작성자: Matt Charpentier
보도일자: 2025년 2월 4일
출처: Biometricupdate.com


이렇게 상상해 보세요. 온라인 결제를 할 때마다, 보이지 않은 곳에서 치열한 체스 게임이 벌어지고 있습니다. 당신이 인식하든 못하든, 이 게임에서는 해커들이 정교한 사기를 이용해 정보를 탈취하려 하며, 각종 위협이 도사리고 있는 환경을 헤쳐나가야 합니다. 당신이 하는 모든 거래는 이 디지털 체스판 위에서의 한 수이며, 그 판돈은 바로 당신의 개인 정보와 금융 보안입니다. 그러나 이것은 단순한 비유가 아닙니다. 오늘날의 디지털 시대에서 안전한 결제의 핵심은 ‘신원 인증’이며, 온라인 사기가 급증함에 따라 신원 도용은 소비자와 기업이 신뢰와 보안을 보장받을 수 있는 경험을 더욱 절실히 찾게 만드는 주요 위협이 되고 있습니다.

사이버 범죄는 모든 산업에서 큰 위협이 되지만, 특히 결제 분야에서 그 위험이 더욱 큽니다. 2023년, 미국 성인들은 사기로 인해 100억 달러(약 13조 원)를 잃었으며, 이는 범죄자들이 기존의 방어 시스템을 뚫는 데 성공했음을 보여주는 암울한 지표입니다. 지난해에는 약 80%의 기업이 결제 사기의 피해를 입었으며, 디지털 거래에서의 사기율은 오프라인 카드 거래보다 무려 7배나 높았습니다.

다행히도, 기술과 데이터, 그리고 결제 생태계의 준비 태세가 발전함에 따라 보다 안전하고 개인화된, 그리고 매끄러운 결제 경험이 가능해질 전망입니다. 디지털 패스키(passkey) 기술을 기반으로 한 새로운 신원 인증 방식은 위협으로부터 소비자를 보호하는 방패 역할을 하며, 마찰 없는 결제 과정으로 고객 만족도를 높이는 핵심 요소가 될 것입니다. 올해 말부터 이러한 변화가 본격적으로 가시화 될 것이며, 결제 패스키가 대규모로 도입되면 보다 원활하고 안전한 인증을 통해 결제 경험을 한층 더 향상시킬 것으로 기대됩니다.

신뢰할 수 있는 디지털 신원으로의 전환

전자상거래(e-commerce)에서 가장 큰 과제 중 하나는 거래를 시도하는 소비자가 실제로 본인이 맞는지를 확인하는 것입니다. 전통적으로는 상점(가맹점)과 카드 발급사(issuer)가 거래 중 또는 거래 후에 고객을 인증하는 역할을 맡아왔습니다. 결제가 승인되면, 해당 승인 과정은 결제 생태계 내 다양한 보안 시스템과 위험 방어 체계를 거치며 진행됩니다.

하지만 이러한 과정에서 발생하는 마찰(friction)은 점차 사라질 전망입니다. 실시간 결제 네트워크(RTP, Real-Time Payment)와 오픈 뱅킹(Open Banking) 프레임워크의 발전으로 인해 ‘디지털 신원(digital identity)’과 ‘능동적 인증(active authentication)’ 개념이 더욱 중요해졌습니다. 이제 인증(authentication)은 거래가 진행될 때나 이후가 아니라, 사전에 이루어져야 합니다. RTP 시스템에서는 신원이 확인된 사용자가 신뢰할 수 있는 수취인에게 거의 실시간으로 자금을 이체 할 수 있습니다. 이러한 ‘확인된 신원(known identity)’ 개념이 더욱 확산될 것이며, 앞으로는 신뢰할 수 있는 디지털 신원이 소비자와 가맹점이 의존할 수 있는 기반이 되어 결제 프로세스를 더욱 간소화할 것입니다.

이러한 혁신을 가속화하는 데 있어 FIDO2(Fast Identity Online), EMV, 그리고 W3C의 보안 결제 확인(Secure Payment Confirmation)과 같은 상호운용 가능한 표준이 중요한 역할을 합니다. 패스키(passkey)는 기존의 비밀번호나 SMS 기반 일회용 비밀번호(OTP)보다 보안성이 뛰어나고, 소비자가 더욱 간편하게 사용할 수 있는 인증 방식입니다.

