{{{#!wiki style="margin:0 -10px -5px; min-height:calc(1.5em + 5px)" {{{#!folding [ 펼치기 · 접기 ] {{{#!wiki style="margin:-5px -1px -11px" |
티머니 | 티머니( 팝티머니 · 신 한꿈이카드 · 기후동행카드 · 와우패스) · 유패스† · 구 한꿈이카드‡ · 탑티머니‡ |
이동의즐거움 | 이즐H( 이베스트카드 · eB 티머니 · eB 유패스 · 티모아†) · 한페이H · 하나로카드† · 마이비† | |
한국철도공사 | 레일플러스H | |
iM유페이 | 원패스( 탑패스†) · 대경교통카드 | |
기타 | payOn · 삨R† · 하이패스H · 김해그린카드‡ · 센스패스‡( 탑캐시‡) · A-Cash‡ · K-Cash‡ | |
H 선불하이패스 겸용 / R 레일플러스 기반 / † 단종 / ‡ 단종 및 통용중지 | }}}}}}}}} |
<colcolor=#ffffff> payOn | |
<colbgcolor=#FF69B4> 운영 | <colbgcolor=#ffffff,#1f2023> 페이온협의회 |
개발 | KB국민카드 |
서비스 개시 |
1997년
4월[국민패스카드] 2007년[payOn] |
규격 | MIFARE Classic |
사용 지역 | 대한민국( 신용카드사 별로 상이) |
지불 방식 | 후불식 |
권종 |
통합권종 우대권 |
발급 카드사 | 비씨카드[3], 삼성카드, 현대카드, 롯데카드, 우리카드, 하나카드, 신한카드, KB국민카드, 씨티카드, 수협은행, NH농협카드, 광주은행, 제주은행, 전북은행 |
[clearfix]
1. 개요
페이온협의회[4]의 RFID 신용카드 비접촉 결제 규격. 후불교통카드에 주로 쓰여 교통카드용 규격으로 오인할 수 있으나, 엄연히 신용카드 결제 규격이다. 1997년 4월에 발표된 세계 최초의 후불교통카드인 국민패스카드의 후신이다.기술 규격과는 별개로 PAYCO가 이것과 망을 공유하는 것으로 알려져 있다. 그래서 거의 모든 페이코 NFC 단말기에는 페이온 결제 기능이 탑재되어 있는데, KCP-C2100의 경우 특수 메뉴를 잘 보면 후불교통카드 결제를 켜고 끌 수 있으나 대부분 꺼져있는 상태로 보급된다.
서울 지하철에 최초로 도입된 교통카드로, 최초의 교통카드인 유패스보다 도입이 더 빨랐다.[5]
2. 기술
기술적으로는 MIFARE Classic 1k 기반으로 되어 있다.3. 가맹점
후불교통카드 이용에 널리 쓰이고 있다. 거의 모든 가맹점들이 버스, 지하철을 포함한 대중교통이라서 사실상 후불교통카드 전용 규격이라고 할 수 있다.다른 가맹점 수가 가뭄에 콩나는 수준인 데다가 소비자의 인식에서는 후불교통카드로만 고착화되어 있어서 소수 가맹해 있는 곳에서마저 활용할 수 없는 경우가 대부분이다.[6] 자판기에서는 그나마 자주 사용되는데 대부분 후불교통카드 호환이라고 써 놓는다. 가맹점에서 페이온 결제를 받기 위해서는 EMV Contactless와 달리 단말기에 별도의 MIFARE 모드를 지원하는 SAM 칩(PSAM)[7]을 장착할 필요가 있다.[8]
일부 카드사는 페이온 규격을 사용하지 않고 티머니나 캐시비, 또는 레일플러스 규격을 사용하고 있다. 혹은 페이온을 탑재하더라도 그냥 '교통카드'나 '멀티 후불교통카드' 같은 글자만 새겨놓기도 한다.
