인터넷서점 알라딘은 작년 말 아이폰 등 스마트폰으로 책을 주문하고 결제하는 모바일 결제시스템을 구축했다. 하지만 서비스 한 달도 안 돼 2개의 대형 카드사가 결제를 거부했다. 우리나라에서 표준으로 사용하는 인터넷 결제 시스템인 '공인인증' 방식을 채택하지 않은데 따른 불안감 때문이었다.
국내 최대 규모의 인터넷 쇼핑몰 옥션에서는 아직 아이폰을 통해서는 물건을 구매할 수 없다. 이곳 역시 유선망에서 사용하는 공인인증 방식을 아이폰에 그대로 적용할 수 없어 새로운 결제 보안시스템을 구축해야 하기 때문이다.
아이폰 등 스마트폰 사용이 크게 늘어나고 있지만, 스마트폰의 결제 보안문제가 모바일 뱅킹 확산의 걸림돌로 부상하고 있다. 우리나라의 공인인증 결제시스템은 거의 100% 마이크로소프트의 액티브X라는 프로그램을 기반으로 만들어졌지만, 모바일 환경에서는 액티브X가 제대로 지원되지 않는다. 게다가 은행 등 금융기관에서도 안전성을 이유로 새로운 결제방식 도입을 꺼리고 있다.
◆효율성 높은 '액티브X' 의존이 발목 잡아
공인인증 방식의 결제시스템이 스마트폰에서 제대로 구현되지 못하는 것은 공인인증서의 기술적 기반인 마이크로소프트(MS)의 '액티브X' 프로그램이 스마트폰에서는 작동하지 않기 때문이다. 스마트폰의 운영시스템이 아예 다른 아이폰과 호환이 안 되는 데다 MS마저도 "액티브X가 각종 바이러스 유포 경로로 악용될 우려가 높다"며 스마트폰에서는 액티브X를 지원하지 않고 있다.
우리나라 보안시스템의 액티브X 의존도가 높은 데에는 한국 전자상거래시장이 단기간에 급속히 성장한 것과도 관련이 깊다. 게다가 MS의 윈도와 익스플로러에 대한 의존도도 거의 압도적이다. 이로 인해 개별 기업은 보안 투자를 최소화하면서도 암호화한 형태의 공인인증서를 탑재할 수 있는 액티브X를 적극적으로 사용했고, 금융 당국도 액티브X를 기반으로 한 공인인증서 사용을 의무화했다. 안철수연구소 조시행 상무는 "액티브X 기반의 공인인증이 전자상거래 확산에 크게 기여한 것은 사실"이라며 "다만 사용자나 기업이 너무 액티브X 일변도로 쏠리는 바람에 새로운 보안 기술 개발을 등한시한 것은 아쉬운 점"이라고 말했다.
◆다양한 보안 솔루션 개발 나와야
금융감독원에서는 스마트폰 사용 확대에 맞춰 금융기관·보안업계와 함께 스마트폰 보안 결제 가이드라인을 만들고 있다. 금감원은 스마트폰에서도 공인인증서를 사용하는 골격은 그대로 유지한다는 방침이다. 금감원 관계자는 이와 관련, "액티브X를 사용하지 않고 공인인증을 사용하는 기술은 이미 개발됐으며, KISA(정보보호진흥원) 등과 함께 표준화하는 작업을 진행하고 있다"고 말했다.
하지만 전문가들은 정부가 일률적인 가이드라인을 내놓기보다는 다양한 방식의 보안 솔루션 개발을 유도해야 한다고 지적했다. 아이폰이나 PC 기반에 모두 사용할 수 있는 호환성이 뛰어난 보안 솔루션이나 외국에서처럼 공인인증서 사용 없이 웹 기반으로 카드번호와 유효기관, 비밀번호 등을 넣으면 간단히 결제를 할 수 있는 시스템 개발이 병행되어야 한다는 것. 실제로 세계 1위의 인터넷서점인 아마존이나 이베이 같은 해외 전자상거래 사이트는 해당 기업에서 강력한 보안 서버와 보안 네트워크를 구축, 사용자들이 아이폰이든 PC든 간단히 ID와 패스워드를 입력하면 모든 서비스를 이용할 수 있다.
문송천 KAIST 경영대학 교수는 "편의성을 강화한 보안 솔루션 개발을 위해서는 기업과 금융기관이 정부 핑계만 댈 게 아니라 더 적극적으로 보안 분야에 투자해야 한다"고 말했다.
☞ 액티브X
웹사이트의 기능을 강화하거나 새로운 콘텐츠를 추가할 때 쓰는 프로그램으로 마이크로소프트의 인터넷접속 프로그램(익스플로러)을 통해 지원한다. 공인인증서도 이 액티브X를 기반으로 만들어졌다.