Non-액티브엑스 왕따 사건

▲ 온라인에서 신용카드로 제품을 구매할 때 액티브엑스를 설치하라는 팝업이 뜨면 짜증을 내는 소비자가 많다.
온라인 결제를 할 때 액티브엑스를 깔지 않고 결제를 할 수 있는 ‘간편결제 시스템’이 퇴출 위기에 놓였다. 카드사들은 보안문제를 운운하면서 간편결제 시스템을 외면한다. 온라인 서점 알라딘은 대대적으로 홍보했던 간편결제와 금액인증 결제 서비스를 중지하기에 이르렀다.

알라딘은 한때 ‘액티브엑스 없는 결제를 지원하는 국내 유일의 온라인 서점’을 마케팅 구호로 내세웠다. 하지만 오래가지 않았다. 올 6월 국내 전자결제대행(PG) 업체인 페이게이트의 액티브엑스 설치 없는 결제 시스템을 도입했던 알라딘은 11월 8일 간편결제와 금액인증(AA·Amount Authen tication) 결제 서비스를 일시 중지했다.
일단 여기서 말하는 간편결제와 AA결제의 차이가 뭘까. 간편결제는 처음 결제를 할 때 신용카드 번호와 유효기간 등을 서버에 저장했다가 다음 결제 시에는 비밀번호만 입력하면 되는 이른바 프로파일 방식이다. 액티브엑스(ActiveX) 기반의 다른 PG들이 사용자 PC에 결제 정보를 저장하는 것과는 다르다. 이 둘의 차이는 PC에 저장하느냐 서버에 저장하느냐다. 금감원은 프로파일 방식을 쓰지 않을 것을 권고한다.

 
액티브엑스 방식의 안심클릭이나 안심결제 방식에서는 PC에 저장된 정보가 서버에 저장된 사설 인증정보와 일치하는지 확인하는 방식을 통해 본인인증을 한다. AA결제 방식은 다르다. 1000원, 2000원 단위의 임의의 금액을 가상 결제한 뒤 고객이 이 금액을 확인 후 입력해 본인 인증이 되면 가상 결제를 취소하고 실제 거래금액을 결제한다.

이를테면 알라딘에서 1만5000원짜리 책을 구입했는데 1632원과 2279원을 각각 결제하고 이 금액을 입력해 본인인증을 한다. 간편결제가 결제 정보를 저장하는 방식을 말한다면 AA결제는 본인인증 방식을 말한다.

카드사들이 액티브엑스 없는 결제 시스템을 거부하는 이유는 보안 문제다. 간편결제 시스템을 공급했던 페이게이트 측은 이에 반발한다. 신용카드와 휴대전화를 동시에 해킹 또는 도난당하지 않는 이상 본인 이외에 문자 메시지를 확인할 방법이 없어 해킹 위험이 낮다는 거다.

이번 알라딘 간편결제 시스템 논란에는 세가지 쟁점이 있다. 첫째, 간편결제의 계약위반 논란이다. AA결제는 금융감독원 인증방법평가위원회에서 공식인증을 받았지만 간편결제는 그렇지 않다. 카드사들은 AA결제는 금감원 인증을 받긴 했지만 프로파일 방식의 간편결제는 계약조건에도 없을 뿐만 아니라 인증을 받지 않았고 보안도 매우 취약하다고 말한다. 페이게이트는 이같은 간편결제가 이미 널리 쓰이고 있는 방식으로 문제가 없다는 입장이다.

두번째 쟁점은 금감원의 모호한 태도다. 페이게이트가 간편결제를 빼고 AA결제만 남겨뒀는데도 카드사들은 AA결제 방식이 두 차례나 가상결제를 했다 취소하기 때문에 시스템에 부담을 준다는 이유로 잇따라 제휴를 중단했다. 금감원은 AA결제가 금감원 인증을 받은 건 사실이지만 이를 카드사들에 강요할 수는 없다는 입장이다.
 
모호한 태도로 일관하는 금감원

마지막 쟁점은 보안 사고가 발생했을 때 책임 소재를 가리는 일이다. 카드사들은 AA결제가 보안에 취약하다고 주장하지만 페이게이트는 보안사고 발생 시 책임은 결국 가맹점이 지게 된다고 주장한다. 이들 가맹점들이 보증보험 등에 가입돼 있어 문제가 없다고 반박하고 있다. 페이게이트는 가맹점의 책임 아래 이들이 직접 인증방식을 선택할 수 있어야 한다고 주장했지만 카드사는 일방적으로 거래를 중단했다.

 
문제는 카드사들이 처음에 간편결제만 문제를 삼았다가 페이게이트가 간편결제를 빼고 AA결제만 남겨두자 AA결제도 못 믿겠다고 거래를 중단한 것이다. AA결제가 안전하다며 공식인증까지 했던 금감원도 업계 자율에 맡길 문제라며 발을 빼고 있다.

