삼성페이 이야기

경영 2021. 9. 15. 20:18

- 2010년 카드사들에게는 한 가지 고민이 있었다. 휴대폰에 카드 정보를 발급 하려면 그 정보를 휴대폰에서 가장 안전한 데이터 저장소인 스마트칩에 발급 해야 했는데, 당시 휴대폰의 스마트칩은 이동통신사업자가 관리하는 유심칩 뿐이었기 때문이다. 카드사들은 모바일 카드 서비스는 하고 싶었지만 그 모바 일 카드를 유심칩에 발급하고 싶지는 않았다. 유심칩이 트로이의 목마와 같은 위협이 될 수 있기 때문이었다. 당시에는 이동통신사업자(이통사)가 카드사와 함께 시장을 만들어가는 차원 에서 유심칩을 카드사에 개방하고, 유심칩에서 모바일 카드를 받는 데 필요한 시스템도 자신들이 직접 투자해서 구축했다. 하지만 모바일 카드 서비스가 활 성화되면 상황이 바뀔 것이 뻔히 보였다. 고객들의 모바일 카드 발급 요구가 거부할 수 없을 정도로 커지면, 카드사가 유심칩에 카드를 발급하거나 사용할 때마다 이통사가 카드사에게 유심칩 사용에 대한 대가를 요구할 수도 있었다. 그러면 카드사는 속수무책으로 받아들일 수밖에 없을 것이었다.
- 모바일 결제 서비스 시장이 도래하면서 이통사와 제조사는 자신이 관리하는 스마트칩에 모바일 카드를 발급받기 위해 카드사와 제휴하거나 지분을 인수 하는 등 시장 진입에 안간힘을 쓰고 있었고, 카드사는 어느 스마트칩에 어떤 조건으로 모바일 카드를 발급해야 미래에도 카드사의 주도권을 뺏기지 않을 지 고민하고 있었다.
그러나 카드사에게 가장 좋은 해결책은 스마트칩에 모바일 카드를 발급하는 방식을 처음부터 쓰지 않는 것이다. 그리고 한국의 카드사는 결국 트로이의 목마를 제거하며 모바일 결제 서비스를 구현하는 데 성공했다. 앱카드를 만든 것이다.
- 유심칩은 이통사가 관리하고, eSE는 제조사가 관리하는 상황에서 카드사가 휴대폰 내부에 카드를 발급할 수 있는 스마트 보안칩은 SD 메모리카드뿐이었다. 그런데 SD 메모리카드 방식은 모바일 카드 발 급을 위해 고객이 카드사 지점을 방문해야 했기에 불편하고 비효율 적인 데다, 카드사가 감당해야 할 비용이 너무 컸다. SD 메모리카드의 가격은 유심칩이나 eSE에 비해 20배 이상 비쌌기 때문이다.
결국 휴대폰 내부에 카드사가 주도권을 잡을 수 있는 스마트 보안 칩이 없다는 사실이 분명해지자, 카드사들은 휴대폰 내부에 카드를 발급하고 저장하는 모바일 카드 발급/결제 방식을 과감히 포기했다. 대신 카드 정보는 휴대폰 밖에 저장하되, 카드 식별 정보를 스마트폰 앱에 전달해서 결제하는 ‘앱’ 방식으로 모바일 카드 서비스를 만들기로 했다.
통신사 계열 카드사를 제외한 신한, 삼성, KB국민, 현대, NH농협, 롯데 등 6개사는 '앱카드 협의체'를 만들고, 새로운 모바일 결제 규격 인 '앱카드'를 공동으로 제정했다. 고객이 휴대폰 앱을 통해 카드사 서버에 카드 번호를 등록시키고, 결제 시점에 앱에서 본인 인증을 하 여 발급받은 일회용 카드 번호OTC, One Time Card로 결제하는 방식 이었다. 이는 기존의 카드 발급 프로세스를 전혀 바꾸지 않고도 안전 하게 휴대폰으로 모바일 결제를 할 수 있도록 만든 것으로, 경쟁 구도 를 카드사들에게 유리하게 바꿔놓은 아주 현명한 행보였다. 카드사들이 출시하는 전자지갑은 이 앱카드를 담는 전자지갑이었다. 앱카드 앱을 열고 본인이 설정한 PIN 번호로 본인 인증을 하면 OTC가 카드사 서버로부터 고객의 앱으로 발행된다. 앱으로 발행된 OTC는 바코드, QR코드, NFC신호 세 가지 형태로 노출된다. 매장에 바코드 스캐너, QR코드 스캐너, NFC 수신기 세 개 중에 하나만 있으 면 스마트폰으로 신용카드 결제가 가능하다. 이 앱카드는 향후에 한 국 삼성페이의 모바일 카드 결제 규격이 되어 한국 모바일 결제 확산 의 핵심 인프라가 되었다. 2013년 4월 신한카드의 스마트월렛을 필 두로, KB국민카드, 삼성카드, 롯데카드가 연달아서 앱카드를 담는 전자지갑을 출시했다.
- 그런데 모바일 카드 발급의 보안성은 카드 번호를 발행할 때뿐만 아니라, 각 각의 단계를 거치면서 계속 점검되어야 한다. 고객의 휴대폰에서 카드 번호를 발급하려면 먼저 고객의 손에 개통이 완료된 휴대폰이 있어야 하며, 카드 번 호가 OTA Over The Air(공중 전파를 통해 시스템이 업데이트되는 방식)로 휴대폰에 심겨야 발급이 완료된다. 플라스틱 카드와는 달리, 모바일 카드는 카드 번호 가 공중으로 날아다니기 때문에 공중에서 번호를 갈취당할 위험이 있다.
