정부가 기존의 인터넷 결제 보안프로그램인 액티브엑스(ActiveX)를 전면 폐지할 계획이다. 규제완화의 일환이다. 정부가 찾은 액티브엑스의 대안은 새로운 방화벽 프로그램. 앞으로 온라인 쇼핑몰 이용자는 액티브엑스 대신 확장자가 ‘exe’인 새로운 방화벽 프로그램을 설치해야 한다. 이를 두고 ‘눈 가리고 아웅’식 대책이라는 비판이 나오고 있다. 이용자의 편의를 위해서는 미국식 사후관리 시스템을 도입해야 한다는 주장이 나온다. 이에 신용카드업계는 보안상의 이유를 들며 난색을 표하고 있다.

새 규제, 업계도 이용자도 불만

미래창조과학부(미래부)와 금융위원회 (금융위) 등은 당초 지난해 말까지 액티브엑스를 ‘무조건’ 없앨 계획이었다. 이 계획은 두 달여간 유예됐지만 정부 방침은 여전하다. 정부는 2014년 12월 31일 온라인 쇼핑몰업계, 카드업계 등과 회의를 열고 올해부터 액티브엑스를 웹 표준에 부합하는 ‘exe’ 형식의 방화벽 프로그램으로 대체하겠다는 기존 안을 약 두 달간 유예하기로 했다. 규제를 완화한다며 새로운 규제를 만든다는 ‘눈 가리고 아웅’식 정책이란 비판에 직면했기 때문이다. 카드업계에서도 새로운 시스템을 갖추는 데 준비가 부족하다며 유예기간 연장을 요구했다.

온라인 쇼핑몰업계는 새로운 프로그램 설치를 요구한다는 ‘누명’을 쓰게 될까 우려하고 있다. 이용자 쪽에서 온라인 쇼핑몰이 새로운 프로그램의 설치 팝업을 띄우는 걸로 인식할 개연성이 높기 때문이다. 쇼핑몰업계 한 관계자는 “무조건 액티브엑스만 아니면 된다는 식의 정책이 이해되지 않는다”며 “규제 완화를 한다더니 오히려 새로운 규제를 만들고 있다”고 성토했다.

이용자의 불편함도 여전하다. 오히려 더 불편할 수도 있다. 이전에 온라인 쇼핑을 한 이용자의 개인용 컴퓨터(PC)에는 이미 액티브엑스가 설치돼 있다. 그런데 앞으로는 액티브엑스 대신 exe 형식의 방화벽 프로그램을 추가로 설치해야 하니 액티브엑스를 쓰는 것과 다를 게 없다.



최근 BC카드가 개발한 액티브엑스 없이 결제할 수 있는 온라인 결제 프로그램 ‘아이에스피플러스(ISP+)’도 마찬가지다. 한 카드업계 관계자는 “ISP+를 이용하려면 액티브엑스는 설치하지 않지만 exe 기반의 키보드 보안, 메모리 해킹 방지, E2E 등 보안프로그램을 모두 설치해야 한다”고 설명했다. 이용자의 불편을 오히려 가중한다는 것이다

이에 대해 정부는 “비액티브엑스(non-ActiveX) 방식의 경우 플러그인을 사용하지 않는 범용프로그램으로 구성돼 간편하게 설치되며, 자동 업데이트가 가능해 이용자 편의가 향상될 예정”이라고 해명했다. 정부의 해명처럼 exe 형식의 방화벽 프로그램으로 액티브엑스를 대체하면, 마이크로소프트웨어의 인터넷 익스플로러(IE)가 아닌 다른 브라우저와의 호환성 문제는 해결될 수 있다. 하지만 웹 호환성은 문제의 본질이 아니다. 정부가 당초 액티브엑스 철폐를 추진한 이유는 이용자의 번거로움 때문이었다.

