주간동아 933

..

바보야, 문제는 액티브X야

전자상거래 본인 확인 ‘사이버 인감’…지나친 ‘공인인증서’ 의존이 외국인 쇼핑 막아

  • 문보경 전자신문 기자 okmun@etnews.co.kr

    입력2014-04-14 09:52:00

  • 글자크기 설정 닫기
    바보야, 문제는 액티브X야

    박근혜 대통령이 3월 20일 청와대에서 ‘규제개혁장관회의 및 민관합동 규제개혁 점검회의’를 직접 주재했다. 이 회의에서 공인인증서 문제가 논란이 됐다.

    3월 20일 박근혜 대통령 주재로 열린 규제개혁 점검회의 끝장토론에선 드라마 ‘별에서 온 그대’(별그대)의 천송이가 때아닌 화제를 낳았다. ‘별그대’에 푹 빠진 중국인이 천송이 코트를 온라인으로 구매하고 싶어도 공인인증서 때문에 살 수 없다는 문제가 제기되면서다.

    이승철 전국경제인연합회 상근부회장은 “액티브엑스(Active X)는 본인 확인과 결제를 위해 어쩔 수 없이 설치해야 하는, 한국만 쓰는 특이한 규제”라며 “한류 열풍으로 인기 절정인 천송이 코트를 중국에서 사고 싶어도 못 사는 건 바로 이 때문”이라고 꼬집었다.

    우리나라 인터넷 쇼핑몰에서 30만 원 이상 물품을 구매하려면 반드시 공인인증서를 사용해야 하는데, 이를 위해서는 액티브엑스 프로그램을 설치해야 하는 등 불편이 많다는 것이다. 외국인은 사실상 이용이 어렵다.

    규제개혁 점검회의에서 공인인증서가 대표적인 악성 규제로 꼽히면서 공인인증서 논란은 다시 수면위로 떠올랐다. 정부도 공인인증서의 문제점을 바로잡으려고 당장 검토에 착수했다. 규제개혁 점검회의가 있은 지 일주일 만인 3월 27일 금융위원회는 내외국인 모두 공인인증서를 쓰지 않고도 전자상거래가 가능하도록 전자금융감독규정 시행세칙을 개정한다고 발표했다.

    현행 30만 원 이상 결제 시 공인인증서 의무 사용을 폐지한다는 것이 주요 골자다. 카드사와 전자지급결제대행사업자(PG)는 공인인증서 사용 여부를 자율적으로 결정할 수 있게 됐다. 공인인증서 없이도 자유롭게 물건을 살 수 있는 제도적 근거를 마련한 셈이다. 이 발표로 다양한 인증 수단을 도입하는 물꼬가 트였다.



    30만 원 이상 결제는 의무 사용

    천송이 코트를 외국에서 사고자 할 때 문제가 된다는 공인인증서 의무 사용을 폐지한다는 데 논란은 여전하다. 왜일까.

    공인인증서는 보안문제 때문에 도입한 것이다. 본인이라는 것을 인증함으로써 다른 누군가 신용카드 번호를 알아도 도용하지 못하게 막는 장치로 활용됐다. 인터넷뱅킹과 전자상거래를 더 안전하게 구현하는 기술로 널리 확산됐으며, 30만 원 이상 결제 시에는 반드시 공인인증서를 사용하도록 의무화했다.

    이 같은 공인인증서에 어떤 문제가 있기에 논란이 되는 것일까. 가장 큰 문제는 공인인증서 자체보다 액티브엑스에 있다. 공인인증서는 인터넷뱅킹과 전자상거래 이용 시 본인 확인 및 서명 기능을 하는 사이버 인감으로, 액티브엑스 프로그램을 깔아야 사용할 수 있다. 본인 인증까지는 좋은데, 액티브엑스가 마이크로소프트 윈도 운용체계(OS)에 최적화해 있다는 것이 문제였다. 다른 OS를 쓰는 사용자는 액티브엑스 때문에 전자상거래를 할 수 없는 것이다.

    한 정보보호 전문가는 “한국은 국제표준과 반대로 소유자 비밀번호만 확인하는 것이 문제”라면서 “외국에서는 생체정보나 일회용비밀번호(OTP)를 혼합해 보안에 활용하는 데 비해 한국은 비밀번호를 입력하는 공인인증서에만 지나치게 의존한다”고 지적했다.

    이렇게 된 데는 공인인증서 도입 당시 정부와 개발사가 국내에서 가장 많이 쓰는 OS와 웹브라우저에 최적화해 공인인증 서비스를 확산한 것이 원인이었다. 웹 표준을 지키지 않았고 보안 위협에 대한 고려도 미흡했던 것이 사실이다.

