인으로서 일본에서 생활하면서 적잖은 문화 충격을 경험했다. 그 중에서도 대표적인 것이 현금 사용과 관련된 문화이다. 한국에서는 정말 신용 카드 만 가지고 생활했다. 신용 카드로 전철 · 버스 · 택시 등의 대중 교통을 이용하거나 밥을 먹거나 쇼핑을하는 등 모든 일상적인 활동을 카드 하나로 해결했다. 최근에는 카드도 귀찮아지고 지갑도 지니지 않은 채 스마트 폰 하나만 가지고 나가서 있었다. 편의점에서 스마트 폰을 단말기에 대면 즉시 결제가 완료된다. 인터넷 쇼핑도 은행도 모든 스마트 폰에서 처리가 가능하기 때문에, 정말 휴대 하나로 일상의 모든 것을 해결할 수있는 것이다.

하지만 일본에 와서 보니 항상 현금을 준비해야한다 것이 일단 불편했다. 신용 카드를 취급하지 않는 가게도 의외로 꽤 많은 카드 결제는 할 수 있지만, 결제 처리에 상당한 시간이 소요되는 가게도 많았다. 그렇게되면 "카드 결제 할 수 있습니까?"라고 묻는 것도 조금 거리낌이 있었다. 한국과 문화가 완전히 다르다. 확실히 대대로 이어져 온 전통에 NFC 방식의 모바일 지불 기능을 지원하는 최신의 POS 단말기가 놓여있는 것도 좀 이상하게 보이는 것 같다. 그럼에도 편리함의 중독성은 정말 무서운 것으로 세상이 조금씩 변화 해 나갈 때는 그 변화에 주목하지만 다시 과거로 돌아 가려고하면 매우 불편 절대 돌아 오지 못할 것이다. 그래서 일본의 현금 문화는 아직 매우 불편하게 느껴진다.

어쨌든, 그렇게 밖에 없기 때문에 현금을 가지고 외출하는 것에 익숙해 밖에 없었다. 그리고 어느 정도 익숙해 진 때 한국으로 돌아왔다. 그러자 또한 이것은 이상한 생각이된다. 이 편리함은, 아니, 이건 정말 좀 무서운 것 아닌가. 이것은 대담한 너무 않을까. 신용 카드 결제의 보안 규격에서 "트랙 1"에 기록 된 은행 계좌 정보 '트랙 3'의 제휴사 정보 등의 결제와 직접 관련이없는 정보를 저장하는 트랙과 달리 신용 카드의 카드 번호, 발행일, 만료일 등 결제 과정에서 필수적인 정보를 저장하는 '트랙 2'민감한 정보는 만약 탈취 된 경우 누구나 어디서나 임의로 결제 할 수있다. 그래서 암호를 포함한 트랙 2 데이터는 국제 암시장에서 당 $ 4,000 정도에 거래되는 매우 가치가 높은 정보이다. 그런 정보가 특별한 확인 절차없이 이렇게 광범위하게 마구 유통되고도 과연 안전한가? 5 만원 이하의 거래는 서명 절차도 생략하고 그대로 결제된다. 편리하지만 불안하다.

안전하지만 어려운 ' PCI DSS '

물론 신용 거래 안전을위한 장치이다. 신용 거래의 안전을 담보하는 가장 일반적인 기준이며, 사실상의 국제 표준은 'PCI DSS'이다. 'PCI DSS'는 신용 카드 회원의 카드 정보 및 거래 정보를 안전하게 관리하기 위해 신용 거래의 전 과정에 걸쳐 거래와 관련한들이 함께 준수해야한다 신용 산업 보안 표준 있다. PCI DSS가 등장하기 전에 신용 카드 회사마다 각각 다른 보안 기준을 요구했다. 그래서 신용 카드 가맹점 사업자들은 각 회사의 다른 기준을 모두 맞춰야 않았지만, 이것은 어렵고 비용도 많이 내야했다. 이러한 불편 함을 해소하기 위해, JCB, 아메리칸 익스프레스, Discover, MasterCard, VISA 등 국제 신용 카드 회사가 공동으로위원회를 조직하고 'PCI DSS'라는 규격을 책정했다. 회사들의 약속에 불과하지만 사실상 국제 표준으로 통용된다.

신용 거래의 기준으로 "EMV 규격 (EuroPay, MasterCard, Visa간에 합의한 IC 카드 통일 규격)"를 사용하는 일본도 PCI DSS 표준을 준수하는 보안 대책을 수립하고있다. 2020 년 3 월을 목표로 PCI DSS 준수 EMV 표준 IC 카드의 보안 대책을 내놓았다. 그런데 어렵고 비용도 들기 때문에 PCI DSS를 밝힌 것이지만, 이것도 여전히 어렵고 복잡하다. POS 가맹점 기준으로 PCI DSS 표준을 준수하기위한 노력과 비용은 상당하다 것이다. 작고 예쁜 가게 하나를 내고 싶다는 꿈이 있어도 신용 거래 기준을 맞추는 것이 어려워 아예 포기해야 할 정도 다.

