• 5 Stories

공인인증서·액티브X 축소

2014년 8월부터 쉽고 빠른 온라인 결제가 가능해집니다. 공인인증서 없이도 30만 원 이상 결제할 수 있게 된 것인데요. 액티스X 등 까다로운 절차가 필요했던 기존의 방식보다 빠르고 쉽게 온라인 쇼핑이 가능해질 것으로 보입니다. 하지만 그만큼 보안이 취약해질 가능성도 있어 논란이 예상됩니다.

by NEWSQUARE

고심 끝에 대체, exe

3월 26일. 드디어 액티브X가 사라집니다. 게다가 보안프로그램이 아예 필요 없는 간편 결제도 할 수 있게 됩니다. 아이디와 비밀번호만 입력하면 결제가 가능한 건데요. 미국 페이팔이나 아마존과 같은 방식의 카드 결제가 도입되기 때문입니다. 이번 달 말부터 국내에서도 온라인 쇼핑을 좀 더 쉽고 빠르게 할 수 있는 겁니다.

문제는 보안입니다. 간편하게 결제할 수 있어 편리하지만, 보안이 취약해진다는 한계가 있습니다. 그래서 카드 업계는 공인인증서와 액티브X를 대체할 새로운 대체 프로그램을 시작하는데요. 신한·현대·NH농협카드는 'exe'방식의 보안 프로그램을, 롯데·삼성·하나카드는 각각의 대체 프로그램을 사용할 예정입니다.

'exe' 방식은 범용 보안 프로그램입니다. ▲방화벽과 키보드 보안 등 보안프로그램을 한꺼번에 설치할 수 있습니다. 또한 ▲모든 웹브라우저에서 호환이 된다는 장점도 있습니다. 액티브X가 인터넷 익스플로러에서만 사용할 수 있었다면, exe 방식은 인터넷 익스플로러뿐만 아니라 크롬, 사파리 등 브라우저에서 사용 가능합니다. 모든 웹브라우저에서 호환이 되기 때문에 브라우저를 바꿔 사용할 때 따로 보안 프로그램을 다운 받지 않아도 됩니다.

“exe도 결국 프로그램을 소비자의 기기에 설치해야 하는데 소비자가 프로그램의 선악을 구별할 능력이 없는 가운데 악성코드가 내포돼 있는 프로그램을 설치할 가능성은 똑같다. 새 기술도 여전히 보안에 취약하다. 무늬만 다른 액티브 엑스”

김기창 고려대 법학전문대학원 교수

회의적인 시선도 있습니다. 액티브X나 exe나 소비자가 특정 보안 프로그램을 깔아야 하는 건 변함이 없기 때문인데요. 게다가 exe 프로그램의 효과가 입증되지 않았다는 이야기도 나옵니다. 카드 업계가 사전 시뮬레이션을 통해 충분히 검증을 했다고는 하나, 보안의 특성상 예기치 못한 곳에서 문제가 발생할 수 있기 때문입니다.

여기까지가 끝인가보오, 공인인증서 역사속으로·····

이번 정책의 발단은 천송이 코트였습니다. 지난 3월 열린 규제개혁토론에서 박근혜 대통령이 공인인증서와 액티브 엑스를 ‘암덩어리 규제’라고 칭하면서 시작된 것인데요. 외국인들이 천송이 코트를 사려고 하나 액티브 엑스와 공인인증서의 까다로운 절차 때문에 발길을 돌리는 현실을 개선해야 한다고 주장했습니다. 그 이후 정부는 온라인 결제에서 공인인증서 의무사용을 폐지했는데요. 문제는 카드사들이 보안 때문에 공인인증서를 포기하기 힘들었다는 겁니다.

