[적용사례] 인도네시아 DOKU 전자지갑 결제 서비스
인도네시아의 PG(Payment Gateway) 업체인 도쿠(DOKU)가 제공하는 간편 결제 앱 ‘Doku e-Wallet(이월렛)’ 서비스는 250만 명 이상의 실 사용자(active user)를 자랑하는 인도네시아의 대표적인 전자지갑 결제 서비스이다. 센스톤은 도쿠의 이월렛 서비스에 OTAC Payment Token을 공급하여 이용자들이 비통신 환경에서도 불편함 없이 안정적이고 안전하게 서비스를 이용하도록 지원하고 있다.
● Challenge 도입배경
도쿠는 고정값을 사용하는 2D 바코드 또는 QR코드로 인해 발생하는 개인정보 유출 문제, 고정된 카드번호를 사용하는 무카드거래(CNP) 사기, 개인의 카드 정보가 노출되거나 분실, 도난되지 않은 상태에서도 일정한 규칙에 따라 랜덤하게 카드번호를 생성해 유효한 카드번호를 찾아내는 빈 어택(BIN Attack)에 따른 부정사용 등의 금융 범죄에 대응하기 위해 보다 안전한 인증 방식이 필요했다. 게다가 양방향 통신을 기반으로 진행되는 대부분의 토큰 결제 방식은 불안정한 통신 환경에 따라 결제 오류가 발생하는 만큼, 열악한 통신 환경에서도 안정적인 서비스가 가능한 인증 방식이 요구됐다.
● Solution 솔루션
센스톤은 단방향 다이내믹 인증방식인 자체 OTAC(One-Time Authentication Code) 알고리즘을 통해 개인정보 유출에 따른 부정사용의 가능성을 차단하고, 통신망이 없는 상태에서도 이용자가 토큰을 직접 생성할 수 있도록 함으로써, 매우 안전하고 편리한 전자결제 인증 절차를 구현했다.
센스톤이 도쿠에 제공한 OTAC Payment Token은 어떠한 추가적인 인프라의 도움 없이 통신망이 불안정하거나 아예 잡히지 않는 오프라인 환경에서도 중복 불가능한 다이내믹 코드를 생성한다. 이렇게 생성된 인증코드는 고정 값을 기반으로 하는 ID/PW 계정 정보와 카드 번호를 대체한다. 도쿠의 이월렛에 적용된 OTAC Payment Token은 결제용 토큰인 ‘OTAC Dynamic PAN’과 기기 인증용 토큰 ‘OTAC Device Authentication Token’으로 구성된다.
결제용 토큰인 OTAC Dynamic PAN은 OTAC 알고리즘을 기반으로 생성된 일회성 다이내믹한 카드 번호로, 기존 결제 프로세스와 동일하게 발급 및 등록이 가능하며, 서버와의 통신이 제한되어도 사용할 수 있다. 기존 토큰을 활용한 이월렛 결제 승인 방식의 경우, 이용자가 이월렛 모바일 결제를 할 때 토큰 제공사(Token service provider)에게 토큰을 요청하고, 실제 카드번호가 아닌 결제용 토큰을 제공받아 이용자가 그 토큰을 상점에 제시하여 결제가 진행된다. 센스톤의 Dynamic PAN은 이용자가 토큰 제공사에게 결제용 토큰을 요청할 필요 없이 이미 OTAC가 적용된 이용자의 기기에서 직접 결제 토큰을 생성한 후 상점에 제시하면 된다. 이처럼 서버에 별도의 요청을 할 필요가 없어 이용자 편의성이 한층 개선된 것은 물론, 통신망조차 필요 없어 통신망이 불안정한 환경에서도 원활한 사용이 가능해졌다.
기기 인증용 토큰인 OTAC Device Authentication Token은 사용자 기기에서 금융사 서버로 주기적으로 현시점에만 유효한 다이내믹 코드를 전송하여, 정상적인 고객 기기에서 접근하는지 여부를 단방향으로 수신된 다이내믹 코드의 검증만으로도 확인이 가능하다. 또한, 사용자의 앱 가입 또는 등록 시에 사용자 기기에서만 고유한 다이나믹 인증코드를 생성하기 위한 고유값을 안전하게 제공하고, 기기 내에 안전하게 고유값을 저장하는 기능을 가지고 있다. 이로 인해 로그인 세션 연장을 OTAC 디바이스 인증으로 진행해 안정적으로 결제 과정을 진행할 수 있다. 이 밖에도 해커의 다른 단말을 통한 해킹 시도를 차단하는 FDS(Fraud Detection System)의 기능으로도 확장하여 활용이 가능하다.
● Result 기대효과
센스톤은 통신망이 다소 원활하지 않은 인도네시아의 도서 및 산간 지역에서조차 도쿠가 아무런 영향 없이 안정적이고 편리하면서도 더욱 안전한 전자지갑 서비스를 제공할 수 있는 기반을 제공한다. 도쿠의 이월렛 이용자들은 본인의 모바일 기기에서 생성한 결제 토큰을 이용해 온라인 쇼핑은 물론, 오프라인 상점에서도 편리하고 안전한 서비스를 이용하고 있다.
도쿠는 OTAC Payment Token 도입을 통해 초기 도입 비용은 물론 운영 비용까지 크게 절감할 수 있었다. 결제용 토큰인 OTAC Dynamic PAN은 사용자 모바일 기기와 토큰 서버에 OTAC 정합을 통해 기존 결제 인프라에 손쉽게 적용이 가능했다. 또한 오프라인 사용시, 이용자 기기에서 토큰을 직접 생성하므로 기존 사용자와 토큰서버 간 발생하는 네트워크 트래픽을 최소화할 수 있었다.
편리한 사용성과 안정적인 서비스 덕분에 고객 충성도 제고에도 도움이 되고 있다. 도쿠 이월렛 이용자들은 사전에 본인의 기기의 로컬 사용자 인증을 해 둔 상태라면, 네트워크가 안정적이지 않은 환경에서도 오프라인 모드로 결제가 가능하다. 이는 통신 기반 토큰의 단점을 보완하여 활용할 수 있어 결제 시 네트워크 불안정성으로 인한 고객 이탈 방지에 이바지하고 있다.
기기 인증용 토큰 OTAC Device Authentication Token은 해커의 다른 단말을 통한 해킹 시도를 차단하는 FDS(Fraud Detection System)의 기능으로 활용이 가능할 뿐만 아니라, 금융서비스 앱과 서버 간의 로그인 세션을 OTAC 검증을 통해 연장하여, 사용자의 금융사 앱 사용 시의 빈번한 로그아웃과 재 로그인에 의한 불편함을 해소하고 있다.