어째서 우리는 클릭 몇 번으로 간편하게 결제를 하지 못할까?


페이팔이나 알리페이 같은 외국의 간편결제 시스템을 한번이라도 써본 사용자들이 입을 모아 하는 이야기다. 국내에서 인터넷 쇼핑이나 금융서비스를 이용하려면 운영체제는 윈도우, 웹브라우저는 MS익스플러를 이용해야 했다. 여기에 대여섯 가지가 넘는 액티브엑스를 내려받아 설치하는 건 필수였고 액수가 큰 경우는 공인인증서도 필요했다. 


모바일에서는 상대적으로 좀 나아서 액티브엑스도 필요없었고 브라우저나 운영체제도 자유로웠지만 공인인증서가 있어야 했다. 불편함을 느낀 사용자들이 아무리 개선을 요구해도 몇년 동안 이런 시스템은 도무지 변하지 않았다. 



그러다 본격적인 핀테크와 간편결제가 글로벌 시장을 휩쓸고 있는 지금 비로소 대한민국도 변화의 의지를 보이고 있다. 불편이 극에 달했던 국내 인터넷 결제가 어떻게 변하고 있는지 짚어보고 그럼에도 여전히 해소되지 않는불편함의 원인이 어디에 있는지 분석해보자.



액티브엑스 퇴출 - 세계적 흐름에 동참


액티브엑스는 금융기관과 인터넷 쇼핑몰 등 각종 웹사이트에서 보안을 위해 개인의 PC 웹브라우저를 이용해 내려받아 설치했던 프로그램이다. 그동안 이 프로그램을 설치하지 않으면 해당 서비스를 이용할 수 없었다. 국내에서는 거의 예외가 없을 만큼 액티브 엑스 의존도를 절대적이었다.


2015년 3월 3일 행정자치부는 행정기관과 공공기관 웹사이트의 액티브엑스 제거이행지침을 만들고 시행할 계획을 밝혔다. 액티브엑스는 근본적으로 특정 운영체제와 특정 브라우저에서만 실행되는 프로그램이라 웹표준에 어긋난다. 또한 시스템을 직접 조절하는 관계로 보안에도 심각한 문제가 있어 악성코드 침입의 주된 경로로 이용되기도 했다.



대체기술을 개발하고 기술지원방안을 찾던 미래창조과학부는 인터넷 쇼핑몰, 신용카드사, 전자지급결제대행업체(PG)와 협의해서 액티브 엑스를 퇴출시키고 대안을 마련했다. 크게는 간편결제를 시점으로 핀테크 기술을 경쟁하는 세계 시장에서 한국이 고립되지 않게 하기 위해서이고, 작게는 그동안 불편을 겪던 국내 사용자의 편의를 위해서였다.



대안 - 실행파일(EXE)과 신용카드 등록


정부가 내놓은 대안은 직접 플랫폼에서 실행되는 범용 실행파일(EXE)이었다. 액티브엑스가 특정 웹브라우저에서만 구동되는 플러그인 파일인데 비해 실행파일은 해당 플랫폼의 원천적인 프로그램이므로 적어도 호환성 문제는 없어진다.  또한 그동안 하나씩 설치해야 했던 백신, 개인방화벽, 키보드보안도구를 파일 하나로 대체할 수 있다. 개인방화벽과 백신이 빠지는 대신 이상거래탐지시스템(FDS) 구동용 프로그램이 들어간 것이다.



또한 해당 웹사이트마다 서로 달랐던 결제창과 보안프로그램도 웹표준(HTML5)을 통해 구현된다. 이것만으로도 시스템 구축에 드는 비용이 제법 커서 중소 쇼핑몰은 아직 액티브엑스를 쉽게 걷어내지 못하는 경우가 있다.

 

FDS는 부정거래를 탐지할 때 사용하는 서버쪽 프로그램이다. 사용자의 PC에서 단말기 정보, 거래 정보 등을 수집해서 과연 정상적인 결제인지 탐지한다. IP주소, 하드디스크 시리얼넘버 등을 수집하고 평소 이용하지 않던 물건, 너무 큰 결제금액 등 여러 상황을 조합해서 이상거래여부를 판단한다.


