'액티브X'는 금융권 '뜨거운 감자'…갈라파고스 규제?
금융당국 인증한 보안시스템 액티브X 구동 공인인증서 유일…금융권 나서지 못하는 이유
온라인 인감증명서로 불리는 '공인인증서'와 이를 구동하기 데 필요한 프로그램인 '액티브(Active) X'가 금융권의 대표적인 보안책인 반면 '손톱 밑 가시'인 규제로 지목되면서 금융권의 뜨거운 감자로 부상하고 있다.
다만 국내 인터넷 보안 시스템이 액티브X 중심으로 운영돼 이를 없애자니 보안이 걸리고 기존 방식 그대로 운영하자니 규제에 막히는 운명에 처했다.
그렇다고 금융권에서는 액티브X를 외면할 수 없다. 금융당국이 유일하게 인증한 보안시스템이 바로 액티브X로 구동되는 공인인증서 때문이다.
24일 금융권에 따르면 국내 온라인 쇼핑몰에서 30만원 이상 카드결제를 하려면 공인인증서가 반드시 필요하다. 국내 은행에 계좌가 없는 외국인은 공인인증서 발급 자체가 안 되기 때문에 사실상 온라인 쇼핑몰 이용 자체가 불가능하다.
이 때문에 지난 20일 박근혜 대통령은 최근 종영된 드라마 '별에서 온 그대(별그대)'를 염두에 두고 "'천송이 코트'를 중국 소비자들이 사고 싶어도 공인인증서 때문에 살 수 없다”고 꼬집으며 규제개혁을 주문했다.
국내 금융회사는 액티브X 기반의 공인인증서를 본인인증 수단으로 사용하고 있다. 액티브X가 인터넷 익스플로러(IE)에서만 이용할 수 있기 때문에 공인인증서 역시 익스플로러에서만 구동된다. 구글의 크롬이나 애플의 사파리에선 실행이 안 된다.
금융당국은 30만원 이상 결제에 대해선 공인인증서만 사용하도록 제한하고 있다. 이런 이유로 온라인 결제를 포함한 국내 인터넷 보안은 액티브X를 기반으로 발전했다.
보안수준이 높은 은행권과 카드사 홈페이지의 경우 액티브X를 설치하지 않으면 이용자는 홈페이지 접속을 시도할 수 없다.
일례로 최근 1억여건의 카드 3사(국민카드, 농협카드, 롯데카드) 정보유출 이후 익스플로러 이용률이 급격히 증가했다. 각 카드사는 자사 홈페이지를 통해 정보유출 내용을 확인할 수 있도록 했는데 익스플로러가 아니면 이용할 수 없도록 차단했다.
당시 농협카드는 크롬이나 파이어폭스 등 익스플로러가 아닌 웹브라우저로 자사 홈페이지를 들어갈 경우 다른 사이트로 자동 접속하게 했다. 홈페이지 접속 자체를 강제적으로 차단한 것이다. 타 카드사도 상황은 비슷하다.
카드업계 관계자는 "익스플로러를 이용하지 않으면 금융권 홈페이지 이용에 제약을 받는다"며 "금융권에선 액티브X 호환이 안 되는 웹브라우저를 잠재적인 바이러스나 악성코드로 인식한다"고 말했다.
금융권이 아니더라도 정부를 포함한 대다수 홈페이지에선 키보드 보안프로그램 등 여러 개의 액티브X를 설치하도록 하고 있다.
정부민원포털 '민원24'에서 주민등록등본이나 가족관계증명서와 같은 민원서류를 발급하기 위해선 액티브X 4~5개는 설치해야 한다. 일각에선 인터넷으로 민원서류를 발급받는 것보다 주민센터를 방문해 발급받는 게 더 빠르다는 우스갯소리도 나온다.
상황이 이렇다 보니 외국인이 국내 온라인 쇼핑몰을 이용하는 건 어려움을 넘어 불가능한 수준이다. 익스플로러를 이용하지 않는다면 홈페이지 접속 자체도 어렵다. 인터넷 공간에서 언어의 장벽보다 더 높은 규제의 장벽이 쳐 있는 셈이다.
반대로 미국과 영국, 일본 등 해외 인터넷 쇼핑몰에선 공인인증서가 필요없다. 카드번호와 유효기간, CVC(유효성 검사 코드)만 입력하면 결제가 진행된다. 당연히 액티브X를 설치할 필요가 없어 어느 웹브라우저나 사용할 수 있다.
지난해 한국 소비자가 해외 온라인 쇼핑몰을 이용해 결제한 금액은 1조원에 가깝다. 반면 외국인의 국내 온라인 쇼핑몰을 이용액은 2000억원에 불과하다. 액티브X를 포함한 규제와 무관해 보이지 않는 이유다.
공인인증서를 사용하는 이유는 보안 때문이다. 사실상 온라인 인감증명서로 불리며 공인인증서는 본인인증 수단의 절대적인 역할을 해오고 있다.
이 때문에 공인인증서 폐지 반대론이 많지만 공인인증서 없이도 보안수준을 같거나 더 높은 수준으로 향상시킬 수 있다는 폐지 찬성론도 만만치 않다. 아울러 해외 결제 시스템만 봐도 공인인증서나 액티브X에 의존할 필요가 없다고 반문한다.
페이게이트(PG) 한 관계자는 "이미 공인인증서를 대체할 수 있는 보안 시스템이 마련됐다"며 "액티브X에만 의존하는 한국 보안시스템은 세계표준도 아니고 오히려 국제시장에서 고립되게 만드는 대표적인 '갈라파고스 규제'"라고 쏘아붙였다.
그는 이어 "이미 기술은 발전했는데 규제는 공인인증서에만 의존하고 있다"며 "금융당국 차원에서 공인인증서를 대체할 만한 시스템을 검증해 결제시스템을 선진화해야 한다"고 덧붙였다.
공인인증서와 액티브X에 의존한 전자결제 시스템을 개선하기 위해선 금융회사가 아닌 금융당국이 주도적으로 대체할 만한 시스템을 검증해야 한다는 목소리도 크다.
전자금융감독규정 시행세칙을 보면 공인인증서 이외의 인증기술은 금융감독원장이 허용할 경우에만 사용할 수 있다. 하지만 인증기술은 이를 이용하는 금융회사가 주도적으로 판단하기 때문에 표준화도 안 돼 있을 뿐만 아니라 위험에 따른 부담을 떠안아야 한다.
카드업계 관계자는 "공인인증서 이외 기술을 사용했다가 보안이 뚫리면 이를 검증한 금융회사 책임"이라며 "공인인증서보다 뛰어난 보안기술이라고 판단해도 이를 주도적으로 금감원의 허락을 받기 어려운 실정"이라고 강변했다.
이어 "금융당국이 인정한 보안 시스템은 공인인증서가 유일하므로 이를 따를 수밖에 없다"고 하소연했다.
또다른 일각에선 금융당국의 안일한 대응이 공인인증서와 액티브X에 의존한 기형적인 생태계를 만들었다고 지적하고 있다.
©(주) 데일리안 무단전재 및 재배포 금지
23일 금융권에 따르면, 온라인 인감증명서로 불리는 공인인증서와 이를 구동하기 위해 필요한 프로그램인 액티브X가 금융권의 대표적인 '손톱 밑 가시' 규제로 꼽히고 있다.(정부민원포털 '민원24' 홈페이지 화면 캡처) ⓒ데일리안
![왜 떠나가는 푸바오를 보고 울었을까 [기자수첩-국제]](https://cdnimage.dailian.co.kr/news/icon/202404/news_1713955424_1354548_c.png){kind=icon}