시외버스에서는 제한된 곳이 많으니 이점 주의하자.[9]
4. 문제점
4.1. 취약한 보안성
MIFARE Classic 기반 기술이기에 보안 기능이 매우 취약하다.[10] 티머니, 캐시비 등 선불 교통카드는 ISO/IEC 14443 Type A 기반의 KS X 6924 방식을 사용하고 있어서 보안성에는 문제가 없지만, payOn은 결제한도가 많다고 해봐야 하이브리드 체크카드의 소액신용한도처럼 30만 원에 불과한 후불교통카드의 역할 외에는 사장된 기술이나 다름 없다고 취급하는지 아무런 조치가 없다.[11] 이는 완벽하지는 않지만 payOn에 보안을 위한 설계가 나름대로 되어 있기 때문이다.실제로 payOn을 복제한 용자가 나타났다. Flipper Zero의 특성상 섹터를 통째로 복사한듯 하다.[12] 이미 MIFARE Classic은 완전히 탈탈 털린지 10년이 넘었기 때문에 복제하는 것이 어렵지 않다.
4.2. 빈약한 가맹점망
사용할 수 있는 가맹점이 사실상 대중교통으로 한정되어 있다. 그나마 SPC 계열 프랜차이즈에서 받아주기는 하지만, 최근에는 페이온 거래를 받지 않는 가맹점도 심심찮게 보인다.[13] 심지어 시외버스의 대부분은 페이온을 지원하지 않는 곳이 많다.일부 자판기나 신용카드 조회기에서 지원하는 경우는 있으나, 전용 SAM이 있어야 한다.
4.3. 기술적 문제점
MIFARE Classic 규격 자체의 문제점 때문에 모바일 간편결제 수단으로 사용하기에는 무리가 있다. MIFARE Classic은 국제 표준 RFID 규격인 ISO/IEC 14443 중에서 14443-4를 준수하지 않기 때문에 비표준 규격이다. 따리서 이 카드를 읽으려면 단말기가 MIFARE mode를 별도로 지원해야 한다. 과거의 휴대전화와 단말기들은 대부분 MIFARE mode를 지원했지만, 현재 대부분의 스마트 폰에서 이 기능이 빠졌기 때문에 최신 스마트 폰에서는 MIFARE Classic 기반의 payOn을 사용할 수 없다. 따라서 payOn이 RFID를 사용하는 비접촉 결제 규격일지라도 EMV Contactless, JUSTOUCH 같이 국제표준 규격을 채용한 지불방식과는 다르게 모바일 거래 수단으로 사용하기에 한계가 있다. payOn의 거의 유일한 사용처인 대중교통 서비스도 휴대전화에서는 MIFARE 구현이 불가능해 티머니나 이즐의 솔루션으로 우회해서 제공하고 있다.만약 payOn이 MIFARE DESFire EV2나 KS X 6924 같이 국제표준을 준수하는 최신 규격으로 교체되었더라면 일본의 iD나 퀵페이처럼 Apple Pay 같은 간편결제에 도입됨은 물론 각종 가맹점에서 국내 발급 카드의 비접촉 결제에 널리 사용되는 규격으로 자리잡았을지도 모른다. 하지만 payOn 협의회는 후불교통카드가 적자사업이라는 이유로 MIFARE Classic을 벗어나려는 노력은 전혀 들이지 않았고[14], 그러다가 결국 기술적 사유로 인해 국내용 삼성페이 도입이 무산되었고, 이후 Apple Pay 도입과 함께 비접촉 결제가 본격적으로 도입되고 있는 2023년에는 간편결제에는 어울리지 않는 구식 규격 취급을 받게 되었다.
5. 전망
비자카드가 2022년 4월부터, 마스터카드가 2022년 10월부터 IC카드에 EMV Contactless 기능 의무 탑재를 요구하면서 비접촉 결제 규격 보급에 대한 논의가 이루어지고 있다.현재 payOn은 MIFARE Classic을 사용하는지라 보안상 문제가 있고, 국제표준 규격인 ISO/IEC 14443-4과는 호환이 되지 않기 때문에 언젠가는 세대 교체가 필요하다. 특히 스마트폰 제조사들은 점차 MIFARE Classic 기능을 삭제하였고 현재 대부분의 스마트폰이 이를 지원하지 않기 때문에 payOn을 모바일 간편결제에서 사용하기 어렵다.[15] 훗날 JUSTOUCH나 KLSC, 또는 EMV Contactless로 대체되거나, payOn 브랜드와 관련 결제망은 유지하고 기술적 기반만 신형 MIFARE DESFire EV2 혹은 KS 규격으로 변경하여 계속 사용할 가능성도 있다.