정부에서 지향한 목적은 결제에 이르는 단계를 줄여 번잡성을 없애고, 어떤 플랫폼에서나 결제하게 만드는 것이다. 하지만 실제로 보안용 방화벽과 백신, 키보드 보안도구가 정상적인 다른 프로그램과 충돌하는 부분이 여전하다. 또한 공인인증서의 경우 폐지하라는 목소리가 높은데도 여전히 사용자가 30만원 이상 결제를 할 때 카드사들이 요구하고 있다. 


실행파일을 설치하고 싶지 않은 사용자를 위해서 지원되는 간편결제 시스템도 있다. 앱카드라고 하는 방식으로 최초 카드를 등록한 뒤에 아이디와 비밀번호만으로 결제할 수 있다.



문제점 - 실행 오류, 면책요구, 강제성 없음


하지만 막상 이런 대안은 '목표'일 뿐 아직까지 제대로 시행되지 않고 있다. 우선 대안으로 등장한 실행파일이 시스템과 충돌해서 오류를 내거나 아예 사용이 불가능해지는 경우도 생기고 있다. 



실제로 기자가 이전에 액티브 엑스를 통해 결제했던 특정 사이트에서는 새로 바뀐 실행파일을 내려받아 설치하자 익스플로러에서 결제창이 제대로 뜨지 않았다. 웹표준을 믿고 크롬으로 바꿔서 결제하려하자 이번에는 실행파일이 자체가 내려받아지지 않았다. 간편결제를 위해 앱카드를 이용하려 하자 이번에는 공인인증서를 요구했다. 이런 식으로 업체의 현장 개발자가 시간에 쫓겨 졸속으로 만든 시스템을 통해 더 큰 짜증을 유발하는 상황이다.


면책 요구도 강하다. 대형 온라인 쇼핑몰은 이용자 편의성 측면에서 액티브엑스와 차이가 없다며 설치에 부정적이다. 하지만 공인인증서를 중심으로 한 지금의 시스템과 다른 변화를 주었다가 발생하는 결제사고의 책임을 지기 싫어하는 것이 본심이다. 금융기관들이 특히 이런 입장이 강하다. 


공인인증서 설치를 비롯한 보안 단계를 사용자가 제대로 수행했다면  지금까지는 부정인출이나 각종 금융사고가 발생해도 사용자가 직접 개입한 것으로 해석하기에 회사에는 책임이 없었다. 정부당국자의 말에 의하면 공인인증서는 현재 한국에서 통용되는 '인감도장' 수준의 강력한 법적 효력을 가진다. 따라서 공인인증서를 꼭 사용하려는 것은 사용자를 보호하기 위해서가 아니라 쇼핑몰, 금융기관 스스로를 보호하려는 것이다.



업계전문가는 "간편결제가 발달한 선진국이 금융사고가 적은 건 아니다. 애플페이의 경우, 몇 개월만에 수백만달러가 부정사용되기도 한다"고 전제하고는 "그렇지만 선진국 기업은 결제를 간편하게 해서 얻을 이익이 더 크다고 판단해서 보안시스템은 어떻게든 사용자의 불편을 적게 하는 방법으로 구축한다. 우리도 그래야 기업이 보안기술에 투자를 하고 자체기술을 개발한다"고 충고했다.  


아직까지 금융당국은 실행파일 설치를 강제하지 않고 있다. 관계자는 일련의 정부정책은 액티브엑스가 아닌 웹표준 방식으로 전환할 것을 권고한 것이지 필수로 규정하지 않았다고 강조한다. 소비자의 선택권에 다양성을 부여하자는 취지라는 것이다. 하지만 과연 외국수준의 간편결제가 완벽하게 가능하게 된다면 굳이 불편한 액티브엑스와 공인인증서를 일부러 써야겠다는 사용자가 있을 지는 회의적이다. 당분간 우리나라 사용자는 간편결제를 하려면 불편함에 더해 전환기의 혼란까지 덤으로 겪어야 할 듯 싶다.