인도 중앙은행(RBI·Reserve Bank of India)이 자국 내 대부분의 온라인 결제 거래에 2단계 인증(Additional Factor of Authentication, AFA)을 사실상 의무화하는 규제 틀을 다져온 것으로 알려졌다. 카드 번호와 유효기간만 입력하면 결제가 끝나는 방식이 아니라, OTP나 생체 인증 같은 '두 번째 관문'을 반드시 통과해야 거래가 승인되는 구조다. 인도는 세계 주요국 가운데 이 원칙을 가장 강하게, 그리고 일관되게 밀어붙여 온 나라로 꼽힌다.

A busy urban street market in India at dusk, vendors and shoppers using smartphones for mobile payments at small stalls, warm ambient lighting, documentary style, no visible writing or sign

배경을 보면 이야기가 선명해진다. 인도의 디지털 결제 시장은 지난 몇 년간 폭발적으로 커졌다. UPI(통합결제인터페이스)라는 실시간 송금 시스템이 노점상까지 파고들면서, 스마트폰 QR 결제가 도시와 농촌을 가리지 않고 퍼졌다. 시장이 빠르게 커지면 사기와 피싱도 따라온다. RBI가 강경하게 2단계 인증을 요구한 배경에는 '성장 속도만큼 보안이 따라가지 못하면 신뢰 자체가 무너진다'는 판단이 깔려 있었던 것으로 풀이된다. 규제 당국 입장에서 결제 시스템의 신뢰는 곧 금융 시스템 전체의 신뢰이기 때문이다.

흥미로운 지점은 이해관계자마다 셈법이 다르다는 것이다. 글로벌 카드사와 일부 핀테크 기업은 인도의 강력한 인증 요구가 '결제 마찰(friction)'을 키운다며 불편함을 토로해 온 것으로 전해진다. 결제 단계가 하나 늘어나면 그만큼 이탈하는 소비자가 생기고, 구독 서비스처럼 자동 결제가 필요한 사업 모델은 설계가 까다로워진다. 반면 소비자 보호 단체와 국내 은행권은 사기 피해를 줄이는 방어선이라며 대체로 지지해 온 분위기다. 결국 이건 '편리함이냐, 안전함이냐'라는 오래된 저울질의 인도식 답안인 셈이다.

한국 독자에게 이 사안이 남의 나라 이야기만은 아니다. 국내 온라인 결제에서도 간편결제가 대세가 되면서 '한 번 등록하면 비밀번호나 지문만으로 끝'인 흐름이 자리 잡았다. 편리함은 분명 커졌지만, 그만큼 계정 탈취나 명의도용 사고가 났을 때 방어벽이 얇아진다는 우려도 함께 있다. 인도 사례는 규제 당국이 마찰을 감수하고서라도 인증 단계를 지키게 하는 선택이 어떤 결과를 낳는지 보여주는 일종의 실험장에 가깝다. 해외 직구나 해외 구독 서비스를 이용할 때 결제가 유독 번거롭게 느껴진 경험이 있다면, 그 배경에 이런 나라별 인증 규제 차이가 있는 경우가 많다.

다만 단정은 이르다. 인도의 인증 의무화가 사기 피해를 얼마나 줄였는지에 대한 정밀한 효과 분석은 기관마다 해석이 엇갈리는 것으로 알려졌고, 생체 인증 확대 과정에서 개인정보 보호 문제가 새로운 쟁점으로 떠오를 수 있다는 전망도 나온다. 편리함과 안전 사이의 균형점은 나라마다, 시대마다 다시 그어질 수밖에 없다. 개인적으로는, 결제가 조금 귀찮아지는 대가로 내 계좌가 한 겹 더 보호된다면 그 정도 불편은 기꺼이 감수할 만하다고 본다. 물론 그 판단은 각자의 몫이다.

자주 묻는 질문(FAQ)

인도의 2단계 인증(AFA)은 구체적으로 어떤 방식인가요?

카드 정보 입력만으로 결제가 끝나지 않고 OTP, 비밀번호, 생체 인증 같은 두 번째 인증 요소를 추가로 통과해야 거래가 승인되는 방식으로 알려져 있습니다. RBI가 온라인 거래 전반에 이 원칙을 요구해 왔습니다.

이 규제가 한국 소비자에게도 영향을 주나요?

인도 가맹점이나 서비스에서 결제할 때 인증 단계가 늘어 번거롭게 느껴질 수 있습니다. 또한 나라별 인증 규제 차이가 해외 직구나 구독 결제의 편의성 차이로 이어지는 경우가 많습니다.

왜 카드사와 핀테크는 강한 인증을 불편해하나요?

결제 단계가 하나 늘어날수록 중간에 이탈하는 소비자가 생기고, 자동 결제 기반 사업 모델의 설계가 까다로워지기 때문으로 전해집니다. 이를 '결제 마찰'이라 부릅니다.