유럽 PSD3가 그리는 '비밀번호 없는 결제' 시대, 한국은 어디쯤 와 있나

유럽연합이 결제 규제의 큰 틀을 다시 짜고 있다. 2007년 제정된 결제서비스지침(PSD)의 세 번째 개정판인 PSD3와 함께 결제서비스규정(PSR), 그리고 금융데이터접근(FIDA) 프레임워크가 한 묶음으로 논의되는 흐름이다. 핵심은 단순한 보안 강화가 아니라, 결제 인증 방식 자체를 '비밀번호와 일회용 문자(OTP) 중심'에서 '기기와 생체인증 기반'으로 옮기려는 방향성에 있다. 업계에서는 이를 사실상 '비밀번호 없는 결제(passwordless payment)'로의 전환 신호로 읽고 있다.

배경을 보면 이해가 쉽다. 유럽은 앞선 PSD2에서 '강력고객인증(SCA)'을 의무화했다. 결제할 때 비밀번호, OTP, 생체정보 같은 요소를 둘 이상 조합하라는 규정이다. 보안은 좋아졌지만, 결제 단계가 늘어나면서 도중에 이탈하는 소비자가 적지 않다는 불만이 꾸준히 제기됐다. 여기에 애플·구글이 주도해 온 패스키(passkey) 같은 기기 기반 인증 기술이 빠르게 자리 잡으면서, 'OTP를 입력하는 번거로움 없이도 충분히 안전한 인증이 가능하다'는 인식이 확산됐다. PSD3 논의는 이런 기술 변화를 규제가 뒤늦게 따라가는 성격이 강하다. 다만 PSD3와 PSR은 아직 입법 절차가 진행 중인 단계로, 최종 문구와 시행 시점은 확정되지 않은 것으로 알려졌다[최신 정보 확인 권장].

이해관계는 단순하지 않다. 핀테크와 결제대행사(PSP)는 인증 단계가 줄면 결제 전환율이 올라간다는 점에서 환영하는 분위기다. 반면 전통 은행권은 사기 책임 소재와 데이터 공유 범위를 두고 신중한 입장을 보인다. FIDA가 함께 묶이면서 금융 데이터의 외부 개방 범위가 넓어지면, 결국 누가 고객 접점을 쥐느냐의 문제로 이어지기 때문이다. 카드 네트워크와 빅테크는 패스키 표준을 선점하려는 움직임이 뚜렷하다. 즉 '비밀번호 없는 결제'는 편의성 이슈인 동시에, 결제 데이터와 인증 인프라의 주도권 다툼이라는 측면을 함께 갖고 있다.

한국 독자 입장에서 이 흐름이 먼 나라 이야기만은 아니다. 국내는 이미 간편결제와 생체인증이 일상화돼 있고, 휴대폰 본인확인과 앱 기반 인증이 널리 쓰인다. 표면적으로는 유럽보다 앞서 보이는 부분도 있다. 그러나 인증의 표준화와 책임 분담 체계는 결이 다르다. 유럽이 규정으로 '인증 방식의 호환성과 사기 책임'을 정리하려는 데 비해, 한국은 사업자별로 인증 방식이 제각각이고 분쟁 시 책임 소재도 명확하지 않은 경우가 있다. 그래서 확인할 체크포인트는 세 가지로 정리된다. 첫째, 국제 표준 패스키와 국내 인증 체계가 얼마나 호환될 것인가. 둘째, 비밀번호 없는 결제에서 사고가 났을 때 소비자 보호와 책임 분담을 어떻게 규정할 것인가. 셋째, 금융 데이터 개방이 확대될 때 국내 오픈뱅킹·마이데이터 제도와 어떻게 맞물릴 것인가다.

개인적으로는 한국이 기술 도입은 빨라도 제도 정비는 늘 한 박자 늦는 패턴을 반복해 왔다고 본다. 비밀번호 없는 결제 역시 '편하니까 일단 쓴다'가 먼저 오고, 분쟁이 터진 뒤에야 규정을 손보는 순서가 될 가능성이 있다. 유럽의 PSD3 논의를 지켜봐야 하는 이유는 정답을 베끼기 위해서가 아니라, 그들이 미리 부딪히는 책임·데이터·표준 문제를 우리도 곧 마주하게 되기 때문이다. 결국 소비자가 체감하는 건 '비밀번호를 안 쳐도 되는 편함'이지만, 그 뒤에서 누가 책임을 지고 누가 데이터를 갖느냐가 진짜 승부처다.