카드 결제 시스템 유지에 있어 가장 중요한 것은 '안전한 결제'를 보장하는 것이다. 카드 결제와 관련된 모든 기술과 정책은 오직 이 한 가지를 위해 존재 한다고 해도 과언이 아니다. 결제 처리가 조금 늦거나, 카드 사용이 조금 불편 해도 카드 자체를 폐기하지는 않는다. 하지만 안전하지 않은 카드는 즉시 폐기된다. 카드 결제 시스템이 안전하지 않아서 지불하지 않아도 될 돈이 지불되거나 지불해야 할 돈이 지불되지 않으면 그 시스템은 신뢰를 잃고, 그런 사 건이 반복되면 결제 시스템은 붕괴된다. 그래서 카드 결제 프로세스나 결제 구조를 개선하려는 그 어떤 혁신도 혁신 이전과 동일한 수준의 안전성을 보장 하지 못하면 실제로 구현되기 어렵다. 이런 맥락에서 휴대폰 스마트칩에 카드 를 발급하는 방식은 플라스틱 플레이트에 기반하여 카드 결제 서비스를 제공 하는 기존 생태계 구성원들로부터 적지 않은 공격을 지속적으로 받아왔다. | 반면 앱카드는 카드 정보가 카드사 서버에 안전하게 저장되어 있고, 결제할 때마다 일회용 카드를 받아서 꺼내 쓰는 구조이기 때문에 카드 발급의 불안전 성에 대한 논란을 단숨에 잠재울 수 있었다. 앱카드 발행 이후, 스마트칩으로 카드 정보를 발급하는 모바일 결제 서비스는 서서히 설 자리를 잃게 되었다.
- 카드 결제를 할 때는 두 가지를 확인하여 본인임을 인증한다. 첫 번째는 본인 소유물 What you have이고, 두 번째는 본인 지식What you know이다. 결제하려 는 고객이 본인만이 가질 수 있는 소유물과 본인만이 알고 있는 지식을 정확 하게 확인해주어 두 개의 확인 값이 모두 오류가 없으면 결제자 본인임이 인 증된다. 오프라인 결제시에는 플라스틱 플레이트(소유물)와 4자리 PIN 번호 혹 은 본인 서명(지식)을 확인한다. 온라인 결제시에는 16자리 카드 번호와 플라 스틱 카드 뒷면의 3자리 고유 번호(소유물), 그리고 4자리 PIN 번호(지식)를 확 인한다. 그런데 휴대폰이라는 요상한 물건은 전원을 켜놓고, 통화 대기 상태를 유지 하기만 하면 끊임없이 본인 소유물 인증을 한다. 그 원리는 다음과 같다. 휴대 폰의 위치가 바뀌면 휴대폰으로 전화를 연결해줘야 하는 기지국도 바뀐다. 우 리는 모르지만, 기지국이 바뀔 때마다 휴대폰은 새로 바뀐 기지국과 붙어 있 으려고 계속 뒤에서 신호를 주고받는다. 휴대폰이 한시라도 기지국과 떨어져 있으면 전화를 받을 수 없기 때문이다. 가끔 기지국 혹은 중계기와 멀리 떨어 져 있는 고층 건물이나 산 위에서 휴대폰 배터리가 급속히 소모되는 경우가 있는데, 휴대폰이 가장 가까운 기지국과 안정적으로 신호를 교환할 수 있을 때까지 계속 출력을 높이기 때문이다. | 이렇게 휴대폰이 끊임없이 기지국과 연결되는 과정에서 기지국은 이 휴대폰 이 누구의 휴대폰인지를 계속 확인한다. 전화를 걸거나, 전화가 걸려와서 통 화가 시작되면 그 사람에게 즉시 과금을 해야 하기 때문이다. 그래서 휴대폰 분실 신고가 있지 않는 한, 통화 대기 중인 휴대폰은 그 자체가 본인임을 인증 해주는 소유물이다.
휴대폰이 이런 '인증 본색'을 가진 물건이기 때문에, 신용카드를 카드사 서 버에 등록하면서 한 번만 휴대폰 본인 인증을 거쳐 카드 명의자와 휴대폰 명 의자를 일치시켜놓으면 휴대폰을 본인 인증 소유물로 활용할 수 있다. 결제할 때마다 카드사 서버에 등록되어 있는 휴대폰으로 인증 번호를 보내서 되돌아 오는 것을 확인하면 된다. 여기에 간편결제용 PIN 번호(지식)를 확인해서 플라 스틱 카드 없이 간단하고 확실하게 본인 인증을 수행하는 것이다. 휴대폰같이 사전에 인증된 소유물을 이용한 확인을 기기 기반 인증'이라고도 한다.
- 삼성월렛을 사용하기 위해서는 1회의 삼성 계정 로그인이 필요했다. 또 그로 그인 정보를 등록하는 과정에서 본인 인증도 1회 해야 했다. 고객 입장에서는 다소 불편한 절차였지만, 우리는 그 1회의 본인 인증을 활용해 결과적으로는 더 큰 편의성을 만들어냈다. 본인 인증 결과값을 지속적으로 활용하는 방안을 고안해 매번 이름, 주민등록번호와 휴대폰 번호를 반복 입력해야 하는 불편을 없앤 것이다.
먼저 삼성계정 본인 인증 과정에서 본인 인증을 진행한 스마트폰의 일련번 호와 삼성월렛 앱별 고유 ID를 조합하여 특이값을 만들어 삼성월렛 서버에 저 장한다. 이 특이값은 당연히 개인 정보 활용 동의를 받아서 생성하고, 안전하 게 보관 · 관리된다. 이 특이값 자체로는 개인을 식별할 수 없지만, 시스템 내 에 있는 개인 식별값과 연결시켜 개인 정보로 활용할 수 있었다. 일단 특이값이 등록되면, 고객의 결제 시점에 삼성월렛 앱이 구동되면서 스 마트폰에서 돌아가는 삼성월렛 앱의 고유 ID와 스마트폰에 내재된 일련번호 를 조합하여 삼성월렛 서버에 등록된 특이값과 대조한다. 특이값이 같으면 삼성월렛은 카드사에 카드 고객이 사용하는 월렛 앱과 기기 정보에 변동이 없 다는 신호를 보낸다. 그러면 카드사는 자신들의 서버에 저장된 고객의 휴대폰 번호로 인증 번호를 보낸다. 고객은 주민등록번호나 휴대폰 번호 같은 별도 의 개인정보 입력 없이 카드사가 보낸 인증 번호를 받게 되는 것이다. 확인 버 튼을 한 번 눌러서 인증 번호를 카드사로 되돌려보내면, 본인 인증은 PIN 입력 (지식 확인)과 확인 버튼 클릭(소유물 확인), 이 두 단계만으로 끝난다.
