“공인인증서 없앤다더니 액티브X 쓰라고?”

가 +
가 -

“성동격서라는 말이 생각납니다. 정부가 동쪽에서는 공인인증서 의무사용 폐지를 외치면서, 서쪽에서는 6월부터 액티브X 사용을 강제하니까요.”

이동산 페이게이트 최고기술이사(CTO)는 결제시장에 새로 생기는 규제가 모순된다고 꼬집었다. 페이게이트가 4월17일 오후 서울 송파구 페이게이트 앞 카페에 마련한 ‘미래 공인인증수단과 금액인증’ 콘퍼런스 자리였다.

LeeDongSan_Paygate_CTO

이동산 CTO는 카드회사에게 받은 공문을 근거로 들었다. 온라인이나 모바일에서 신용카드로 결제할 때 주민등록번호와 신용카드 번호, 유효기간, 카드 비밀번호 등을 입력하던 키 입력 방식을 오는 5월31일까지 안심클릭으로 바꾸라는 내용이었다.

안심클릭은 은행에서 마련한 전자결제 방법이다. 현행 규정에 따르면 온라인이나 모바일에서 결제하는 돈이 30만원에 못 미칠 경우엔 공인인증서가 아닌 다른 결제수단을 쓸 수 있다. 안심클릭은 이때 쓰이는 결제 방법 가운데 하나다.

문제는 안심클릭이 액티브X 기술을 바탕으로 한 플러그인 방식으로 작동한다는 점이다. 다시 말해 안심클릭을 쓰려면 공인인증서는 필요 없지만 각종 액티브X를 설치해야 한다는 뜻이다. 이동산 CTO는 “안심클릭을 쓰도록 강요하는 건 사실상 액티브X를 쓰라고 강요하는 것과 같다”라고 지적했다.

지난 3월말 박근혜 대통령이 공인인증서를 폐지하라고 얘기한 뒤 정부는 액티브X를 걷어내겠다고 발표했다. 그런데 일선 금융회사는 액티브X 사용을 강제하라는 공문을 내놓는다. 왜 이럴까.

Paygate_Conference_01

이런 원인을 이해하려면 먼저 한국 금융시장이 어떻게 규제가 작동하는지부터 알아야 한다. 국내 금융시장을 규제하는 곳은 금융감독원이다. 금융감독원이 은행과 카드사를 비롯한 금융회사에 지침을 내리면 금융회사는 일선 업체에 구체적인 방법을 공문으로 제시하는 구조다. 금융감독원이 가진 권한 일부를 금융회사가 대신한다는 말이다. 규제 주체인 금융감독원이 직접 일선 업체를 규제하지는 않는다.

안심클릭 결제 사용 방안도 금융감독원이 기존 키입력 결제방식을 보완하라고 요구한 데 대해 금융회사가 안심클릭을 쓴다는 구체적인 방법으로 답한 것이다. 금융회사가 구체적인 결제방법을 고르면서 자사가 만들어둔 서비스를 쓰도록 한 것이다. 이동산 CTO는 이런 구조 때문에 페이게이트를 비롯한 결제서비스 회사는 금융회사에서 내린 공문을 금융감독원 지침처럼 따를 수밖에 없다고 설명했다.
Paygate_Conference_03

키 입력 결제방식을 안심클릭으로 대체하면 어떻게 될까. 이동산 CTO는 “애플스토어 같이 공인인증서를 안 쓰고 결제하던 웹사이트가 영향을 받게 된다”라며 “공인인증서나 플러그인을 안 쓰고도 온라인에서 결제할 수 있었던 유일한 방식이 사라지는 셈”이라고 얘기했다.

이처럼 엇박자 내는 규제 대책이 나오지 않도록 하려면 어떻게 해야 할까. 이동산 CTO는 “규제당국이 구체적인 기술까지 지시할 게 아니라 보안 감사체계가 제대로 돌아가는지를 관리감독하는 일만 하면 된다”라고 말했다. 이동산 CTO는 “유독 보안 영역에서는 규제당국이 보안 기술도 통제하고 감사도 직접 하려 한다”라고 말했다.

이동산 CTO는 제대로 된 정부의 역할로 현행 회계감사 체계를 예로 들었다. 국세청은 일선 업체를 직접 감사하지는 않는다. 회계법인 등 믿을 만하다고 인정받은 곳에서 감사를 받은 뒤 이를 국세청에 제출하는 식이다. 국세청은 이런 회계감사 생태계가 제대로 작동하도록 구조를 관리감독하는 역할을 한다. 이동산 CTO는 “이미 해외에서 표준으로 쓰이는 보안 인증방식인 PCI-DSS가 이런 식으로 쓰이고 있다”라고 설명했다.

네티즌의견(총 37개)