[IT강의실] 마그네틱 카드를 대체한 차세대 카드 'IC카드', 그 다음은?
본 기사는 지난 2015년 8월 4일 게재한 ‘[IT강의실] 마그네틱 카드를 대체하는 차세대 카드 - IC카드‘를 2021년 현황에 맞춰 수정 및 보완한 기사입니다.
지폐나 동전과 같은 현금 없이 금융 거래를 할 수 있는 신용카드는 1950년 미국의 ‘다이너스클럽’이 설립되면서 본격적으로 보급이 시작되었다. 하지만 초기의 신용카드는 사용자의 이름 및 고유 번호가 적힌 단순한 회원증에 가까웠기 때문에 사용 시, 본인 확인에 시간이 걸리고 보안성도 낮았다. 1950년대 후반 들어 각종 개인정보 및 금융 정보의 전산화가 시작되었지만, 개인정보를 빠르고 정확하게 전산망에 입력하기 위한 수단의 개발에는 시간이 걸렸다.
하지만 1960년에 미국 IBM에서 마그네틱 카드(magnetic stripe card)를 개발하면서 개인정보 전산화에는 큰 진전이 있었다. 마그네틱 카드는 당시 컴퓨터의 저장 매체로 널리 쓰이던 자기 테이프의 원리를 카드에 응용한 것이다. 자기 테이프를 플라스틱 카드의 한 쪽 면에 붙이고, 이 테이프 표면에 있는 자성 물질의 특성을 변화시키는 방식으로 데이터를 기록한다.
마그네틱 카드의 기능과 보안성을 개선하기 위해 등장한 IC카드
마그네틱 카드는 입력장치에 통과시키는 것만으로 자기 면에 있는 데이터를 쉽게 전산기기에 입력할 수 있어 편의성 면에서 큰 호평을 받았다. 마그네틱 카드는 개발 이후 신용카드, 공중전화카드, 신분증(ID카드) 등 다양한 방면에서 응용되었다.
하지만 마그네틱 카드는 기능이나 보안성 면에서 단점도 많다. 대표적인 단점은 기록할 수 있는 데이터의 용량이 72B(바이트) 정도로 적어서 다양한 데이터를 담을 수 없다는 점, 그리고 자기 물질을 이용하기 때문에 내구성이 낮다는 점이다. 특히 자석과 접촉하면 기록된 데이터가 변형되거나 삭제되기도 하므로 자석으로 덮개를 열고 닫는 가방이나 지갑에서 사용하다가 카드가 훼손되기도 한다. 더욱이, 개발된 지 오래되었기 때문에 구조가 단순해서 자기 면에 기록된 내용을 복사하거나 변형하기도 쉬운 편이다.
이런 마그네틱 카드의 단점을 개량한 것이 바로 IC카드(integrated circuit card)다. IC카드는 1968년에 독일의 헬무트 그로트럽(Helmut Gröttrup)과 위르겐 데드로프(Jürgen Dethloff)가 처음 고안했으며, 1974년에 프랑스의 로랑 모레노(Roland Moreno)가 특허를 내면서 본격적으로 세상에 알려지게 되었다.
IC카드는 프로세서와 메모리를 내장한 초소형 컴퓨터
IC카드는 이름에서 알 수 있듯, 내부에 반도체 기반의 집적회로(integrated circuit)를 내장한 것이 특징이다. 넓은 의미로는 초소형 컴퓨터를 내장한 카드라고 할 수 있다. IC카드 외에 스마트카드(smart card)라 부르기도 한다. IC카드는 자석과 접촉해도 데이터가 손상되지 않으며, 마그네틱 카드에 비해 한층 다양한 기능을 부여할 수 있고 보안성 및 내구성도 우수하다. 다만, 카드의 생산 단가가 다소 높은 것이 단점이다.
IC카드는 데이터를 여러 번 쓰거나 지울 수 있는 EEPROM이나 플래시메모리를 내장하고 있다. 개발 초기의 IC카드는 8kB 정도의 데이터 저장공간을 가지고 있었으나, 기술 발전으로 2000년대 이후에는 1MB 이상의 데이터를 저장할 수 있는 것도 개발되었다.