- 결제의 안전성에는 두 가지 측면이 있다. 첫 번째 측면은 카드 시스템의 보안성이다. 카드 번호가 해킹되거나, 실수로라도 유출되는 상황이 없어야 한 다. 두 번째 측면은 본인 인증의 무오류성이다. 카드를 사용하는 사람이 카드 주인이 맞는지 제대로 확인이 되어야 한다. 시스템의 보안성은 아무리 비용이 크게 들고, 고객에게 불편을 주더라도 확 실히 지켜져야 한다. 하지만 본인 인증의 무오류성은 어떻게 프로세스를 설정 하느냐에 따라 고객의 편의성을 확대할 여지가 존재한다. PC에서 은행 웹사 이트에 접속했을 때, 해킹 방지를 위한 보안 프로그램 설치는 타협할 수 없는 부분이지만, 은행 사이트에 로그인하는 방법은 아이디어를 모으면 간단해질 수 있다. 최근 금융권에서 공인 인증서 로그인 방식이 다양한 간편 로그인 방 식으로 바뀌고 있는 것이 그런 사실을 반영한 사례다.
신세계에서 시작되어 삼성월렛에서 업그레이드된 휴대폰 인증 기반 모바일 인터넷 간편결제는, 당시에 아무도 시도하지 않던 휴대폰 본인 인증의 편의성을 벽돌을 쌓듯이 하나 하나 검증하며 결제 서비스에 적용한 것이다. 지금은 핀테크 활성화 분위기 속에서 고객 편의주의가 당연시되고 있지만, 2010년 한국 금융 당국의 카드 관리 정책 기조는 고객 편의보다는 사건/사고 방지가 우선이었다. 당연히 정부의 보안성 심의는 세세한 부분까지 철저히 따져야 했 고, 새로운 방식일 경우 책임 소재가 명확해야 승인을 받을 수 있었다. 그렇게 철저하고, 꼼꼼하게 보안성을 검토하는 분위기에서 삼성은 매 단계마다 정책 담당자에게 보안 원리를 설명하고, 그 철저함을 검증받으며 휴대폰 인증을 또 하나의 결제 인증 방식으로 인정받았다.
애플페이는 지문을 결제 인증에 적용함으로써 오직 본인만이 소유하고 있는 생체 정보를 활용하여 얼마든지 간편하게 결제 서비스를 제공할 수 있다는 사 실을 보여줬다. 삼성월렛의 사례는 휴대폰의 인증 기능을 활용해 결제 안전성 과 편의성을 동시에 개선했다는 측면에서는 애플의 지문 인증에 버금가는 혁 신이었고, 당시의 보수적 기조를 넘어서서 고객 친화적인 간편결제 서비스를 제공했다는 측면에서는 애플보다 2년 앞선 도전이었다.
- 온라인 쇼핑몰이나 PG사가 결제 수단을 추가할 때는 보통 자신들에게 사업적 혜택이 있는지를 고려한다. 그래서 결제 수단을 제공하는 서비스 사업자는 초기에 결제 수수료를 받지 않거나 깎아줌으로써 쇼핑몰과 PG사에 혜택을 제공한다. 특히 온라인 쇼핑몰의 경우에는 수수료 수익의 일부를 신규 고객을 늘리거나 고객 인당 매출을 증대시키는 데 사용하여 판촉 활동에 도움을 주기도 한다. 그런데 그런 방식은 결제 수수료를 수취하는 정통 결제 서비스 사업자들이나 할 수 있는 일이다. 그들은 수취한 수익의 일부를 공동 마케팅 재원으로 제공할 수 있다. 하지만 결제 수수료를 단 한푼도 받지 않는 삼성월렛 은 그런 요청을 들어줄 수 없었다. 예산도 턱없이 부족했거니와, 설령 예산이 있어도 들어주지 않았을 것이다. 아무런 대가 없이 삼성월렛 을 붙여준 파트너들을 역차별까지 할 수는 없기 때문이다.
온라인 쇼핑몰들이 삼성월켓 결제 모듈을 꼭 추가해야 하는 이유가 불분명한 상황에서, 일종의 현황 타개책으로 우리는 카드사 확대를 추진했다. 삼성월렛을 사용하는 고객이 많아지면 온라인 쇼핑몰이 관 심을 갖고 삼성월렛을 붙여주지 않을까 하는 기대 때문이었다.
- 우리가 새롭게 주목한 부분은, 고객의 스마트폰에서 매장의 결제 단말기로 전달되는 카드 번호가 한번 정해지면 바뀌지 않는 실제 카드 번호'가 아니고, 결제할 때마다 새로 받아서 사용하는 일회용 임 시 번호'라는 것이었다. 그렇기 때문에 그 번호를 받는 NFC 패드는 EMV 카드 거래 규격으로 인증된 보안 프로토콜을 적용할 필요가 없었다. 재활용이 불가능한 일회용 번호는 해킹 방지를 위한 까다로 운 인증 절차가 필요하지 않고, 그에 따라 비용도 들지 않는다. NFC 신호 수신기가 비싸질 이유가 전혀 없는 것이다.
