감히 액티브엑스 없이 결제를? 알라딘이 왕따 당했던 사연.

"시대착오적 관치 보안... 공무원 마인드로 획일적 보안 시스템 강요, MS·IE 중독 심각."

인터넷 서점 알라딘은 최근 액티브엑스(ActiveX) 설치 없이 결제가 가능한 시스템을 도입했다. 따로 플러그인을 설치할 필요도 없고 마이크로소프트 인터넷 익스플로러(IE) 뿐만 아니라 모질라 파이어폭스나 구글 크롬, 애플 사파리 같은 여러 웹 브라우저에서 접근 가능하다. 윈도우즈를 비롯해 맥과 리눅스 등등 모든 운영체제를 지원한다. 당연히 모바일도 지원한다. 흥미로운 건 알라딘이 이런 사실을 전혀 홍보하지 않고 있다는 사실이다.

알라딘은 액티브엑스 없는 결제 시스템을 만들었다가 혼쭐이 난 경험이 있다. 2009년 나름 업계 최초로 모든 운영체제와 브라우저를 지원한다고 떠들썩하게 홍보를 했는데 1년 반만에 눈물을 머금고 접을 수밖에 없었다. 감히 액티브엑스 없는 결제 시스템을 만들다니! 카드회사들이 이런 시스템으로는 거래를 할 수 없다고 일방적으로 제휴를 중단했기 때문이다. 결국 어떤 신용카드로도 거래를 할 수 없는 지경에 이르자 항복 선언을 할 수밖에 없었다.

그랬던 알라딘이 최근 액티브엑스 없는 간편 결제 시스템을 다시 구동했다. 김성동 알라딘 마케팅팀 팀장은 "이번에는 언론에 보도자료도 뿌리지 않고 조용히 오픈했다"고 말했다. "카드회사들이 또 거래를 끊겠다고 할까봐 조심스럽다"는 설명이다. 김 팀장은 "간편 결제 시스템을 중단한 이후 결제 직전에 사이트를 벗어나는 비율이 늘어났다"면서 "상당수는 IE 이외의 브라우저를 쓰는 것으로 추정되는데 이들을 붙잡아야겠다고 판단했다"고 설명했다.

알라딘에 결제 시스템을 제공하는 페이게이트의 박소영 대표는 "엄청난 연구개발 비용을 들여 플러그인 설치가 필요 없는 퓨어 웹 기반의 결제 시스템을 개발했는데 카드회사들이 이를 받아들이지 않고 있다"고 비판했다. 검증이 안 된 시스템이라고 해서 금융감독원에서 마련한 인증방법 평가심사위원회에서 의뢰해 공식 인증수단으로 인정을 받았는데 그래도 무차별 왕따를 당하고 있다는 이야기다.

금융감독원 IT감독국 IT총괄팀 김윤진 팀장은 "의도적으로 특정 결제 시스템을 배제하는 일은 없다"면서도 "카드회사들이 채택하지 않겠다는 걸 금감원이 강제할 수는 없지 않느냐"고 반문했다. 금감원은 공식 인증수단을 추가 인정해 준 것만으로 할 일을 다 했다는 입장이지만 여전히 시장에서는 액티브엑스 없는 결제 시스템을 용납하지 않고 있다. 금감원은 카드회사들 핑계를 대고 카드회사들은 금감원 눈치를 보며 몸을 사리고 있는 상황이다.

오픈넷에서 활동하고 있는 김기창 고려대 법학과 교수는 "BC카드와 KB국민카드 등은 자회사들이 개발한 액티브엑스 기반의 ISP(안전결제)라는 사설 인증키 시스템을 쓰고 있는데 인증키가 담긴 폴더를 통째로 복사해갈 경우 비밀번호만 알면 결제를 할 수 있다"고 지적했다. 카드번호를 한번만 입력해두면 그 다음부터는 비밀번호만 입력하면 되기 때문에 편리하지만 그만큼 보안 위험도 크다는 이야기다.

김 교수는 "액티브엑스 기반 시스템을 강요하는 것도 문제지만 다른 결제 방식을 허용하지 않는 게 더 큰 문제"라고 지적했다. 김 교수는 "PC에 신용카드 정보를 저장해 두고 암호화해서 전송하면 안전하다는 건데 그 정보가 유출될 위험은 생각하지 않는, 한 마디로 쓰레기 같은 시스템"이라고 비난했다. 김 교수는 "금감원이 이런 시스템을 카드회사들에게 강요하고 있다는 정황 근거가 있다"고 덧붙였다.

