애플페이(Apple Pay)의 동작원리
애플페이의 국내출시가 공식적으로 발표된 김에 출시를 기다리는 동안 애플페이가 어떻게 동작하는지 공부를 해둘까 싶어서 글을 시작하게 됐습니다. 애플페이를 사용하면 실물 카드를 들고다니지 않아도 된다는 장점 외에 신용카드 정보를 보다 안전하게 보관할 수 있다는 장점도 생기는데, 애플페이를 구성하는 하드웨어와 소프트웨어 요소들이 어떻게 신용카드 거래의 보안성을 향상시키는지를 주로 살펴보겠습니다. 애플페이는 맥이나 아이패드와 같은 애플 기기를 이용한 온라인 거래시의 간편결제 서비스로 사용될 수도 있지만 이 글에서는 카드 가맹점을 방문해서 아이폰의 지갑앱(Wallet App.)으로 실물카드를 대신하는 경우에 대해 집중합니다.
애플페이 하드웨어
신용카드 정보를 아이폰에 안전하게 보관하고 소유자 본인만이 카드 결제를 진행할 수 있도록 애플페이를 지원하는 아이폰은 Secure Enclave와 Secure Element 2개의 별도 프로세서를 포함하고 있습니다. Secure Enclave는 애플 A-series SoC 칩안에 내장된 보안 기능을 담당하는 프로세서로 Touch ID 또는 Face ID 사용자 인증정보 등을 관리하며, Secure Element는 토큰화된 신용카드 정보를 전용 공간에 저장하고 카드사가 제공한 애플릿(Applet)을 구동하여 NFC를 통해 카드 가맹점의 POS기와 결제를 위해 필요한 정보를 주고 받습니다. 설명한 내용을 요약하면 아래 그림과 같은 구성이 되는데, 애플 플랫폼 보안 사이트에서 제공하는 정보만으로는 Secure Element가 A-series칩 내부에 있는지 별도의 칩으로 존재하는지가 불확실하여 Secure Element 주변은 점선으로 둘러쌌습니다.
보안을 위해 Secure Element에 대한 접근은 오직 iOS 기본앱인 지갑앱을 통해서만 가능하며, Secure Element에서 구동되는 카드사의 애플릿은 iOS의 입장에서는 내부를 볼 수 없는 블랙박스입니다. 지갑앱을 통해 사용자를 인증하고 나면, 나머지 애플페이 결제의 전 과정은 VAN사와 카드사의 결제망에서 이루어지며 보안 체계로 글로벌 카드사들이 정의한 EMV 기술 표준을 따르게 됩니다. EMV는 처음 설립사인 Europay, Mastercard, Visa의 이름의 앞글자를 따온 이름인데, 현재 Europay는 Mastercard에 합병 되었고 Discovery, AMEX, JCB, Union 등 4개사가 추가되어 총 6개 카드사가 EMVCo라는 컨소시엄을 만들어 EMV 표준을 관리하고 결제 솔루션들이 EMV 표준을 만족하는지를 인증하고 있습니다.
지갑앱에 신용카드 등록하기
애플페이를 사용하는 과정은 지갑앱을 통해 아이폰에 신용카드 정보를 저장하는 단계와 가맹점을 방문하여 아이폰으로 실물카드 결제를 대신하는 두 단계로 나뉩니다. 이에 대한 설명은 “How Apple Pay works under the hood?“라는 글을 참조하여 국내사정에 맞게 요약했는데, 첫번째 단계인 지갑앱을 통해 아이폰의 Secure Element에 카드 정보를 저장하는 과정은 아래와 같습니다.
- 카드번호, 이름, 유효기간 등의 정보가 지갑앱을 통해 애플페이 서버로 전달됨
- 애플페이 서버는 카드번호를 통해 카드사를 확인하고 해당 카드사에 Payment Token을 요청
- 카드사는 다시 토큰 서비스 제공자(TSP, Token Service Provider)에게 Payment Token 생성을 요청
- 토큰 서비스 제공자는 Payment Token을 생성한 후 Payment Key(암호화 공개키)와 함께 카드사에 전달
- 카드사는 위에서 전달받은 정보에 CVV Key(암호화 공개키)를 추가하여 애플페이 서버에 전달
- 애플페이 서버는 자체 Trused Service Manager를 사용하여 카드사로 부터 전달받은 정보(Payment Token/Payment Key/CVV Key)를 아이폰의 Secure Element에 저장
우선 위의 2번과 6번 단계에서 애플페이 서버는 제휴 카드사의 신용카드만을 처리하기 때문에 애플페이를 통해 카드 결제가 가능하려면 카드사와 애플의 제휴는 필수적이 됩니다. Payment Token은 신용카드 번호를 숨기기 위해 애플페이를 사용할 기기(아이폰)마다 토큰 서비스 제공자(TSP)가 랜덤으로 생성하여 부여하는 대체 신용카드 번호인데, 지갑앱에 카드를 등록한 후 지갑앱에서 삭제할 때 까지 결제시 마다 같은 Payment Token을 계속 사용하게 되며 여러대의 아이폰에 같은 신용카드를 등록한다면 기기마다 다른 Payment Token을 부여받게 됩니다. 한 번 발급받은 Payment Token은 여러번 재사용되지만, 결제 금액, 결제 횟수 등 결제시 마다 변하는 정보가 함께 Payment Key를 사용하여 암호화되기 때문에 거래시 주고받는 정보를 중간에 가로채더라도 Payment Token을 유추해 낼 수 없게 됩니다. 신용카드를 직접 들고다니는 대신 애플페이를 사용하면 신용카드 번호가 노출될 가능성을 줄여주기 때문에 보안성이 향상됩니다.
