보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
제로페이 : QR코드에 대해서 2019.03.04 3 5581



1. 개요

2018년 12월 20일부터 시범서비스를 시작한 제로페이가 2019년 3월 정식 서비스 시행을 앞두고 있는 가운데 시행기간 동안 제로페이를 이용했던 시민들이 “제로페이 존으로 선정된 곳에서조차 사용할 수 없다”는 불만과 함께 위·변조가 쉽고 사이버 공격에 쉽게 노출되는 QR코드 결제의 보안 대책이 미흡하다는 평이 존재함에 따라 이번 호에서는 제로페이와 QR코드가 무엇인지 알아보고, 다른 QR코드와의 차이점, 그리고 제로페이 등 국내 QR코드 보안 방안은 무엇이 있는지 살펴보고자 한다. 


[그림 1] 제로페이(https://www.zeropay.or.kr/main.do)


2. 제로페이란?

1) 소상공인 간편결제 서비스

소상공인의 가맹점수수료 부담을 줄이기 위해 정부, 서울시와 지자체, 금융회사, 민간 간편결제 사업자가 협력하여 도입한 공동 QR코드 방식의 모바일 간편결제서비스이다.
제로페이는 별도의 앱이 존재하는 것이 아니라 현재 참여 사업자인 20개 은행 모바일 뱅킹 앱과 9개의 핀테크 앱에 QR코드 결제 기능이 추가되어 시범 운영되고 있다.


[그림 2] 제로페이(https://www.zeropay.or.kr/main.do)


소비자는 이를 통해 기존에 사용하던 간편결제 앱을 그대로 사용하면서 제로페이를 이용할 수 있으며, 소상공인 가맹점 이용금액의 최대 40%(신용카드(최대15%), 체크카드(최대30%))를 소득공제 받을 수 있어 연말정산에 큰 혜택이 주어진다. 또한 각종 문화행사 할인혜택을 받을 수 있다. 


2) 결제 방식

제로페이 결제방식은 “결제코드 제시”와 “앱투앱 결제”가 있다.

① 결제코드 제시



카드처럼 결제 수단을 제시하는 방식으로 소비자가 본인의 QR코드 혹은 바코드 형태의 동적 결제 코드를 제시하고, 가맹점이 이를 리더기로 인식하여 결제한다. 


② 앱투앱 결제


노점과 같이 POS기를 갖추기 어려운 사업장에 적용되는 방식으로 소비자는 제휴 결제 플랫폼사의 앱을 통해 판매자가 게시해 놓은 고정형 QR코드를 카메라로 스캔 후 직접 금액을 입력하여 이체하고 결제 결과를 보여주면 거래가 완료된다.


3. QR코드란?

QR코드(QR code)는 Quick Response 약자로 도요타 그룹의 계열사인 DENSO WAVE가 자동차 부품을 관리하기 위해 개발하였고, 특허를 보유하고 있으나 국가나 국제 규격화된 QR코드에 대해서는 특허권을 행사하지 않겠다고 밝혔다. 

기본적인 QR코드의 특징은 다음과 같다.

① 흑백 격자 무늬 패턴의 매트릭스 형식의 2차원 바코드
② 3개의 위치 찾기 패턴을 통해 360도 어느 방향에서도 인식 가능
③ 기존 1차원 바코드가 가지고 있던 용량 제한을 극복하여 약 7000문자(숫자) 표현이 가능
④ 대용량이면서도, 다른 코드보다 10배 이상 빠른 인식속도
⑤ 코드화 하고자하는 데이터를 분할하여 표현할 수 있는 연속기능을 지원

QR코드는 1~40 버전으로 구성되어 있으며, 버전이 한 단계씩 증가할 때마다 4 Cell/변이 증가하며 이에 따라 담을 수 있는 데이터 양도 증가한다.


[그림 3 ] QR코드 개요사양 (출처 : QRcode.com)


또한 QR코드는 오류복원레벨(L, M, Q, H)을 적용 후 생성 시 코드의 오염이나 손상에도 코드 자체에 데이터를 복원하는 기능이 존재한다. 오류복원레벨(H)을 적용하면 최대 약 30%까지 손상된 코드를 복원하여 해석할 수 있어 오류복원 능력은 향상되지만 데이터가 증가되어 코드의 크기가 커지므로 사용환경에 따라 적절한 조절이 필요하다. 일반적으로 레벨 M(15%)으로 운용되는 경우가 많다.


4. 제로페이가 사용한 QR코드 방식

1) 국내 QR코드 방식(제로페이 등)

제로페이의 경우, 사용된 QR코드 방식에 대한 정확한 명세정보는 제공하고 있지 않으나 2018년 11월 7일 재정된 QR코드 결제 표준에 명시된 내용과 현재 가맹점에 도입된 QR코드를 통해 일부 정보를 확인할 수 있다.



[그림 4] 간편결제를 위한 ‘QR코드 결제 표준‘ 제정 ∙ 공표 (출처 : 금융위원회)


QR코드 결제 표준에서 말하는 ‘국제 표준에 따른 최신 모델’은 QR코드 모델 1을 계량한 모델 2(모델 1보다 담을 수 있는 데이터 양 증대)를 뜻하며, 실제 현재 가맹점에 도입된 제로페이 QR코드는 가로x세로 29 Cell로 구성되어 있어 “버전 3”을 채택하여 사용하는 것으로 추측된다. 버전 3은 오류복원레벨에 따라 영숫자로 35~77 문자까지 표현이 가능한 것을 알 수 있는데 위∙변조를 방지하기 위해 오류 복원률을 일정 수준 이하로 제한하였다는 말은 통상적 오류복원레벨 M(약 15%)보다 아래 레벨인 L(약 7%)이 적용된 것으로 판단된다. ‘’


[그림 5] 제로페이 QR코드 버전에 따른 데이터 bit 정보 (출처 : 제로페이 및 QRcode.com)


2) 국제 규격과의 차이

현재 국제결제표준규격이라고 불리는 QR코드는 EMV QR 코드이다. 
EMV QR코드는 이름에서도 나와있듯이 글로벌 브랜드사(유로페이·마스터·비자)가 합심하여 만든 표준규격으로 앱투앱 결제 방식을 택하고 있다.  