패스키는 원래 비밀번호를 대체하기 위해 개발되었지만, 현재는 결제 분야를 포함한 다양한 영역으로 빠르게 확장되고 있습니다. 결제 패스키(payment passkey)는 차세대 인증 자격 증명으로, 소비자의 기기에 로컬로 저장됩니다. 사용자는 스마트폰 잠금을 해제하듯이 결제를 인증할 수 있으며, 생체 인증(지문 또는 얼굴 인식)을 통해 암호학적으로 인증 증명을 제공할 수 있습니다. 중요한 점은, 패스키는 OTP와 달리 피싱(phishing) 공격에 강합니다. 이는 공개 키 암호화(public-key cryptography)를 사용하여 인증 자격 증명이 해커에게 가로채이거나 악용되지 않도록 보장하기 때문입니다.

예를 들어, 호주에서는 AI 기반 사기에 대한 취약성을 이유로 SMS OTP에 대한 의존도를 줄이려는 노력이 확대되고 있습니다. 금융 기관들은 생체 인증, 인앱 인증(in-app authentication), 패스키 등 더 발전된 인증 방식을 점점 더 도입하고 있습니다. 이러한 변화는 정교한 사기 및 금융 범죄로부터 소비자를 더욱 강력하게 보호하기 위한 것이며, 생체 인증 및 인앱 인증과 같은 최신 기술 발전에 맞춰 보안 표준도 지속적으로 진화해야 함을 보여줍니다.

생체 인증과 결제 자격 증명의 연결

결제 분야에서 패스키(passkey)는 사용자의 생체 정보(지문, 얼굴 등)와 기기(소유한 디바이스), 그리고 결제 자격 증명(디바이스 토큰 등)을 하나로 연결하는 역할을 합니다.

그 잠재적 범위는 매우 넓습니다. 지난 10년 동안 출시된 모든 스마트폰에는 기본적으로 생체 인증 기능이 탑재되어 있습니다. 또한, FIDO(Fast Identity Online) 얼라이언스는 생체 정보를 활용한 온라인 신원 인증을 위한 업계 표준을 개발했으며, 이는 비접촉식 칩 카드에서 사용되는 공개 키 인프라(PKI)와 유사한 기술을 활용합니다. 현재 FIDO는 40억 개 이상의 디바이스와 모든 주요 운영체제 및 브라우저에서 기본적으로 지원되고 있습니다.

패스키를 기반으로 한 새로운 인증 방식인 보안 결제 확인(Secure Payment Confirmation, SPC)은 규제 요건을 충족하는 동시에 온라인 거래에서 사기를 줄이는 데 도움을 줄 수 있습니다. Visa는 현재 SPC를 시범 운영하고 있으며, 이는 온라인 위협으로부터 강력한 보호 기능을 제공하면서 EU의 PSD2(개정 지급결제 서비스 지침)에서 요구하는 강력한 고객 인증(SCA)을 지원합니다. SPC는 발급사(issuer)가 제공하는 FIDO 인증을 활용하여 가맹점(merchant)이 인증을 수행하는 방식으로, 높은 보안성을 유지하면서도 사용자가 익숙한 결제 흐름을 경험할 수 있도록 설계되었습니다. 초기 시범 운영 결과, SPC는 인증 과정에서의 마찰을 줄이고, 결제 포기율을 낮추며, 카드 기반 결제의 경쟁력을 높이는 것으로 나타났습니다.

우리의 일상 활동이 점점 더 디지털화됨에 따라 ‘내가 나임을 증명하는 것’이 그 어느 때보다 중요해지고 있으며, 그 중심에 전자상거래가 있습니다. 결제 패스키는 결제 방식의 혁신을 위한 첫걸음이며, 업계는 단순히 거래를 중개하는 것이 아니라, 모든 이해관계자가 신뢰하고 안심할 수 있는 환경을 조성하는 데 집중하고 있습니다.

저자 소개

매트 샤펀티어는 비자의 글로벌 인증, 신원 및 탭 부문 부사장입니다.