다만 어느 방법을 선택하든지 교통카드 단말기 업데이트가 필요하여 큰 비용이 소요되기 때문에 payOn 협의회가 해체되고 티머니나 캐시비, 또는 레일플러스의 후불 기능을 탑재하여 사용할 가능성도 있다.
그러나 신한카드나 롯데카드, 삼성카드, NH농협카드에서 payOn 후불교통카드와 비접촉결제가 같이 되는 카드가 발급되고 있어, 사용자의 이용 측면에서는 payOn에 대한 변화를 기대하기가 매우 어려운 상황이 되었다. 즉, payOn이 직접 EMV Contactless 인증을 받거나 혹은 규격이 바뀔[16]가능성이 매우 낮다는 말이다.
[국민패스카드]
[payOn]
[3]
회원사 포함
[4]
의장사는
KB국민카드다.
[5]
유패스는 1996년
서울특별시 시내버스용으로 첫 도입됐으며, 지하철 도입은 2000년이다. 버스/지하철 동시에 사용 가능한 최초의 교통카드는 1998년
하나로카드다.
[6]
섹타나인에서 SPC 가맹점에 공급하는 SR-170P 단말기는 PSAM을 장착한 경우 MIFARE Classic과 ISO/IEC 14443을 구분하기 위해 두 번 인식한다. PSAM이 장착되지 않은 경우 MIFARE Classic을 생략하고 ISO/IEC 14443만 인식한다.
[7]
단가는 개당 5만원에서 수십만 원 정도. 몇몇 단말기(특히 KIS, KCP 단말기)에는 기본적으로 내장되어 있다.
[8]
KCP 단말기 및 일부 모바일용 카드 결제 어플(페이앱, CELLFIE 등)의 경우 서버 방식 SAM을 사용하고 있다.
[9]
특히 교통카드 사용 시스템이 정착되어 있는 경기, 경남 지역 시외버스를 제외하면 호환이 안되어있는 곳이 많다. 그래도 경기 시외버스의 교통카드 가능 노선은 호환이 된다.
[10]
다수의 섹터를 사용한다고 알려져 있지만 시간이 오래 걸려도 그 걸 통째로 공격해서 복제할 수도 있기 때문에 취약하다는 점은 그대로다.
[11]
취약점을 이용하여 카드번호와 CVV/CVC, 유효기간을 알아내서 마그네틱에 주입한다면 이야기가 달라지겠지만 아직은 그런 사례가 없고 그럴 바에는 마그네틱 부를 통째로 복사한다. 또한 마그네틱에는 카드번호 외에도 유효기간과 코드를 포함한 각종 정보들을 더 넣어두었기 때문에 단순히 카드 번호만 알아서는 마그네틱을 복제할 수 없다. 단, 대중교통에서는 단순한 카드번호로만 무승인을 내는 것으로 보아 카드번호 유지 재발급을 이용할 경우 누군가가 카드를 탈취해도 결제가 차단되지 않고 결제내역이 정상 청구되므로 이 점에서는 문제가 있다.
[12]
EMV 방식의 경우 일부 카드정보를 가져올 수 있으나 결제 단말기의 보안 상태에 따라 대부분의 경우 실제 Flipper을 이용해서는 결제가 불가능하다. 다만 단말기가 보안이 약한 경우 결제가 가능할 수 있긴 하다.
[13]
최근 SPC 계열 가맹점에 설치된 단말기와 다른 점포에 설치된
섹타나인 단말기는 페이온 SAM이 없거나 지원하지 않는 경우가 대다수이다. 이 경우, SR-170P 기준으로 MIFARE Classic을 무시하고 ISO/IEC 14443을 바로 인식한다.
[14]
2023년 기준으로 이미 10년도 전인 2010년대 초반에 이미 MIFARE Classic 카드에 대한 충전금액 제한이나 사용제한 같은 각종 제한조치가 들어갔었다. 그리고 이 카드들은 비슷한 시기 대부분 KS 규격이 들어간 신형 카드로 교체되었다.
[15]
실제로 가상 MIFARE 모드를 지원하지 않는 앱으로 읽으려고 하면 읽지 못한다.
[16]
단, EMV Contactless 규격으로 변경될 경우에는 이야기가 달라진다.