    공인인증서 의무 사용이 없어진다고 본인 인증 수단이 사라지는 것은 아니다. 다시 말해 공인인증서를 사용하지 않는다고 유출된 신용카드 정보가 마음대로 쓰이는 것은 아니라는 뜻이다. 공인인증서 대신 전자지급결제대행사업자나 카드회사가 안전한 본인 인증 방식을 선택해 조치할 수 있기 때문이다. 즉 공인인증서 없이도 신용카드 인증을 비롯해 다양한 인증 방식으로 해외 인터넷 쇼핑몰을 이용할 수 있다.

    금융당국의 새로운 조치로 의무 사용은 없어지겠지만 내국인 대상 쇼핑몰의 경우 공인인증서를 대체할 수 있는 보안 또는 인증 수단을 마련해야 한다.

    그렇다고 공인인증서 의무 사용이 전부 사라지는 것은 아니다. 공인인증서 자체가 사라지는 것은 더더욱 아니다. 자금이체 시에는 공인인증서를 사용해야 한다. 실시간으로 즉시이체가 가능하기 때문에 전자상거래보다 위험이 크고, 공인인증서 사용 의무 면제로 고객 불안이 높아질 수 있기 때문이라고 금융당국은 설명했다.

    해외 신용카드 받지 않는 것도 해결해야

    바보야, 문제는 액티브X야

    정부 공식 사이트인 ‘민원24’를 이용하려면 공인인증서를 이용해 로그인을 해야 한다. 스마트폰이나 태블릿PC에서는 작동하지 않는다.

    그런데 여기에도 문제는 있다. 내국인 대상 쇼핑몰에서 공인인증서 사용 의무가 사라지게 됐지만, 과연 공인인증서를 대체할 만한 기반이 마련돼 있느냐는 것이다. 전자상거래 업계도 규제를 없애는 데는 찬성하지만 이를 대체하거나 보완할 수 있는 시스템이 많지 않다고 우려를 표한 상태다. 개인정보 유출이나 부정거래 등 보안 사고에 대한 책임은 더 커질 것이라고 걱정하는 이도 많다. 신용카드 정보만 입력하게 할 경우 불안이 커져 오히려 전자상거래가 줄어들 개연성도 있다.

    특히 중소 인터넷 쇼핑몰의 경우 정부 규제를 따르기만 하면 보안책임에서 일정 정도 벗어날 수 있었는데, 쇼핑몰 스스로 강력한 보안 시스템을 구축해야 한다면 부담이 될 것이다.

    공인인증서 의무 사용이 폐지되면 외국인이 자유롭게 이용할 수 있을지에 대해서도 의문을 제기하는 이가 많다. 회원 가입 시부터 본인 인증을 거쳐야 하는 상황에서 외국인은 공인인증서 문제가 아니더라도 국내 인터넷 쇼핑몰 이용이 거의 불가능하다는 것이다.

    더욱이 공인인증서를 대체할 만한 기술 개발이 활발한 것도 아니다. 대체할 기술이 없다면 결국 카드회사는 보안을 위해 공인인증서 사용을 유지할 수밖에 없다.

    이에 금융감독원은 먼저 공인인증서를 대체할 수 있는 기술을 개발할 계획이다. 업계에 따르면 금융당국은 조만간 인증방법평가위원회를 열어 공인인증서를 대체할 수 있는 보안인증수단의 보안성 심의 결과를 발표하고, 이달 안으로 대체 보안기술 인증 여부를 확정할 것으로 알려졌다.

    액티브엑스 없이 공인인증서를 이용할 수 있는 기술 개발도 추진한다. 공인인증서를 사용하더라도 OS 제약 문제를 없애는 것이다. 미래창조과학부는 ‘2014년 미래부 규제개혁 추진계획’을 수립하고 규제개혁에 착수한다고 4월 6일 밝혔다. 이번에 발표한 규제개혁 추진계획 가운데 하나가 액티브엑스 없이 공인인증서를 이용하는 기술이다.

    그렇다면 앞으로는 외국인이 국내 인터넷 쇼핑몰을 자유롭게 이용할 수 있을까. 그에 대한 답은 ‘글쎄요’다. 공인인증서와 액티브엑스만 장벽이었던 것은 아니기 때문이다. 가장 큰 문제는 인터넷 쇼핑몰이 해외 배송을 하지 않거나 해외 신용카드 결제를 승인하지 않는다는 점이다. 해외나 국내 신용카드 모두 전자지급결제대행사업자와 제휴하는데, 국내 인터넷 쇼핑몰 전자지급결제대행사업자가 대부분 해외 신용카드를 받지 않는다. G마켓의 경우 해외 신용카드를 사용할 수 있다. 외국인은 아마존처럼 신용카드 관련 정보만 넣으면 결제가 가능하다. 업계 관계자는 “쇼핑몰 결제는 여러 문제가 복잡하게 얽혀 있다”며 “규제도 많지만 사용 문화도 문제여서 하나씩 개선해가야 할 것”이라고 말했다.



    댓글 0
    닫기