만일 NFC 신호를 주고받을 수 있는 최소한의 사양만을 적용한 NFC 패드를 대량으로 만들어 그 단가를 바코드 스캐너 이하로 낮춰서 보급할 수 있다면, 오프라인 매장에서 앱카드를 활용하여 자유롭 게 결제한다는 꿈이 실제로 이루어질 수도 있었다. 그렇게 되면 앱카 드를 담고 있는 삼성월렛도 우리가 바랐던 것처럼 그 간편결제의 편 의성을 유지하면서 오프라인 매장에서 결제 수단으로 쓰일 수 있게 되는 셈이다. 그래서 우리는 새로운 전략을 세웠다. NFC 보안 인증이 필요 없이, 일반적인 NFC 통신 신호를 수신하는 단순 NFC 패드를 만 들어 배포하는 것이었다.
우리는 앱카드 협의체에 NFC 패드 배포 협력을 제안했다. 기왕 삼 성월렛에 앱카드 공통 규격이 적용되었으니 이를 활용하여 온라인뿐만 아니라 오프라인 결제도 한번 바꿔보자는 것이었다. 삼성전자라는 중립적 위치에 있는 파트너가 가진 막강한 마케팅 역량을 활용하여 6개 카드사 간의 경쟁을 유도하지 않고 앱카드 전체를 홍보할 수 있 는 기회를 제안한 것이니 앱카드 협의체에서도 거부할 이유가 없었 다. 앱카드 공통 모듈을 삼성월렛의 온라인 결제에 적용할 때부터 서 로의 필요를 채우며 차근차근 신뢰를 쌓아간 결과, 삼성전자와 앱카 드 협의체는 NFC 패드라는 새로운 기기를 활용하여 오프라인 결제 용 신규 인프라 구축이라는 꿈도 같이 꾸게 되었다.
- 애플페이의 첫 번째 특징은 자신들의 막강한 자산인 모바일 결제 회원 기반을 제대로 활용했다는 것이다. 당시 애플은 8억 명의 아이 폰 사용자 계정을 갖고 있었으며, 그중 5억 명의 사용자 계정에는 신 용카드 정보가 저장되어 있었다. 아이폰 사용자들은 사용자 셋업 단 계에서 계정을 만들어야 했고, 앱스토어에서 구매를 하기 위해서 그 계정에 카드 정보를 입력해야 했다. iOS를 보유하고 있다는 독점적 지위를 이용해 고객에게 카드 등록을 요구하는 것이 어찌 보면 부당 할 수도 있지만, 그 부당함은 편리함으로 상쇄되었다. 한 번만 카드 정보를 등록하면 애플의 생태계에서, 심지어 오프라인에 있는 애플스 토어에서까지 모든 결제가 간편하게 진행되었기 때문이다. 
두 번째 특징은 모바일 결제의 보안성과 편의성을 절묘하게 결합 해 혁신을 일으켰다는 것이다. 애플페이는 아이폰에 내장된 ESE 안 에 IC칩 거래 규격 협의체에서 제정한 규격에 따른 비자/마스터카 드의 토큰(일회용 카드 식별값)을 발급받고, 암호화 키 생성기를 함께 활용하여 결제를 한다. 1차로 eSE가 철통같이 토큰과 키 생성기를 보 호하고, 2차로 혹시 토큰이 해킹되어도 실제 카드 번호는 원천 보호 되며, 3차로 암호화 키가 계속 변동되면서 유출된 토큰을 재사용이 불가하게 만든다.
이런 막강한 보안성을 확보한 후에 애플페이는 고객 편의성을 강화 했다. 우선 애플페이에서 결제 서비스를 이용할 수 있도록 하는 셋업과정을 아주 간편하게 만들었다. 애플 계정에 카드가 이미 등록되어 있는 고객의 경우에는 추가 절차 없이 등록되어 있는 본인 카드를 불 러와서 간편하게 애플페이에 사용할 수 있게 했고, 신규 카드를 등록 해야 할 경우에도 플라스틱 카드를 카메라로 찍으면 자동으로 카드 번호가 추출되어 손으로 입력하는 수고를 없앴다.
특히 아이폰에서 제공하는 지문 센서인 '터치ID를 활용한 원터치 본인 인증은 그동안 아무도 구현하지 못했던 모바일 결제의 편리함 을 보여주었다. 애플페이 이용자들은 결제를 하기 위해 스마트폰 화 면에서 먼저 애플페이 앱을 찾은 뒤에 지문을 스캔하는 식으로 휴대 폰을 두 번 조작할 필요가 없었다. 휴대폰 하단에 있는 지문 스캐너에 엄지 손가락을 올린 채로 휴대폰 상단 끝을 매장용 NFC 결제 단말기 에 가져다 대기만 하면 애플페이 앱이 자동으로 구동되고, 터치ID로 본인 인증이 되면서 토큰이 NFC 결제 단말기에 전달되어 결제가 완료되었다. 원핸드, 원스톱, 초간단 애플페이 결제는 안전하고 간편한 결제의 '끝판왕' 이었다. | 세 번째 특징은 결제 수수료 수익 모델을 구현했다는 것이다. 애 플은 애플페이 서비스에 참여한 미국 은행(미국은 전업계 카드사가 따로 없고, 은행이 신용카드업을 겸한다)들로부터 애플페이 카드 결제액의 약 0.15%를 수취했다. 당시 미국 은행의 카드 결제 수수료가 약 1~2% 수준임을 감안할 때 이는 은행 수수료 매출의 약 10%에 해당하는 엄 청난 비중을 차지한다. 어떻게 애플은 그런 비중의 결제 수수료를 수 취할 수 있었을까? 그 이유는 여러 가지가 있겠지만, 무엇보다 애플 페이에 참여하지 않는 은행은 애플페이 내에서 다른 은행에게 고객을 뺏길 수도 있기 때문이 아니었을까 추측한다.