이러한 문제를 한국은 "VAN (Value Added Network)"회사가 신용 거래 과정의 중간 단계에서 해결한다. VAN 회사들은 신용 카드 회사 대신 가맹점을 모집하고 단말기 등의 장치를 제공하여 카드 결제 승인 과정을 중계 해주고, 매출 데이터를 정리하는 전표 매입 서비스 등을 제공한다. 신용 카드 회사와 가맹점의 귀찮은 일을 대신 해주는 것이니까, 일단 편리하지만, 거래 1 건마다 별도의 부과되는 수수료가 결코 적지 않다. "VAN 수수료 인하!"가 정치인들의 선거 공약이 될 정도 다. 개업 때 함께 많은 부과하거나 장사하면서 조금씩 부과 하나를 선택하는 것이다. 그리고 중간에 마진을 얻는다는 사업의 특성으로 인해 대형 유통사를 상대로 한 부정 부패 등의 사건도 종종 일어난다. 높은 비용 문제를 몇번인가 피하려고하는 동안 오히려 훨씬 크고 무서운 다른 문제를 만난 것이다.

신용 거래 보안, P2PE 어두운 호 화에서 안전

PCI DSS는 안전하다. 그러나 가맹점의 입장에서는 어려운 일이기도하다. 이것은 마치 '고양이 목에 방울을 붙인다. "와 같은 문제였다. 쥐의 입장에서는 고양이의 목에 방울을 달고 만하면 안전하지만, 이것은 도대체 붙이는 마음이 생기지 않는 것이다.

그러나 2017 년 3 월 개정 된 「신용 카드 거래의 보안 대책 강화를위한 실행 계획 2017」이 발표되었다. 해당 지침은 2016 년 지침과 크게 다를 바는 POS 가맹점에 요구 된 보안 속에서 비 보유 및 PCI DSS 대응 부분에서 "비 보유"의 방법으로 "암호화"를 추가하고 그 내용으로 PCI DSS 표준에서 "PCI P2PE (Point to Point Encryption)의 구조를 언급하고 있다는 점이다."PCI P2PE "는 카드 회원의 민감한 정보를 카드 리더 단말기에서 결제 승인 되고 처리되는 서버까지 안전하게 전송하고 처리하는 방식에 대한 규정이다. 그 기본 기술은 '암호화'이다. 그대로 암호화가 아니라 "P2P 암호화", 즉 신용 카드 단말기에서 카드 회사의 응용 프로그램 서버를 거쳐 데이터베이스에 저장 될 때까지 데이터가 이동하는 전 과정에 걸쳐 "종단 간 암호화 '이다. 이것은 "E2E (End to End)"암호화라고도 부른다. 이른바 '지갑에서 서버까지 "의 의미이다.

P2PE 또는 E2EE이 현실적이지 못하다는 주장을하는 사람들도 있지만, 이것은 해당 용어를 문자 적 ​​의미로 이해했기 때문이다. 종단 간 암호화는 단말기에서 정보를 암호화하여 통신 구간에서 SSL을 사용하거나, 구간 암호화를 활용하여 아무 문제없이 쉽게 구현할 수있는 기술이다. 안전하고 간단하다. 그래서 어렵고 복잡한 PCI DSS 표준에서 먼저 P2PE에서 적용해야한다는 것이다. 다른 나라에서도 이미 일반적으로 실시하고있는 조치다. 한국에서는 P2PE 조치를 취하지 않았다 신규 가맹점은 사업을 시작할 수 없다.

그 충분한 안전성의 근거는 "DUKPT (Derived Unique Key Per Transaction) '이다. "DUKPT"는 카드 리더 단말기와 서버 사이에 민감한 정보가 전송 될 때마다 매번 새롭게 생성되는 "One Time Encryption Key"를 사용하여 어두운 복호화하는 키 관리 기술이다. 모든 신용 거래 보안은 고유의 암호화 키를 사용한다. 그러나 키 관리에 문제가 발생한다면, 도어에 자물쇠를 걸려 자물쇠 옆에 열쇠를 두는 것과 마찬가지로 전혀 안전하지 않다. 그 중에서도 가장 취약한 상태는 하나의 키를 암호화 및 복호화에 같이 사용하는 것이다. 자물쇠를 걸어 빨리 열쇠를 누군가에게 줄 것과 같다. 그러나 DUKPT는 민감한 정보를 보낼 때마다 한 번만 사용되는 키를 사용하기 때문에 만일 키가 노출 될 수 일어나도 그 열쇠는 오직 트랜잭션에만 유효하기 때문에 악용 있는 위험이 매우 적다. 따라서 DUKPT는 PCI DSS 표준에 가장 적합한 암호화 방식으로 적당 것이다.

결론은 신용 거래시 DUKPT 등의 적절한 암호화 기술을 이용하면 충분한 보안 효과를 얻을 수 있다는 것이다. 리더 단말기에 카드 정보를 읽는 동시에 정보를 암호화 해 버리면 그 정보는 누가 훔쳐 사용할 수 없기 때문에 원래 처음부터 읽지 않을 것이다. 그리고 그 상태에서 서버까지 보내고 또한 서버로부터받은 정보도 같이 처리하면 신용 거래 과정 어디에도 정보가없는 것과 마찬가지다. 훔치려하더라도 도난한다. 그래서 적절한 암호화 기술을 이용하면 충분한 보안 효과를 얻을 수있는 것이다.

즉, PCI DSS에서 "P2PE"종단 간 암호화를 통해 '트랙 2'의 정보 만 지갑에서 서버까지 안전하게 지킨다면 충분한 보안을 달성 할 수있다.