페이게이트는 억울하다는 입장이다. 이동산 페이게이트 이사는 이렇게 말한다. “아마존이나 이베이 같은 글로벌 기업에서 쓰는 간편결제를 왜 우리는 쓸 수 없나. 결제정보를 개인 PC에 저장해두면 안전하고 서버에 저장하면 불안하다는 주장은 상식적으로 말이 안 된다. 오히려 PC에 저장된 결제 정보가 통째로 넘어갈 위험이 있고 무분별한 액티브엑스 설치 관행은 보안 위험을 키우는 측면이 크다.

일부 카드사들이 AA결제가 보안에 취약하다는 이유로 차지백(지불거절 : charge back) 규모를 최대 10배까지 요구하는데 이는 알라딘의 거래 행태를 봤을 때 터무니없는 횡포다. 이는 안심클릭이나 안심결제 등을 제공하는 결제대행(PG) 회사들이 카드사들 자회사인 것과 무관하지 않다. 이런 식이라면 금감원 인증평가위가 무슨 소용인가.” 카드사들의 변명은 군색하다. 한 카드사 관계자는 “결제 정보를 문자메시지로 받지 않는 고객이 있는 데다 페이게이트의 간편결제가 아직 안정화되지 않은 시스템이라 조심스럽다”고 말했다.

하지만 이 이사의 입장은 다르다. 그는 “카드사들이 문제를 삼았기 때문에 간편결제를 빼고 키보드 해킹 방지 시스템도 도입했다”며 “그런데 이제 와서 금감원도 공식인증한 AA결제의 보안 문제를 운운하며 거부하고 있다”고 반박했다. 그는 “현재 본사를 해외로 옮겨 해외 신용카드를 대상으로 영업하는 방안을 검토 중”이라고 말했다.

예를 들어 해외 신용카드 결제만 가능한 애플 앱스토어 같은 업체를 노리겠다는 거다. 페이게이트는 국내 결제 대행 시장에서는 10위 수준이지만 해외 신용카드 결제대행 부문에선 1~2위를 다툰다. 해외에서 국내 웹 사이트 결제 시 페이게이트를 이용하는 일이 많다.

▲ 알라딘 간편결제 시스템 논란은 크게 세 가지다. 계약 위반, 금감원의 모호한 태도, 보안사고 발생시 책임 소재 문제다.
알라딘 측 역시 이번 카드사들의 거래 취소에 대해 납득할 수 없다는 입장이다. 김성동 알라딘 팀장은 “코레일 앱이나 영화 예매 앱 등에서 결제를 하게 되면 대부분 카드사들이 ISP나 안심클릭이 없는 간편결제를 허용한다”며 “마이크로소프트코리아나 애플코리아·어도비코리아 등의 외국계 사이트들도 이런 비인증 결제를 허용하고 있는데 카드사들이 금감원 인증을 받은 인증시스템을 도입한 페이게이트를 왕따시키는 건 납득하기 어렵다”고 지적했다.

김기창 고려대(법학) 교수도 “애플 아이튠즈나 구글 플레이 스토어 등의 결제방식은 카드번호 유효기간 등을 결제대행사가 저장한 상태에서 이뤄진다”며 “현대카드나 삼성카드 등 국내 모든 카드사들이 군말 없이 이들 쇼핑몰에서의 결제를 허용하고 있다”고 말했다. 그는 “이는 외국계 쇼핑몰이나 외국계 결제대행사가 저장하면 괜찮고 국내 결제대행사는 저장할 수 없다는 논리는 말이 안 된다”고 꼬집었다.

김 교수는 또 “알라딘 간편결제 중단 사태는 안전이나 기술의 문제가 아니라 기득권과 관행의 문제”라며 “안전 문제, 감독기구의 승인이 중요하다는 등의 이야기가 나오는 데 결국 안심클릭이나 안심결제 이외의 결제 시스템을 받아들일 수 없다는 이야기”라고 비난했다. 
 
페이게이트 해외로 본사 이전 고려

김 교수가 활동하고 있는 오픈넷은 액티브엑스 없는 기부 시스템 결제를 거부한 BC카드 등을 상대로 업무방해 금지 가처분 신청을 내기도 했다. 결국 알라딘의 액티브엑스 없는 결제는 카드사들의 요구를 전폭 수용했음에도 시장에서 퇴출당할 위기에 놓여있다.

인증방법을 다양화하겠다며 인증방법 평가제도를 도입했던 금감원도 별다른 의지가 없어 보인다. 여전히 맥이나 리눅스 사용자들의 온라인 결제는 차단돼 있고 윈도우즈 사용자들도 인터넷 익스플로러를 강요당하고 있다. 액티브엑스는 마이크로소프트의 인터넷익스플로러에서만 쓸 수 있다. 그야말로 한국에서만 볼 수 있는 온라인 갈라파고스(세상과 격리된 섬처럼 국제적 흐름과 단절된 불합리한) 현상이다.   
이정환 미디어오늘 기자 black@mediatoday.co.kr
 

저작권자 © 더스쿠프 무단전재 및 재배포 금지

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음