애플은 이미 애플 계정에 신용카드를 저장시켜놓은 5억 명의 고객 들이 있었다. 그 고객들이 저장된 신용카드를 애플페이에서 사용하 기 위해서는 신용카드를 토큰으로 전환/발급받아서 eSE에 저장해야 했다. 그런데 전환 과정에서 어떤 은행의 카드는 전환이 되는데, 어느 은행의 카드는 전환이 안 된다고 한다면 어찌 되겠는가? | 애플의 고객들이라면, 자기 카드가 애플페이에서 사용이 불가능하 다고 해서 등록을 포기하지는 않을 것이다. 그보다는 다른 은행의 카 드를 대신 등록할 확률이 훨씬 높다. 그 어떤 은행도 이런 상황을 내 버려둘 수는 없었으리라. 고객 이탈 방지를 위해 어쩔 수 없이 애플이 요구하는 수수료를 주면서 애플페이에 붙어 있어야 했을 것이다. 애 플은 충성도 높은 고객들의 편의성을 무기로 은행들이 수수료를 내 고서라도 참여할 수밖에 없는 상황을 만든 것이다.

- MST 기술의 장점은 이미 매장에 설치되어 있는 플라스틱 카드용 결제 리더기를 그대로 활용하여 모바일 결제를 처리할 수 있다는 것이다. 물 론 나중에 밝혀졌지만, 매장 현장에 실제로 설치되어 사용되는 플라스 틱 카드 리더기에서 MST 기술이 제대로 작동하지 않는 경우가 비일비 재했다. MST 작동 원리와 실제 MST 작동 사이에는 책상머리에서는 알 수 없는 엄청난 간극이 숨어 있었다. | 그러나 이론과 실제의 간극에도 불구하고, MST는 애플페이를 단숨 에 제압할 수 있는 막강한 기술이었다. 앞에서 언급한 애플페이의 세 가지 특장점인 수많은 결제 고객, 보안성과 편의성의 조화, 지속 가능 한 사업 모델에 비해 모든 면에서 준비되지 않은 삼성페이를 보완하 고도 남을 정도로 독보적이고 차별적이었다.
당시 삼성전자는 애플페이의 세 가지 특장점에 대응할 수 있는 경 쟁 자산이 아무것도 없었다. 첫 번째로, 애플은 8억 명의 회원 계정에 5억 장 이상의 신용카드를 등록시켰지만, 삼성전자는 단 한 장의 신 용카드 정보도 수집하지 않고 있었다. 삼성 계정조차 개인 고유의 식별값을 설정하지 않아, 고객이 휴대폰을 바꿀 때마다 새로운 계정 ID 를 만들면서 새로운 고객으로 인식되는 상황이었다. 계정 기반의 고 객 관리도 잘 안 되는 상황에서 결제 정보를 입력한 결제 고객의 확보 는 아주 요원한 일처럼 보였다.
두 번째로 애플은 eSE 접근 권한을 애플이 직접 갖고, 애플이 개발 한 패스북을 통해 사용자가 직접 eSE에 정보를 넣거나, eSE에 들어 간 정보를 확인할 수 있었다. 이에 비해 삼성전자는 eSE 접근 권한을 은행과 카드사 같은 eSE 사용 주체에 임대하는 사업 모델을 취하여, eSE에 대한 직접적인 접근 권한을 갖고 있지 않았다. eSE를 소유했으 나, 사용하지는 못했던 것이다. 그러다 보니 eSE에 있는 정보에 고객 이 접근하도록 열어주는 사용자 앱을 접근 권한을 임대받은 은행과 카드사가 자체적으로 만들었다. 이 때문에 eSE에 접근하는 사용자 인 터페이스가 제각각 달랐고, 고객은 eSE에 새로운 정보를 담을 때마다 새로운 앱을 깔고, 그 앱의 메뉴를 학습하는 불편을 감수해야 했다.
마지막으로, 애플페이는 은행 혹은 카드사로부터 결제 수수료를 받 음으로써 지속 가능한 사업 모델을 구축했다. 하지만 삼성전자는 은 행과 카드사의 수수료를 요구할 만한 협상 수단이 없었다. 그래서 삼 성전자에게 결제 서비스는 수익 사업이라기보다는 스마트폰의 판매 경쟁력을 확보하는 고객 서비스였다. 수익 모델이 없었기 때문에 삼 성페이는 시작부터 지속 가능한 사업성에 대한 논란에 언제든 휘말 릴 수 있다는 약점을 안고 있었다.
이런 핸디캡이 있었기에 삼성전자는 MST라는 차별화 기술을 기꺼 이 큰 비용을 지불하며 확보했다. 그리고 이 MST를 지렛대로 삼아 애플페이에 대항할 전략을 수립했다. 애플페이가 NFC라는 엔진을 달고 출발 준비를 하는 사이, 삼성페이는 MST라는 날개를 달고 하늘로 날 아갈 수 있게 되었다.
- 컨테이너 전략에 의해서 삼성페이는 고객이 플라스틱 대신에 선택 한, 좀 더 스마트한 매체로써 결제 생태계에 자연스럽게 녹아들 수 있 었다. 컨테이너 역할로 자리를 잡고자 한 만큼 삼성페이는 고객이 필 요한 기능을 그대로 담는 데 주저하지 않았다. 카드사의 신용카드와 체크카드 서비스를 그대로 담고, 은행의 ATM 서비스를 그대로 담고, 유통점의 멤버십 바코드를 그대로 담고, 교통카드 서비스를 그대로 담았다. 그렇게 삼성페이는 결제 시장에서나 마케팅 시장에서 배척받 지 않고, 오히려 환영받는 서비스로 자리잡을 수 있었다.