메모리 외에 연산 능력을 가진 프로세서를 함께 내장한 IC카드도 있다. 초기의 IC카드는 4비트(bit) 내지 8비트급의 연산 능력을 가진 것이 대부분이었으나 이후에는 16비트나 32비트급의 성능을 가진 것도 등장했다. 프로세서를 내장한 IC카드는 단순히 데이터를 저장하는 것뿐 아니라 데이터를 암호화하거나 특정 규격의 컴퓨터와만 호환되도록 하는 등의 프로그래밍이 가능해서 보안성 및 기능성이 높다.
접촉식과 비접촉식, 그리고 하이브리드 카드의 차이점
IC카드는 내부 구조뿐 아니라 사용 방법에 따라서 접촉식과 비접촉식으로 나뉘기도 한다. 카드 정면에 금속 패턴이 있는 것이 접촉식 IC카드로, 가장 일반적인 IC카드의 형태다. 접촉식 IC카드는 카드의 금속 패턴과 입력기기의 단자부가 확실하게 밀착되어야 작동하므로 보안성이 높고 상대적으로 많은 데이터를 확실하게 전송할 수 있는 것이 장점이다. 신용카드나 현금카드가 접촉식을 주로 사용하며, 휴대전화 내에 장착하는 개인정보 저장장치인 유심(USIM)카드 역시 접촉식 IC카드의 원리를 이용한 것이다.
비접촉식 IC카드는 카드 안에 무선 통신이 가능한 모듈(module: 기능부) 및 안테나를 내장한 것이다. 카드 주변의 RF(radio frequency: 무선 주파수) 신호를 감지해 데이터를 주고받으며 입력기기와 통신할 수 있다. 카드의 종류에 따라 입력장치와 스치게 하는 방식으로 사용하기도 하고 수 미터 이내로 접근하면 자동으로 통신이 이루어지는 경우도 있다. 입력기기의 단자부와 밀착하지 않아도 통신이 이루어지기 때문에 보안성은 접촉식 IC카드에 비해 다소 낮은 편이지만, 신속한 사용이 가능하다. 교통카드에 쓰이는 것이 대표적인 이용 사례다.
그 외에도 여러 가지 기능을 함께 가진 카드도 있다. 접촉식과 비접촉식 IC카드 기능을 모두 가진 카드는 하이브리드(hybrid: 혼합) 카드, 혹은 콤비(combi: 짝) 카드라고 한다. 두 용어는 거의 같은 뜻으로 쓰이지만 카드 내부에 접촉식 IC와 비접촉식 IC가 따로 존재하는 경우는 하이브리드, 두 가지 IC가 일체형인 경우는 콤비 카드로 분류하는 것이 일반적이다. 그리고 마그네틱 카드와 IC카드의 기능을 함께 가진 카드를 하이브리드 카드라 부르기도 한다
IC카드 아니면 ATM 사용 불가
IC카드가 대량으로 보급되기 시작한 것은 1983년에 프랑스의 프랑스텔레콤(France Telecom)에서 공중전화용 IC카드를 내놓으면서부터다. 한국에서는 1990년대 초반 들어 몇몇 대기업에서 사내 보안용으로 IC카드를 쓰기 시작했으며, 2002년부터는 정부에서 정책적으로 마그네틱 카드 대신 IC카드의 사용을 권장하기 시작했다. 특히 2003년, 금융감독원은 현금카드는 2005년까지, 신용카드는 2008년까지 모두 IC카드로 교체될 것이라고 발표했으나, IC카드 및 단말기의 보급이 늦어져 이 목표는 달성하지 못했다.
금융감독원은 2013년 2월부터 마그네틱 카드로 현금자동입출금기(ATM)에서 입출금 및 이체 등의 거래를 할 수 없도록 시범 시행했다. 마그네틱 카드는 비교적 위/변조가 쉽기 때문에 이를 악용한 범죄가 발생하지 않도록 예방하기 위해서다. 그러나 여기에 대응하지 못한 사용자의 불만이 속출해 도입 시기를 연기한 바 있다.