애플페이로 결제하기
이번에는 두번째 단계인 가맹점에서 아이폰을 이용하여 애플페이 결제를 진행할 때 어떤 일이 일어나는지 살펴 보겠습니다.
- 아이폰 지갑앱에서 Face ID 또는 Touch ID를 통해 사용자인증 후 Secure Element에 탑재된 카드사의 결재 앱을 구동
- Secure Element에서 Dynamic Cryptogram과 Dynamic CVV를 생성한 후 EMVCo의 contactless 표준에 따라 NFC를 통해 가맹점의 POS기에 전달
- Dynamic Cryptogram – Payment Token, 결제 금액, 결제 횟수 등의 정보를 Payment Key로 암호화 하여 생성
- Dynamic CVV – 신용카드 뒷면의 세자리 보안번호인 CVV를 CVV Key로 암호화 하여 생성
- 결제망을 통해 Dynamic Cryptogram/CVV가 토큰 서비스 제공자로(TSP) 전달됨
- 토큰 서비스 제공자는 2에서 사용된 Payment Key와 짝을 이루는 비밀키로 Dynamic Cryptogram의 정보를 해독하여 Payment Token에 해당하는 카드번호, 나머지 결제 정보 및 Dynamic CVV를 카드사로 전달
- 카드사는 전달받은 Dynamic CVV를 2에서 사용된 CVV Key와 짝을 이루는 비밀키로 해독한 후 카드번호와 CVV를 함께 비교하여 결제 요청을 승인
- 카드 결제가 승인되면 가맹점의 POS기는 다시 NFC를 통해 아이폰에 승인결과를 전송하고 지갑앱에 결제가 완료가 표시됨.
조금은 복잡해 보이지만 위의 과정을 통한 결제의 장점은 카드 가맹점을 통해 신용카드 정보가 탈취될 가능성을 줄여준다는 점 입니다. 가맹점의 POS 단말기에는 Payment Token과 결제 금액, 결제 횟수등의 정보를 조합한 1회성 결제정보만 전달되기 때문에 이 정보는 다른 결제에는 사용될 수 없으며 가맹점의 입장에서는 고객의 정보를 안전하게 보관할 책임에서 자유로워 진다는 장점이 생깁니다. 중요한 정보인 카드번호는 엄격히 관리되는 카드사와 토큰 서비스 제공자의 결제망 안에서만 이동하기 때문에 카드 결제의 보안 수준이 높아지는 것이지요.
국내출시가 늦어진 이유
애플페이의 국내 도입이 늦어진 가장 큰 이유는 역시나 비용문제 였습니다. Payment Token을 주고 받기 위해 국제 표준인 EMVCo사의 contactless 표준을 사용하게 되면 국내 카드사는 건당 5~10원 정도의 로열티를 EMVCo측에 내야 한다고 합니다. 이에 더해 애플에서도 애플페이를 통해 발생하는 결제에 대해 카드사가 가맹점으로 부터 받는 수수료의 일부를 떼어줄 것을 요구하고 있습니다. 카드사의 수수료에는 카드 정보 탈취나 카드 분실에 의한 고객의 손실을 보상해주기 위한 비용이 포함되어 있는데, 애플페이는 이러한 사고의 가능성을 줄여주기 때문에 절감한 손실 보상 비용의 일부를 나눠 받아야겠다는 것이 애플의 논리입니다. 카드사가 애플과 수수료를 어떻게 나눌지는 영업비밀의 영역이라 상세히 알 수 없지만, 국내에서는 현대카드가 제일 먼저 협상을 해낸 덕에 애플페이의 국내출시를 기다리고 있는 상황입니다. 최근 기사를 보니 EMVCo 회원사인 비자/마스터 제휴 카드가 아닌 국내 전용 카드에도 Payment Token 발행이 가능해졌다고 하는데, 애플페이 국내 도입과 함께 국내 카드사와 애플사이에 추가로 협상된 내용이 있을지도 모르겠습니다. 국내 언론에는 NFC 지원 POS 단말기의 국내 보급율의 애플페이 출시의 난관으로 많이 언급하는데, 개인적으로는 일단 애플페이가 국내에 출시되면 시간이 해결해 줄 문제라고 생각합니다.
깔끔하고 좋은 글 감사합니다