더구나 대체 방화벽 프로그램이 액티브엑스보다 해킹 가능성 등 보안에 취약할 수 있다는 지적도 나온다. 쇼핑몰 홈페이지에서 이용자에게 직접 소프트웨어를 배포하는 과정 중 악성코드가 설치될 수 있기 때문이다. 염흠열 순천향대 정보보호학과 교수는 “제3의 신뢰기관 없이 쇼핑몰 홈페이지에서 직접 프로그램을 설치하는 건 굉장히 심각한 문제를 일으킬 수 있다”고 우려했다.

정부의 액티브엑스 철폐 추진은 2014년 마지막 날에서야 전면 폐지 유예를 결정할 만큼 급박하게 진행되고 있다. 배경에는 지난해 3월 박근혜 대통령 주재로 열린 제1차 규제개혁장관회의 및 민관합동 규제개혁 점검회의가 있다. 회의에서 박 대통령이 중국인들이 드라마 ‘별에서 온 그대’에 나온 ‘천송이 코트’를 사지 못한 원흉으로 액티브엑스를 지목했다. 이후 정부는 액티브엑스 철폐를 추진했다. ‘일단 액티브엑스만 아니면 된다’는 식이었다.

이후 금융당국은 신용카드사들에게 크롬이나 사파리 등 IE 외에 다른 웹브라우저에서도 온라인 결제가 가능한 시스템을 구축할 것을 요구했다. 지난해 말까지 보안프로그램과 결제창, 공인인증서 등에 사용되는 액티브엑스를 완전히 없앨 계획이었다.

미국식 결제 방식? 카드사 반발 거세

그렇다고 정부가 보안프로그램을 무조건 없앨 수는 없었다. 신용카드사들의 반발에 직면했기 때문이다. 미국처럼 신용카드 번호만 입력하면 결제가 가능한 시스템이 한국에도입되지 않은 이유도 여기 있다. 이용자들의 편의를 위해 액티브엑스와 대체 방화벽 프로그램을 모두 설치하지 않을 경우 신용카드사가 직접 사후관리를 해야 한다. 결제 과정에서 문제가 생길 경우 카드사가 책임을 져야 한다는 뜻이다.

사후관리는 아마존 등 해외 온라인 쇼핑몰이 사용하는 결제 방식이다. 이 방식을 따르면 이용자로선 결제가 한결 간편해진다. 신용카드 번호만 입력해도 결제할 수 있다. 다만 이 경우, 전자지급결제대행업체(PG)가 정교한 부정거래방지시스템(FDS)을 만들어 문제가 발생할 경우를 모두 확인하고 막아야 한다. 문제가 발생하면 책임은 오로지 카드사 몫이 된다.

반면 액티브엑스와 정부가 새로 도입하려는 보안프로그램 등은 사전인증 방식이다. 문제가 생길 만한 요소를 결제 이전에 모두 차단하는 것이다. 이 방식은 사후관리 방식보다 카드사의 책임 부담이 적다. 카드사로선 일종의 안전장치인 셈. 카드업계가 사후관리 방식의 도입을 꺼리는 이유다. 결국 보안 책임을 이용자에게 떠넘기는 것이다.

미래부와 금융위, 카드업계, 온라인 쇼핑몰업계 등은 액티브엑스 대안을 두고 막판 조율 중이다. 미국처럼 사후관리 시스템을 도입하는 방안도 대안 중 하나로 논의되고 있지만 채택될 가능성은 높지 않다. 카드업계의 반발이 거세기 때문이다. 현재 카드업계는 정부에 액티브엑스를 대체할 exe 형식의 방화벽 프로그램 시스템을 갖출 시간을 요구한 상황이다. 2월 말~3월 초쯤 액티브엑스의 운명이 결정될 것으로 보인다. exe 형식의 방화벽 프로그램 도입 여부도 그때 최종 결정된다.

정부의 기존안이 그대로 추진된다면 앞으로 온라인 쇼핑몰을 이용할 때 각 쇼핑몰별로 담당 카드업체가 배포한 보안프로그램을 설치해야 한다. 쇼핑몰별로 각각 다른 보안프로그램을 설치해야 하는 번거로움이 생길 가능성도 높다.