페이게이트 이동산 이사는 "금감원에서 허용한다고 하는데도 카드회사들이 외면하는 배경에는 금융위원회가 금감원을 지배하고 금감원이 카드회사들을 지배하는 피라미드식 관치 금융이 있다"면서 "전문 지식이 없는 공무원들이 유저 인터페이스나 체크 박스까지 하나하나 지시하고 그런 획일화된 기준이 카드회사들과 결제 대행업체들을 거쳐 모든 인터넷 사이트에 강제 적용되는 후진적인 감독 관행이 문제"라고 지적했다.

알라딘은 컴퓨터에 저장된 사설 인증키를 전송하는 방식 대신 특정 금액을 사전 결제하고 그 금액을 문자 메시지를 통해 확인 받는 방식으로 본인 인증을 한다. 알라딘이 신용카드 정보를 저장하고 있기 때문에 한번 결제를 하고 나면 두 번째부터는 알라딘 비밀번호만 입력하면 된다. 심리적인 지불 장벽이 낮아지는 효과가 있고 발송이 시작되는 시점에 최종 결제가 되기 때문에 주문 변경 등이 쉽다는 장점도 있다.

결국 액티브엑스를 설치하지 않고도 신용카드 결제가 가능하게 됐지만 전자금융거래법에 따르면 30만원 이상 결제를 할 때는 의무적으로 공인인증서 인증 절차를 거쳐야 한다. 결국 알라딘에서도 30만원 이상 결제를 하려면 윈도우즈로 부팅해서 IE로 접속해야 한다는 이야기다. 맥이나 리눅스 이용자들은 갈 곳이 없다. 2011년처럼 카드회사들이 가맹점 제휴를 끊을 가능성도 있다. 알라딘이 카드회사들 눈치를 살피는 것도 이런 이유에서다.

이 이사는 "애플코리아 같은 경우도 인증 없는 결제 시스템을 도입해 카드번호와 유효기간만 입력하면 결제가 가능하지만 카드회사들이 이런 큰 업체들은 사실상 눈감아 주는 경우가 많다"면서 "비인증 가맹점들도 수두룩한데 카드회사들이 유독 알라딘과 페이게이트를 공격하는 건 액티브엑스가 아닌 다른 결제 시스템의 시장 진입을 용납하지 않겠다는 태도"라고 지적했다. 이 이사는 "결국 감독당국의 의지의 문제"라고 강조했다.

김 교수도 "애플코리아 뿐만 아니라 한국어도비에서도 액티브엑스 없이 결제가 가능할 뿐만 아니라 30만원 이상 결제를 할 때도 공인인증서를 요구하지 않는다"면서 "심지어 대한항공이나 아시아나항공도 한국어 사이트에서는 ISP 방식을 도입하고 있는데 외국어 사이트에서는 액티브엑스 없는 결제가 가능하다"고 지적했다. "금감원이 만만한 업체들만 골라서 패고 거물급 업체들에게는 꼬리를 내리고 있다"는 이야기다.

알라딘 김성동 팀장은 "보안 수준을 낮추지 않는다는 전제 아래 얼마나 결제를 쉽게 만드느냐가 엄청난 매출의 차이를 불러온다"면서 "교보문고나 예스24보다 규모가 작은 알라딘 입장에서는 차별화된 결제 시스템을 경쟁 포인트로 내세울 수 있는데 감독 당국이 납득할 수 없는 이유로 이를 가로막고 있는 상황"이라고 털어놓았다. 김기창 교수는 "정부가 MS와 IE 중독을 부추기면서 한국 웹을 갈라파고스로 만들고 있다"고 비판했다.

강정수 연세대 커뮤니케이션연구소 연구원은 "액티브엑스 방식이 보안이 뛰어나다거나 공인인증서가 해킹 위험에서 안전하다거나 하는 근거 없는 믿음이 획일화된 보안 시스템을 강제하고 있다"고 지적했다. 강 연구원은 "이런 인증 절차는 국제 표준이 아닐뿐더러 무분별한 엑티브엑스 설치를 조장하는 문화를 확산시켜 또 다른 보안 위험을 만들어 낸다"고 강조했다. 액티브엑스 자체가 문제가 아니라 액티브엑스만 강요하는 문화가 문제라는 지적이다.

김 교수는 "미국의 페이팔이나 아마존 같은 사이트들도 액티브엑스 없이 비밀번호만으로 결제를 받고 있다"면서 "보안 책임을 이용자들에게 떠맡기느냐 사이트가 부담하느냐의 문제"라고 말했다. 페이게이트 이 이사는 "개인정보를 암호화해서 전송하는 것보다 개인정보 전송을 최소화하는 것이 더 안전할 수 있다"면서 "개인정보를 사이트가 보관하면 위험하다는 발상이 새로운 보안 시스템의 시도 자체를 묵살하고 있다"고 지적했다.

이정환 미디어오늘 기자 (미디어오늘 2013.7.3)