사실 액티브 엑스를 활용한 공인인증서는 암덩어리 라고 불릴 만한 시스템은 아닙니다. IT강국이지만 제대로 된 보안시스템이 없던 시절, 마이크로소프트의 웹브라우저 기술인 액티브 엑스를 활용한 공인인증서는 쉽고 빠르면서 안전한 보안시스템이었습니다. 우리가 아는 대로 마우스 클릭 몇 번이면 이미 만들어진 모듈이 다운로드 되면서, 보안 시스템이 작동하기 때문입니다. 문제는 우리나라가 이에 안주한 나머지 보안시스템에 대한 연구를 소홀히 했다는 점입니다. 인터넷 기술은 나날이 발전했지만 그에 맞는 편리하고 안전한 보안시스템을 개발하지 못했고, 액티브 엑스 기반 공인인증서 시스템 없이는 아무것도 못하는 나라가 돼버렸습니다.

팔로팔로미, 쉽고 빠른 온라인 결제

“금년 하반기 중에는 온라인상 상거래 시 공인인증서 이외의 대체 인증수단을 제공할 수 있도록 하겠다.”

금융위원회

관건은 공인인증서와 액티브 엑스를 대체할 인증 수단입니다. 금융위원회와 미래창조과학부는 대체 인증수단을 제공한다고 나섰습니다. ▲휴대폰 자동인증전화(ARS)나 ▲문자메시지(SMS)를 통한 본인 인증 방식 등이 그것인데요. SMS인증은 카드사가 소비자에게 휴대폰으로 문자를 보내면, 소비자는 문자로 받은 번호를 결제창에 입력해 본인임을 인증하는 방식입니다. ARS인증은 결제 시점에 카드사가 소비자에게 혹은 소비자가 카드사에 전화해 인증에 필요한 번호를 주고 받게 됩니다. 롯데카드·외환카드·NH농협카드는 SMS인증 방식을, 비씨카드·삼성카드·하나SK카드·현대카드·KB국민카드는 ARS인증 방식을 도입하며 신한카드는 고객이 두 방식 중 한 가지 방식을 고르도록 할 예정입니다.

뿐만 아니라 ▲PG(Payment Gateway)의 서비스도 적극적으로 활용될 예정입니다. PG서비스는 우리가 카드 정보를 인터넷 쇼핑몰 등에 저장해두면, 매번 입력하지 않아도 간단한 개인인증을 거쳐 결제할 수 있게 합니다. 한 번의 클릭으로도 결제되게 하는 시스템으로 미국 ‘아마존’이나 ‘페이팔’, 중국 ‘알리페이’ 등이 대표적입니다.

문제는 보안입니다. 카드정보 유출을 막기 위해서 그동안 인터넷 쇼핑몰이나 PG가 고객 카드정보를 저장하는 것을 금지해왔는데요. PG서비스를 적극적으로 활용하기 위해서는 규제 완화를 할 수밖에 없습니다. 이 때문에 여전히 보안에 대한 걱정이 남아있습니다. 정부 당국은 기술력·보안성·재무력이 있는 결제 대행업체에 맡겨 괜찮다는 입장이지만 카드사와 고객들의 마음은 편치 않습니다.

카드정보유출책임, PG사의 몫으로·····

쉽고 빠른 온라인 결제 도입은 ‘양날의 검’입니다. 간편하지만 그만큼 불안하기 때문인데요. 금융당국은 이러한 불안감을 해소하기 위해 제도적 뒷받침에 나섰습니다. 카드정보 유출 시 PG사가 그 책임을 지게 한 것입니다. 이는 카드사가 PG사와의 계약을 통해 공유한 카드정보가 PG사의 고의 또는 중과실로 빠져나갔을 경우에 해당됩니다. 뿐만 아닙니다. PG사가 카드정보를 보유하기 위해서는 금융감독원에 물리·관리·기술적 안정성을 검사·감독받아야 하고, 카드회원이 정보 수집 및 허용에 동의해야만 가능하도록 했습니다.

하지만 카드사는 여전히 부족하다는 입장입니다. 지금의 정책이 사후대책에 불과하기 때문입니다. PG가 정보유출의 책임을 진다고는 하나, 결국 카드사 고객들의 정보가 유출되는 것이기에 카드사는 민감할 수밖에 없습니다. 카드사가 지금보다 더 확실한 안전장치가 마련돼야 한다고 입을 모아 이야기하는 이유입니다.