EMV QR코드에 담을 수 있는 데이터는 다음과 같다.

① QR코드에 사용된 규칙
② 판매자 계정에 대한 정보를 포함한 판매자 계정 정보
③ 판매자 이름과 같은 판매자에 대한 추가 정보
④ 트랜잭션 금액
⑤ Bill Number와 같은 다양한 사용 사례를 지원하는 추가 데이터
⑥ 예약되지 않은 임시공간 


[그림 6] EMV QR 코드(출처 : EMVCO)


현재 EMV QR코드와 국내 QR코드 규격은 서로 호환되지 않아 제로페이가 ‘반쪽짜리'라는 평을 듣고 있는데 이에 대한 가장 큰 이유는 다음과 같다. 

① 각 QR코드에 사용된 규칙이 다르고 담는 데이터가 다르다.
② EMV QR 코드는 판매자 계정 정보와 그에 관한 추가 정보를 담을 수 있으나, 제로페이는 판매자와 소비자를 구분하는 ID값만 암호화하여 담고 있다.

금융위원회에 재정한 QR코드 결제 표준에 명시된 내용에 따르면 “민감한 개인·신용정보 포함을 금지”한다는 조항이 존재함에 따라 국내 QR코드 규격은 보안을 위한 방안으로 ID값만 암호화하여 담고 있으며, 이 것이 국내와 국제 규격의 차이를 만들고 있다고 생각된다. 


5. QR코드 관련 사건·사고

보안문제는 QR코드 사용을 주저하게 하는 요인 중 하나이다. 
QR코드는 스캔하기 전엔 어떠한 정보가 담겨있는지 확실히 알 수 없다는 점을 이용해 QR코드를 위조하여 악성코드 프로그램을 다운받게 하고, 개인정보를 빼내는 범죄 수법(큐싱)이 주로 악용되고 있다. 

실제 사례로 2017년경 중국 베이징 등의 지역에서 공유 
자전거에 가짜 QR 코드가 여러 개 부착되어 있어 허위 QR코드를 스캔하는 순간 계좌이체가 요청되거나 소프트웨어가 깔려 휴대폰에 있는 자금 정보가 유출되는 등의 금전적 피해 사건이 잇따라 접수된 바 있다. 


[그림 7] 중국 공유자전거에 부착된 QR코드 (출처 : 상하이방)


또한 최근에는 제로페이 결제와 관련된 스미싱 공격이 기승을 부리고 있는 있는 것으로 확인됐다. 


[그림 8] 제로페이 결제 스미싱 관련 주의사항 (출처 : 제로페이)


6. 국내 QR코드(제로페이 등) 보안 방안


큐싱과 같은 QR코드 보안사고를 예방하기 위해 금융위원회에서 제정한 QR코드 결제 표준은 다음과 같은 방안을 제시하고 있다.

1) QR 발급

ㆍ고정형 QR (앱투앱 결제 시) : 고정형 QR코드는 위·변조 방지 특수필름 부착, 잠금장치 설치 등 조치를 갖추어야 한다.
ㆍ변동성 QR (결제코드 제시 시) : 변동성 QR 코드는 보안성 기준을 충족한 앱을 통해 발급(유효시간 : 3분)토록 해야 한다.


2) QR 이용

결제사업자는 해킹 방지 대책을 세워야 하며, 소비자와 가맹점은 보안성이 인정되지 않은 임의의 QR코드 스캐너 사용을 피해야 한다.


3) QR 파기

가맹점주는 가맹점 탈퇴·폐업 즉시 QR코드를 파기하고 가맹점 관리자에게 신고하여야 하며, 결제사업자는 유효하지 않은 QR코드(QR코드 훼손, 가맹점 탈퇴 및 폐업, 유효시간 초과(변동형 QR) 등)에 대해 결제차단 등의 조치를 취하여야 한다.


7. 마무리

현재 제로페이 서비스가 시범·시행되고 있으나 아직까지 많이 활성화가 되진 못하고 있다. 따라서 QR코드 결제가 대세인 중국처럼 대중화되기는 어려울 것으로 예상된다. 하지만 분명 QR코드는 QR코드만의 편리함이 존재하며, 제로페이의 경우 국내 표준 규격에 따라 보안성을 강화한 서비스로, 결제는 각 은행과 핀테크 앱을 통해 이루어지기 때문에 QR코드 결제의 보안 대책이 미흡하다고는 볼 수 없다. 개인적으로는 보다 안정성 높은 제로페이가 장래에는 현재의 체크카드를 대체할 만한 결제수단이 되어 신용카드와 병행하여 사용될 것으로 예상된다. 다만 활용도 면에서 국내 시장만 이용할 수 있다는 점이 아쉽게 느껴진다. 


8. 참고 자료

[1] 제로페이  
[2] Qrcode.com    
[3] 간편결제를 위한「QR코드 결제 표준」 제정-공표 
[4] EMVCo QR Code
[5] 상하이방 - 중국 공유자전거 QR 코드 사기



 

이전글, 다음글 목록
다음글 보안관제에 위협인텔리전스(Threat intelligence)를 효율적으로 사용하기
이전글 국내 버그 바운티(Bug Bounty) 어디까지 와있나?

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte