물리적 보안 칩 대신 소프트웨어로 카드 구현… 유심 없는 기기에서도 결제 가능
[아이씨엔 오승모 기자] 최근 삼성전자가 갤럭시 워치에 ‘삼성 월렛 교통카드’ 서비스를 추가하며, 스마트폰 없이 워치만으로 대중교통 이용이 가능해졌다. 여기서 주목할 점은 통신사 가입 유무나 물리적인 유심(USIM) 칩의 종류와 상관없이 결제가 가능하다는 것이다. 이는 기존의 하드웨어 중심 결제 방식에서 벗어나 HCE(Host Card Emulation)라는 소프트웨어 기술을 적극적으로 도입했기에 가능한 변화다.
유심(USIM) 없는 워치가 결제되는 비결, ‘HCE’
기존의 스마트폰 교통카드(모바일 티머니 등)는 주로 ‘NFC 유심’ 방식을 사용했다. 이는 스마트폰 내부에 꽂힌 유심 칩 안에 ‘SE(Secure Element)’라고 불리는 물리적인 보안 구역에 카드 정보를 저장하는 방식이다. 따라서 NFC를 지원하는 특정 통신사의 유심이 반드시 필요했다.
반면, HCE(Host Card Emulation)는 단어 그대로 ‘호스트(메인 프로세서)가 카드를 흉내 내는’ 기술이다. 별도의 물리적 보안 칩(SE)을 거치지 않고, 스마트폰이나 워치의 운영체제(OS) 위에서 돌아가는 애플리케이션(앱)이 직접 NFC 컨트롤러를 제어하여 카드 단말기와 통신한다.
쉽게 비유하자면, 기존 방식이 ‘지갑 속 실물 신분증(하드웨어 SE)’을 꺼내 보여주는 것이라면, HCE는 ‘스마트폰 화면에 띄운 모바일 신분증(소프트웨어)’을 보여주는 것과 같다. 이 덕분에 유심이 없는 블루투스 전용 갤럭시 워치 모델에서도 앱만 설치하면 교통카드 기능을 사용할 수 있게 된 것이다.
앱이 곧 카드… 소프트웨어로 구현된 보안과 유연성
HCE 방식의 핵심은 보안 정보를 하드웨어가 아닌 클라우드 서버와 소프트웨어로 관리한다는 점이다. 갤럭시 워치에 교통카드 앱을 설치하고 카드를 등록하면, 실제 카드 번호 대신 암호화된 가상의 번호인 ‘토큰(Token)’을 발급받아 기기에 저장한다. 사용자가 버스 단말기에 워치를 태그하면, 워치는 이 토큰 정보를 NFC를 통해 단말기로 전송하고, 단말기는 서버를 통해 이 토큰의 유효성을 검증하여 결제를 승인한다.
이 방식은 물리적인 제약이 없기 때문에 서비스 확장이 매우 유연하다. 삼성전자가 이번에 ‘기후동행카드’나 ‘K-패스’ 같은 공공 서비스를 빠르게 도입하고, 사용자가 티머니(T-money)나 이즐(eZL) 중 원하는 결제 방식을 자유롭게 선택할 수 있게 된 배경에도 이러한 소프트웨어 기반의 유연성이 자리 잡고 있다.
삼성전자는 이러한 HCE 기술에 자사의 보안 플랫폼인 ‘삼성 녹스(Samsung Knox)’를 결합하여, 소프트웨어 방식의 잠재적인 보안 취약점을 하드웨어 수준으로 보완하고 있다. 결과적으로 사용자는 보안 걱정 없이 가벼운 손목 위의 결제 자유를 누리게 된 셈이다.
