HCE(Host Card Emulation)

'보안요소'(SE, Secure Element)를 사용하지 않는 카드 에뮬레이션 방식으로, 안드로이드 4.4 버전부터 지원되었다. 

클라우드에 카드 정보를 저장하는 결제 방식을 말한다. 구글 안드로이드 운영체제(OS)인 킷캣과 블랙베리10에서 지원한다. 마그네틱 띠에 저장된 카드 정보를 스마트폰이 아닌 클라우드에 보관한다. 스마트폰에 깔린 모바일 앱이 결제 때마다 접속해 정보를 가져온 후 근거리무선통신(NFC)으로 결제한다. 스마트폰에는 어떤 카드 정보도 저장하지 않기 때문에 스마트폰을 분실하거나 도난당해도 신용카드 정보가 유출되거나 부정 사용될 가능성이 낮다. HCE 기술을 활용하면 은행과 인터넷 쇼핑몰은 소비자가 어떤 통신사를 쓰든지 상관없이 안드로이드 앱에 모바일 결제 기능을 넣을 수 있다. HCE는 최신 안드로이드 OS만 지원하고 NFC 기능이 내장된 스마트폰만 쓸 수 있다. NFC 결제 단말기 보급도 필수다. 미국 대형 유통점 25%, 소형 매장 5%만이 NFC 결제 단말기를 쓴다.

기존의 NFC 통신 기반 모바일 결제를 위해서는 스마트폰 제조업체, 네트워크 사업자, 모바일 거래 관리업체(TSM), 신용카드사 간에 신용카드 정보를 USIM이나 마이크로SD카드와 같은 하드웨어에 저장하는 '보안요소'를 통해 주고받았는데, 호스트 카드 에뮬레이션 방식은 이러한 '보안요소'를 통하지 않고 안드로이드 앱이 NFC 리더와 직접적으로 통신할 수 있도록 함으로써 카드사가 USIM의 소유자인 네트워크 사업자의 협조 없이 직접 신용카드 앱을 통해 결제를 수행할 수 있도록 한다.

우리나라의 경우 보안요소가 대부분 USIM에 저장되는데 이러한 USIM SE 방식은 높은 보안성을 제공하고 인증 절차가 단순한 반면, 고객이 USIM을 필수적으로 구입해야 하며 개발시 네트워크 사업자의 협조가 반드시 필요하다는 단점이 있다. 반대로 호스트 카드 에뮬레이션 방식은 USIM이 따로 필요 없고 카드사가 독립적으로 결재 앱을 개발할 수 있는 반면, 인증 절차가 복잡하고 소프트웨어 보안만 제공되기 때문에 보안성이 낮다는 단점이 있다.

이러한 보안 취약성을 보완하기 위해 외부 서버(클라우드)에 카드 정보를 저장하는 방식을 취하지만, 카드 정보가 네트워크 통신을 통해 송수신되고, 결국 앱에서 처리되기 때문에 정보 유출의 위험이 있다. 이를 보완하기 위해 애플페이 및 삼성페이에서는 1회용 임시 카드 정보를 생성 및 사용하는 토큰화(Tokenization) 기술을 활용하고 있다.

출처

[네이버 지식백과] 호스트 카드 에뮬레이션 [Host Card Emulation] (두산백과)

[네이버 지식백과] 호스트 카드 에뮬레이션 [Host Card Emulation] (ICT 시사상식 2015, 2014.12.31, 한국정보통신기술협회)