'가보지 않은' 액티브X 폐지…보안에 문제 없나

송고시간2015-03-23 06:05

(서울=연합뉴스) 김태종 김동호 기자 = 오는 26일부터 액티브X 대체 보안프로그램이 본격적으로 도입되면서 지난해 규제 개혁 논의에서 문제점이 제기된 액티브X가 1년 만에 온라인 쇼핑에서 사라지게 됐다.

여기에 미국의 '페이팔'이나 '아마존'에서와 같이 아예 보안 프로그램 설치가 필요없는 간편결제도 시행될 예정이어서 국내 온라인 쇼핑의 결제 시스템이 새로운 변화를 맞게 됐다.

그러나 작년 초 발생한 카드사 정보유출 사건의 여운이 가시지 않은 상황에서 그동안 컴퓨터 보안에 널리 쓰였던 액티브X가 없어지고, 동시에 보안프로그램 자체가 필요없는 새로운 결제방식의 등장에 대한 우려도 제기된다.

◇ 보안 '3종 세트' 동시 다운…간편해진 온라인 결제

액티브X는 마이크로소프트(MS)의 웹브라우저인 인터넷 익스플로러(IE)가 지원하는 확장프로그램(플러그인)으로, 국내 금융회사와 온라인마켓, 공공기관 등에서 널리 쓰였다.

하지만 국제 웹표준에 맞지 않아 최근 사용자가 늘고 있는 구글 크롬이나 애플 사파리 등 브라우저에서는 구동이 안돼 핀테크와 온라인쇼핑의 걸림돌로 지적됐다.

설치를 요구하는 팝업창이 많게는 한꺼번에 6∼7개까지 떠 불편하고, 자동설치 방식 등 취약점으로 인해 악성코드의 전파 경로로 악용되는 치명적인 약점도 있다.

이런 약점 등으로 액티브X의 사용 의무를 없애야 한다는 의견이 제기됐고, 이에 따라 앞으로는 카드사들이 개발한 범용프로그램(exe 파일)이 이를 대체하게 됐다.

범용프로그램은 공인인증서·방화벽·키보드 등 이른바 보안 '3종 세트'를 비롯한 각종 보안프로그램이 한 번에 동시에 설치된다는 장점이 있다.

IE와 크롬, 사파리 등 소비자가 사용하는 브라우저에 상관없이 한 번의 다운로드로 모든 브라우저에서 사용할 수 있다는 점은 이 프로그램의 가장 큰 특징이다.

이미 외국인을 상대로 한 역직구 결제 과정에서도 액티브X는 상당 부분 제거된 상태여서 대체 프로그램이 본격적으로 시행되면 액티브X는 모두 퇴출될 예정이다.

카드사들은 이에 그치지 않고 다음달부터 페이팔이나 아마존과 비슷한 형태의 새로운 간편결제도 도입하기로 했다.

아마존 등 해외직구 소비자들이 자주 찾는 외국 쇼핑몰의 경우 보안프로그램 설치를 요구하지도 않으며, 카드번호·유효기간·CVC번호 등 정보를 한번만 입력해놓으면 이후에는 무조건 '원클릭'으로 결제할 수 있어 사용성이 극대화돼있다.

이번에 국내에 선보일 간편결제도 방식도 이와 유사하다.

사용자가 아예 보안프로그램을 설치하거나 매번 카드정보를 입력할 필요 없이 최초 설정해둔 아이디(ID)와 비밀번호(PW)만으로 입력하면 된다.

게다가 간편결제는 문자메시지(SMS)나 전화자동응답장치(ARS) 등을 통한 추가 인증 절차마저 필요없다는 이점 때문에 사용자가 앞으로 크게 늘어날 전망이다.

◇'가보지 않은 길' 괜찮나…"충분히 대비"

정부와 금융당국이 핀테크 활성화를 강조하면서 간편결제를 비롯한 새로운 결제 시스템이 연이어 등장하고 있지만, 액티브X 등의 보안프로그램에 의존해 온 터라 '그동안 가보지 않은 길'에 대한 걱정도 나온다.

고객 입장에서 서비스의 편의성이 높아질수록 보안절차가 생략되거나 단순화되면서 정보 유출 등 사고의 위험도 커질 수 있기 때문이다.

더욱이 카드업계는 작년 초 카드 3사의 개인정보 유출사건으로 한동안 홍역을 치른 사례가 있어 비슷한 유형의 사고가 재발하지 않을까 우려가 크다.

특히 이번에 새롭게 도입되는 간편결제의 경우 사용자 PC에 보안프로그램을 전혀 설치하지 않은 상태에서 결제를 진행하기 때문에 이 과정에서 개인정보가 빠져나갈 가능성도 있다는 지적도 있다.

업계 한 관계자는 "보안프로그램 없는 간편결제는 해킹이나 악성코드 등으로 인해 ID와 PW 등 개인정보가 탈취될 가능성이 매우 높다"며 "이에 따르는 보안대책이 충분히 마련돼야 할 것"이라고 말했다.

다른 관계자도 "아마존 사이트의 경우 아무런 보안프로그램 없이 카드정보를 한번만 입력해놓으면 '원클릭' 결제가 이뤄져 국내 가맹점들보다 결제과정이 편리하게 느껴지지만, 통계적으로는 부정매출 규모가 매우 높게 나타난다"고 말했다.

이에 대해 당국과 카드사들은 보안사고가 발생하지 않도록 충분한 보완을 거쳐 결제서비스 도입을 준비하겠다는 입장이다.

한 카드업계 관계자는 "회사 자체적으로 보유한 이상거래방지시스템(FDS)에 더해 고객이 결제를 시도하는 과정이 비정상적인지를 가늠할 수 있는 시스템을 개발해 자체 테스트를 완료했다"고 설명했다.

금융당국 관계자는 "새로운 간편결제 방식을 우려하는 이들도 있을 수 있어 보안프로그램을 사용하는 일반결제도 함께 운영해 고객이 선택할 수 있도록 했다"고 설명했다.

그는 이어 "게임머니 등 환금성 상품을 다루는 사이트의 경우 일반 전자상거래와 달리 결제가 한번 이뤄지면 취소나 환불이 어렵기 때문에 새로운 간편결제 방식을 바로 도입하지는 않기로 했다"며 "운영과정을 통해 문제점이 드러나면 이를 보완하고, 점차 적용 영역을 확대해 나갈 것"이라고 밝혔다.

dk@yna.co.kr