- 삼성페이는 카드사의 앱카드 규격을 그대로 사용하여 결제를 진행한다. 그래 서 초기에 카드사는 카드 리더기로 들어오는 삼성페이 거래와 바코드 스캐너 로 들어오는 일반 앱카드 거래를 구분하지 못했다. 그런데 삼성페이 결제 건 수가 계속 늘어나면서 자사의 앱카드 앱에서 발생하는 앱카드 결제와, 삼성페 이에서 발생하는 앱카드 결제를 구분해서 관리할 필요가 생겼다. 그러나 계속 변하는 일회용 카드 번호로는 그 두 가지 결제를 구분할 수 없었기에 앱카드 규격에서 고정값으로 정의되어 있는 '카드 유효기간'으로 거래를 구분하기로 했다.
카드사는 앱카드를 일반 플라스틱 카드와 구분하기 위해서 유효기간을 2089년 11월'로 고정하여 결제에 사용했다. 먼 미래의 날짜를 임의로 지정한 것이다. 단말기에서 카드사로 보내는 카드 정보 중 유효기간 자리에 '89110이 라는 숫자가 들어오면 카드사들은 앱카드로 인식하고 처리했다. 유효기간 값 이 빠져 있거나, 13월 같은 엉뚱한 숫자가 그 자리에 들어 있으면 가짜 카드번호라고 판단하여 카드 승인을 거부했다.
카드사는 삼성페이를 식별하기 위해 일반 앱카드 식별값인 8911 외에 삼성 페이에서 사용되는 앱카드 식별값을 하나 더 정의해야 했다. 그 값은 4011(유 효기간 2040년 11월)이 되었다. 왜 2040년 11월이었을까? 들리는 말에 의하면 일반 앱카드보다는 유효기간이 짧아야 했고, 어떤 마트에서 부정 거래를 막기 위해서 시스템 유효기간을 2045년까지만 잡아놓았기 때문에 그 이하로 정해 야 했다고 하는데 믿거나 말거나다(그 마트가 정말로 그랬다면 유효기간 제한 설정 을 풀기 전까지 일반 앱카드 결제가 불가능했을 것이다). 이렇게 삼성페이만의 구분값이 생기고 나서야 비로소 카드사를 비롯한 결제시장은 삼성페이의 위력을 실증 데이터를 통해 확인했다. 8911로 발행되는 앱카드 OTC보다 4011로 발행되는 앱카드 OTC가 비교할 수도 없이 더 많았 던 것이다. 하지만 단점도 생겼다. 일반 앱카드 결제에서 삼성페이를 구분할 수 있게 되자, 그 구분값을 기준으로 삼성페이 거래를 차단할 수 있게 된 것이 다. 신세계 매장에서 삼성페이 결제를 시스템적으로 막을 수 있었던 것은 이 구분값을 활용했기 때문이다.
이렇게 카드 번호 하나에도 다양한 비즈니스 논리가 적용되며, 그 논리를 관 철시키기 위한 수많은 이해관계가 부딪히고 있다.
- 한국형 토큰(카드 식별값)인 앱카드는 한국 삼성페이에 담기면서 실질 적으로 대한민국을 대표하는 모바일 결제 카드 규격이 되었다. 삼성페 이 이후 대한민국에서는 유심칩 방식만을 고수하는 모바일 결제 사업자가 없어졌다. 하지만 점점 더 많은 사람이 앱카드를 사용하게 되자, 앱카드 사용과 관련하여 다양한 불만 사항이 발생했다. | 첫 번째 불만은 통신 환경이 좋지 않은 곳에서 한국 삼성페이 결제 가 불안정하다는 것이었다. 앱카드 OTC는 결제 시점에 매번 카드사 서버와 연결하여, 카드사 서버에서 직접 본인 인증을 수행하고 문제 가 없을 때에 한해서 발행된다. 휴대폰은 그 OTC를 받아서 보여주거나 전달하는 매개 역할만 한다. 이동통신망이 막강한 IT 강국 한국에 서만 상상하고 실현할 수 있는 방식이다. 그래서 앱카드 결제는 와이 파이망에서는 작동되지 않는다. 와이파이망은 해킹의 위협에서 안전하다는 보장이 없기 때문이다. 통신사업자가 네트워크 품질과 안전 을 보장하고, 해킹에 대한 대비가 충분한 이동통신망(CDMA, WCDMA, LTE, 5G 등)에서만 작동하는 것으로 정부가 허가를 내주었다.
그런데 비록 한국의 이동통신망 인프라가 전국 어디서나 끊김 없이 빠르고 정확하게 데이터를 주고받을 수 있을 만큼 촘촘히 설치되어 있지만, 간혹 고객이 서 있는 위치가 깊은 지하나 두꺼운 벽으로 막힌 음영지역일 경우 통신 상태가 불안정해지는 것은 피할 수 없었다. 한 국은 전체적인 망 인프라는 좋으나 개인 상황에 따라 이동통신망 연 결 상태가 완벽하게 보장되지 않을 때가 있다. 그렇게 망 연결이 불안정한 경우, 삼성페이로 앱카드 OTC 발행이 늦어지거나 발행되지 않 곤 했다. 이러한 앱카드 OTC의 제약 사항은 미국 삼성페이에 적용된 비자/마스터카드 토큰 발행 방식과 비교되면서 삼성전자 내부에서 심각한 이슈가 되었다. | 미국 삼성페이에서 결제시 사용하는 비자/마스터카드 토큰은 휴대 폰 내부에서 발생시킨다. 휴대폰 내부의 보안이 철저하고 안전한 저 장소 안에 토큰 생성 로직을 집어넣고, 지문 인증을 통해 토큰을 생성 한다. 은행 거래를 위해 사용하는 OTP 6자리를 네트워크 연결 없이 단독 기기 내에서 생성하는 것과 비슷하다. 따라서 미국 삼성페이는 결제를 위한 본인 인증과 토큰 발행 시점에 이동통신망을 타지 않기 때문에 망 상태의 영향을 받지 않는다. 고객 입장에서는 훨씬 더 안정 적으로 결제를 할 수 있다.