지름신께서 강림하사, 결제버튼을 누르셨네.

지름신께서 초스피드로 강림하실 예정입니다. 그분을 막던 공인인증서나 추가 인증절차가 사라졌기 때문인데요. 29일부터 소비자들은 대부분의 국내 온라인쇼핑몰에서 결제 금액에 상관없이 추가 인증을 하지 않아도 결제를 할 수 있게 됐습니다. 아이디와 비밀번호만 입력하면 ‘결제 끝!’인 겁니다.

이는 정부가 적극적으로 추진하는 규제개혁의 일환인데요. 예전엔 30만원 이상을 결제하려면 여러 장애물을 거쳐야 했습니다. 문자메시지나 자동응답시스템을 거쳐 추가인증을 해야 했던 겁니다. 하지만 이번 개혁으로 쉽고 빠른 결제 환경이 구축될 것으로 보입니다.

▲비씨카드는 지난 달부터, 롯데카드는 지난 18일부터 대형 온라인 쇼핑몰을 대상으로 ▲신한카드와 삼성카드, 현대카드는 29일부터 ▲KB국민카드는 30일부터 일부 가맹점을 대상으로, ▲하나카드는 31일부터 일부 가맹점을 대상으로 간편 결제 서비스를 시작한다고 합니다.

하지만 여전히 보안문제는 남아있습니다. 원전 해커문제나 농협해킹 등 허약한 보안 시스템으로 인한 피해가 속출하고 있는데요. 규제개혁과 함께 보안시스템을 강화해야한다는 목소리도 나오고 있는 까닭입니다.

고심 끝에 대체, exe

3월 26일. 드디어 액티브X가 사라집니다. 게다가 보안프로그램이 아예 필요 없는 간편 결제도 할 수 있게 됩니다. 아이디와 비밀번호만 입력하면 결제가 가능한 건데요. 미국 페이팔이나 아마존과 같은 방식의 카드 결제가 도입되기 때문입니다. 이번 달 말부터 국내에서도 온라인 쇼핑을 좀 더 쉽고 빠르게 할 수 있는 겁니다.

문제는 보안입니다. 간편하게 결제할 수 있어 편리하지만, 보안이 취약해진다는 한계가 있습니다. 그래서 카드 업계는 공인인증서와 액티브X를 대체할 새로운 대체 프로그램을 시작하는데요. 신한·현대·NH농협카드는 'exe'방식의 보안 프로그램을, 롯데·삼성·하나카드는 각각의 대체 프로그램을 사용할 예정입니다.

'exe' 방식은 범용 보안 프로그램입니다. ▲방화벽과 키보드 보안 등 보안프로그램을 한꺼번에 설치할 수 있습니다. 또한 ▲모든 웹브라우저에서 호환이 된다는 장점도 있습니다. 액티브X가 인터넷 익스플로러에서만 사용할 수 있었다면, exe 방식은 인터넷 익스플로러뿐만 아니라 크롬, 사파리 등 브라우저에서 사용 가능합니다. 모든 웹브라우저에서 호환이 되기 때문에 브라우저를 바꿔 사용할 때 따로 보안 프로그램을 다운 받지 않아도 됩니다.

“exe도 결국 프로그램을 소비자의 기기에 설치해야 하는데 소비자가 프로그램의 선악을 구별할 능력이 없는 가운데 악성코드가 내포돼 있는 프로그램을 설치할 가능성은 똑같다. 새 기술도 여전히 보안에 취약하다. 무늬만 다른 액티브 엑스”

김기창 고려대 법학전문대학원 교수

회의적인 시선도 있습니다. 액티브X나 exe나 소비자가 특정 보안 프로그램을 깔아야 하는 건 변함이 없기 때문인데요. 게다가 exe 프로그램의 효과가 입증되지 않았다는 이야기도 나옵니다. 카드 업계가 사전 시뮬레이션을 통해 충분히 검증을 했다고는 하나, 보안의 특성상 예기치 못한 곳에서 문제가 발생할 수 있기 때문입니다.