디지털 결제 지갑은 최근 몇 년간 급격히 증가했으며, 2026년까지 전 세계적으로 52억 명의 사용자가 예상됩니다. 하지만 ApplePay, GPay, PayPal이 제공하는 빠른 결제의 인기에 불구하고, 새로운 연구는 이러한 지갑의 보안성에 의문을 제기하며, 신원 도용과 사기를 방지하기 위해 인증 방식의 변화가 필요하다고 경고하고 있습니다.

매사추세츠 대학교 애머스트와 펜실베이니아 주립대학교의 연구원들은 디지털 지갑을 통한 금융 거래의 보안을 분석했으며, 인증, 승인, 접근 제어 보안 기능에 중점을 두었습니다.

확인된 문제 중 하나는 인증 방법이 결정되는 방식에 대한 취약성입니다. 은행은 보통 사용자 인증 방법의 선택을 지갑에 위임합니다. 일반적으로 두 가지 유형의 인증 방법이 사용됩니다: 지식 기반 인증(KBA)과 다중 요소 인증(MFA). 스마트폰에서 카드 소지자 인증 방법(CVMs)에 관해서는 일반적으로 비밀번호, 패턴 또는 기기 고유의 생체 인증이 사용됩니다.

하지만, 인증 권한을 위임하는 것이 효율적이고 확장 가능하다는 점에서, 이는 보안을 저해한다고 연구원들은 주장합니다.

"우리는 모든 지갑에 대해 은행이 완벽하고 일관된 인증 정책을 강제하지 않는다는 점을 확인했습니다,"라고 연구는 말합니다. "이러한 인증 위임은 공격자가 은행에 약한 인증 절차를 수용하도록 강요할 수 있다는 점에서 결함이 있으며, 이는 여러 가지 보안 취약성을 초래합니다."

"우리가 신뢰하는 지갑: 공짜 쇼핑을 위한 디지털 지갑 결제 보안 우회"라는 제목의 논문은 몇 가지 공격이 심각한 결과를 초래할 수 있다고 경고합니다. 여기에는 은행이 도난 카드를 차단했지만, 도둑이 훔친 카드로 구매를 하는 것이 포함될 수 있습니다. 디지털 지갑은 민감한 개인 및 금융 정보를 요구하기 때문에, 보안 문제가 발생하면 신원 도용과 금융 사기로 이어질 수 있습니다.

연구원들은 디지털 지갑의 보안 문제를 해결하기 위한 몇 가지 해결책을 제안하고 있으며, 여기에는 전통적인 OTP 기반 인증 방법 대신 푸시 MFA 및 비밀번호를 채택하는 것이 포함됩니다. 논문에서는 서버 측 생체 인증에 대해 명시적으로 언급하지 않았습니다. 다른 해결책으로는 토큰 관리에서 지속적인 인증을 사용하고, 일회성 거래와 반복 거래를 구분하는 것이 있습니다. 결제 앱의 보안 강화와 카드 범죄에 대한 보안도 필요할 것이라고 논문은 결론짓습니다.

한편, 디지털 지갑은 결제 뿐만 아니라 신원 확인 및 접근 제어에도 계속해서 인기를 얻고 있습니다.