- EMV 규격이든 앱카드 규격이든, 카드 결제의 안전에는 문제가 없 다. 다만 EMV 규격은 이동통신망에 연결될 필요 없이 휴대폰 내부 에서 카드 식별값을 발생시키기 때문에 삼성페이 사용자 입장에서는 더 빠르고, 덜 불안하다. 반대로 한국 앱카드 방식은 이동통신망에 연 결되어 있어야 OTC를 받는 방식이어서 덜 빠르고, 더 불안하게 느껴 질 수 있다. 만일 한국의 이동통신망 상태가 불안정했다면, 그래서 한국 삼성페 이 사용자가 결제를 하기 위해 카드사 서버까지 신호가 오가는 데 체 감하는 시간이 길거나 중간에 끊기는 오류가 빈번하게 발생했다면, 한국형 토큰인 앱카드 규격을 사용한 한국 삼성페이는 고객들의 불 만만 양산하고 새로운 결제 수단으로 선택받지 못했을 것이다.
앱카드와 관련한 두 번째 불만은 한국 삼성페이로 해외에서는 결제할 수 없다는 것이었다. 특히 해외 출장이 잦은 삼성전자 경영진에게 이 사실은 의외의 충격이었다. “해외 결제가 안 되는 카드가 어떻게 카드 인가?”라며 여기저기서 불만이 쏟아져나왔다.
그런데 해외 결제가 불가능했던 이유는 카드 규격 같은 기술적 요 인이 아니라, 글로벌 카드 브랜드사의 정책을 거스를 수 없는 국내 카 드사들의 결정 때문이었다. 비자와 마스터카드는 자사의 토큰이 아닌 일회용 토큰은 중계하지 않는다는 원칙을 세웠다. 그들에게는 자사 토큰의 사용이 우선이었고, 그 원칙에 따라 한국 카드사에게 앱카드 OTC 해외 사용 금지 가이드라인을 내렸다. “비자/마스터카드가 인 정한 해외 결제용 일회용 카드는 비자/마스터카드 토큰뿐이다. 이 토 큰이 아닌 앱카드 OTC로 해외 결제를 하다가 생기는 모든 문제는 한 국 카드사에서 책임을 져야 한다”는 것이 그들의 입장이었다.
한국 카드사들은 브랜드사와의 계약상, 해외 결제에 대해서는 브랜 드사의 가이드라인을 준수해야 했다. 그 가이드라인을 준수하지 않아 발생하는 사고는 모두 개별 카드사의 책임이다. 앱카드 해외 결제로 인한 사건의 규모가 얼마인지 산정도 되지 않는 상태에서 책임을 지 겠다는 결정을 할 수는 없었다. 그래서 앱카드 협의체는 앱카드 OTC 를 해외에서 사용하지 않기로 결정했다.
그런데 해결하는 과정이 재미있게 진행되었다. 삼성페이를 통한 앱 카드의 해외 결제를 허용하지 않기로 결정은 했지만, 정작 카드사들 이 카드 사용을 막기 위해 할 수 있는 일이 없었던 것이다. 카드사 서 버는 앱카드 결제 요청이 국내 결제에서 일어난 것인지 해외 결제에 서 일어난 것인지 식별할 수 없었다. 게다가 앱카드 규격이 플라스틱 카드 규격과 동일했기 때문에, 비자나 마스터카드도 기술적으로 앱카 드 승인 요청과 거래를 막을 수 없었다. 그렇다 보니 해외 현지 매장 에서 삼성페이의 앱카드가 매장용 카드 리더기에 읽힐 수만 있다면 카드 결제가 승인되었다.
- 글로벌 카드 브랜드사의 가이드라인을 받고, 그것을 준수하겠다. 고 결정한 국내 카드사들은 이 상황을 그대로 방치할 수가 없었다. 그 래서 역설적이게도 앱카드의 해외 사용을 원하는 삼성전자에게 한 국 삼성페이의 해외 사용 금지를 요청했다. 한국 삼성페이를 사용하 는 휴대폰이 해외에 나가서 로밍 상태가 되면 삼성페이 앱에서 앱카 드를 비활성화해달라는 것이었다. 카드사 서버는 해외 거래를 식별할 수 없으니, 삼성전자에서 휴대폰의 위치와 연결된 네트워크 기반으로 해외 체류를 식별하고 막아달라고 했다.
카드사들이 이렇게 삼성전자에 무리한 요구를 하면서까지 적극적 으로 한국 삼성페이의 해외 결제를 막으려는 이유에는 글로벌 카드 브랜드사의 가이드라인도 있었지만, 삼성페이 앱카드의 해외 결제로 인한 잠재 VoC에 대한 우려도 있었다. 한국 삼성페이가 해외에서도 결제가 된다고 알려진 이후에 혹시라도 플라스틱 카드 대신 갤럭시 폰만 들고 나갔다가 해외 카드 리더기에서 삼성페이 결제가 되지 않 을 경우, 고객이 카드사에 클레임을 걸 수 있었기 때문이다. 삼성페이 에서 카드 결제가 되지 않아서 중요한 거래를 놓쳤다고 주장할 경우, 카드사가 일정 부분 책임을 져야 하는 상황이 생길 수도 있었다.
카드사는 검증되지 않은 삼성페이 해외 결제 때문에 발생할 수 있 는 위험을 감수할 수 없었다. 한국 시장처럼 전체 POS를 다 검증한 것도 아니었기 때문에 하루빨리 삼성페이의 해외 결제를 막는 것이 바람직했다.