이렇게 차일피일 미뤄지던 마그네틱 카드 ATM 사용 중지가 지난 2015년 6월 2일부터 전면 시행되면서, ATM을 이용한 현금 인출, 단기 카드 대출(현금 서비스), 장기 카드 대출(카드론) 등의 서비스를 이용할 수 없게 됐다. 즉 IC 칩이 달린 카드가 아니면 ATM 기기를 이용할 수 없는 것이다.
이로 인해 신용카드 IC 칩이 훼손되면 ATM 카드 대출을 받을 수 없다는 문제가 발생하자, IC/마그네틱 겸용 카드를 쓸 때 마그네틱 인식방식의 카드 대출이 예외적으로 허용됐다. 하지만, 위·변조된 신용카드로 ATM 대출을 받는 범죄가 잇따라 발생하자, 금융감독원은 2020년 1월부터 마그네틱 인식방식의 카드 대출을 다시 전면 금지했다
금융감독원 관계자는 "ATM에서 IC카드를 사용하는 비중이 99.8%에 달하고 있어, 거래를 제한해도 큰 무리가 없을 것"이라고 말했다. 한편, IC 칩이 부착되지 않은, 일반 마그네틱 카드 사용자는 카드사 고객센터로 연락해 IC 신용카드로 전환 발급 신청을 하면 된다.
이제 결제도 오직 IC카드로
정부는 카드보안을 강화하기 위해 여신금융전문업법을 개정해, 지난 2015년 7월 21일부터 카드 가맹점에 IC신용카드(체크카드 포함) 단말기 설치를 의무화했다. 복제가 쉽기 때문에 보안성이 취약한 마그네틱 카드를 더는 사용하지 말자는 취지다. 마그네틱 카드 단말기를 사용하던 가맹점에 대해서는 교체부담 완화를 위해 2018년 7월 20일까지 3년간 적용 유예기간을 뒀다.
이젠, 일반 가맹점에서 마그네틱 카드 단말기로 결제할 경우 승인이 나지 않는다. 대신 IC카드 단말기에서도 예외적으로 마그네틱 방식을 이용할 수 있다. IC/마그네틱 겸용 카드의 IC 칩이 훼손됐거나, 해외카드처럼 마그네틱 전용으로만 발급된 카드는 마그네틱을 이용할 수 있는 것이다.
삼성페이나 LG페이 같은 1회용 디지털 토큰 방식도 기존 마그네틱 방식을 그대로 이용할 수 있다. 디지털 토큰 방식은 결제 시 카드번호나 CVC 번호 등의 민감한 정보 대신 가상으로 생성한 1회용 번호를 통해 거래를 처리하는 방식이기 때문에, 거래 정보가 해킹돼도 민감한 정보가 유출되지 않는다. 삼성페이와 LG페이는 스마트폰에 카드 정보를 미리 등록하고, 스마트폰에 내장된 신호 발생기를 통해 이러한 1회용 디지털 토큰 번호를 전송하는 방식이다. 이를 통해 기존 마그네틱 단말기와도 호환한다.
진화하는 IC카드 ‘지문인증카드’
카드 도난, 분실에 따른 부정 결제 피해가 늘어나자, 이를 막기 위해 등장한 것이 바로 지문인증카드다. 지문인증카드엔 사용자 지문정보를 저장하고 인증할 수 있는 IC칩이 내장돼 있다. 지문센서에 사용자가 손가락을 올려 지문을 인증하고, 카드를 단말기에 삽입하거나 혹은 터치하면 결제가 완료된다.
해외에서 결제를 할 때 비밀번호나 핀(PIN) 번호를 입력하지 않아 비밀번호 노출 우려가 없고, 카드 소유자만 지문인증으로 결제를 할 수 있기 때문에 카드 도난 및 분실에 따른 도용피해가 줄어든다. 현재 삼성카드와 마스터카드가 업무협약을 맺고 지문인증카드 개발에 착수하고 있으며, IC카드 단말기가 설치된 국내외 가맹점 어디에서나 지문인증카드를 이용할 수 있는 것으로 알려졌다.
정리·글 / IT동아 정연호 (hoho@itdonga.com)