앱카드와 관련된 세 번째 불만은 '멀티 디바이스 multi-device 사용 불 허' 정책으로 생긴 제약 때문에 생겨났다. 사실 이것은 카드 보안을 위 해 만든 금융 정책의 문제이지, 앱카드 자체의 문제는 아니다. 멀티 디 바이스 사용 불허 정책이란 하나의 카드를 다수의 본인 명의 단말기에 서 동시에 등록해서 사용할 수 없도록 한 것으로, 한국에서는 한 카드 를 여러 개의 디바이스에서 사용하는 행위가 카드 복제에 준하는 행위 라고 유권 해석했기에 생긴 정책이다. 멀티 디바이스 카드 사용을 허락하는 중국과 미국에서는 본인 명의의 휴대폰이 두 대이면 각각의 휴대폰에 삼성페이를 설치하고, 같은 카드를 두 대의 휴대폰에 모두 등록하여 동시에 제한 없이 삼성페이 결제를 사용할 수 있었다. 한국은 그런 방식을 허용하지 않았다. 한국 삼성페이는 플라스틱 플레이트를 대체하는 개념이기 때문에 카드 정 보는 오직 단 한 대의 본인 명의 모바일 디바이스에만 등록되어야 했 다. 그래서 한국에서는 본인 명의의 휴대폰을 교체해서 본인 명의의 새 휴대폰에 삼성페이를 등록하면 이전 휴대폰의 삼성페이는 자동 중지된다.
- 카드 결제는 고객이 지갑을 열고 카드를 건네는 두 단계면 된다. 하 지만 모바일 카드 결제를 하려는 고객은 먼저 스마트폰에 앱을 깔고, 카드를 등록해야 한다. 그 과정에서 까딱 잘못하면 로그인, 카드 번호 입력, 본인 인증 등을 다시 처음부터 해야 한다. 그러고 나서도 끝이 아니다. 실제로 결제할 때는 휴대폰을 꺼내고, 앱을 찾고, 카드를 선택 하고, 어떤 경우에는 본인 인증을 매번 해야 한다. 비록 반드시 특정 매장에서 결제를 해야 효용가치를 느끼는 열성 고객일지라도, 굳이 결제 과정이 번거로운 모바일 결제를 선택할 이유는 없다. 그냥 하던 대로 하게 된다.
그런 면에서 모바일 교통카드와 모바일 스타벅스 카드는 기존에 존재하던 결제와 크게 다르거나 불편하지 않게 사용자 경험을 잘 디자인해서 제공했다. 모바일 교통카드는 스마트폰 화면이 꺼진 상태 에서도 결제 단말기에 스마트폰을 대기만 하면 결제가 되는 탭앤고 Tap&Go를 구현해 플라스틱 교통카드와 다를 바 없는 경험을 제공했 고, 모바일 스타벅스 카드도 앱을 구동한 이후 진행되는 바코드 결제 가 당시 많은 사용자들이 학습했던 바코드 멤버십 적립 경험과 특별 히 다를 바가 없었다.
한편, 고객이 모바일 결제도 플라스틱 카드 결제만큼 익숙하게 느 끼기까지는 시간이 필요했다. 그래서 교통카드와 스타벅스 카드는 그 시간 동안 고객이 매장 앞에서 머뭇거림을 이겨내고, 플라스틱 플 레이트 대신 스마트폰 꺼내기를 포기하지 않도록 인센티브를 꾸준히 제공했다. 교통카드는 낮은 충전 수수료를, 스타벅스 카드는 결제할 때마다 제공하는 별과 쿠폰을 사용자 인센티브로 제공했다
- 무엇보다 중요한 것은 이 인센티브 비용이 모바일 카드 결제 수익 (매장 수익)에서 보충되었다는 점이다. 인센티브 비용이 한계 이익을 초과하지 않는 한, 두 회사는 계속 인센티브 프로모션을 제공할 수 있었다. 이것은 굉장히 중요한 사항이다. 결제 인센티브 프로모션은 그 프로모션이 없어져도 고객이 새로운 결제에 익숙해지는 수준까지 밀고 나가야 성공할 수 있다. 두 회사는 자신들이 벌어들이는 수익에 서 인센티브 비용을 차감하는 구조를 만들었기 때문에 고객의 변화 시점까지 밀고 나가는 것이 가능했다. 결제 수수료를 벌기 위해서가 아니라, 본업을 활성화하기 위해 모바일 결제 서비스를 제공했기에 매장 결제의 모바일화에 성공한 것이다. 
- 2014년 말 은행 연합의 전자지갑인 '뱅크월렛'과 전국민 한 명 한 명을 스마트 폰으로 즉시 연결하는 국민 메신저인 '카카오톡'이 협력하여 카카오 사용자끼 리 저렴하게 송금/수금을 할 수 있는 '뱅크월렛카카오'를 출시했다. 신용카드 업계는 살짝 긴장했다. 4천만 명에 가까운 카카오톡 사용자 중에는 일반 구매 소비자도 있었지만, 700만 명에 달하는 자영업자도 있었다. 이들이 모두 카카 오 송금으로 소비자들과 자유롭게 결제 대금을 주고받기 시작하고 나중에는 물품 대금까지 카카오 송금으로 지급하기 시작하면, 카드 수수료보다 훨씬 낮 은 은행 송금 수수료로 인해 카드 가맹점이 다 카카오 송금 가맹점으로 바뀌 고, 결제 시장의 판이 바뀔 수도 있다고 짐작한 것이다. 하지만 다행인지 불행인지 그런 일은 일어나지 않았다. 송금 결제 인프라의 부재, 송금 UX(사용자 경험)의 불편함, 마케팅 혜택 부족 등등 여러 원인이 있 을 수 있겠지만, 신용카드가 고객에게 주는 외상 거래라는 최대의 혜택을 송금 결제가 넘어설 수 없었기 때문일 것이다. 그 이후에도 토스 같은 간편 송금 서비스가 많이 출현했지만, 여전히 간편 송금은 결제 시장에서 실적이 미미하다.

'경영' 카테고리의 다른 글

사장으로 견딘다는 것  (0) 2021.09.23
그리드  (0) 2021.09.15
우리의 적들은 시스템을 알고 있다  (0) 2021.09.15
아마존의 팀장수업  (0) 2021.09.12
인터페이스 혁명이 온다  (0) 2021.09.12
Posted by dalai
,