최근 규제개혁과 관련 박근혜 대통령으로부터 천송이 코트를 해외 사용자들이 국내 쇼핑몰에서도 구매할 수 있도록 공인인증서 의무 사용을 없애는 방안을 모색하라는 방침이 떨어졌다.
이에 따라 후속 조치가 급물살을 타고 있다. 지난 3월 금융위원회는 30만원 이상 인터넷 쇼핑몰 등에서 거래할 때 공인인증서를 의무적으로 사용토록 한 '전자금융감독규정 시행세칙'을 개정할 방침이라고 밝혔다.
계획에 따르면 오는 6월부터 신용카드, 직불카드로 결제시 공인인증서를 사용하지 않고서도 천송이 코트를 국내외에서도 구매하는 일이 가능해진다.
이에 따라 사용자들 입장에서는 30만원 이상 구매시 예전처럼 공인인증서를 쓸지, 아니면 본인확인과 결제만으로 구매를 마무리 지을지 선택의 기로에 서게 됐다.
액티브X 중심의 국내 쇼핑몰 결제 환경은 불편한 프로세스로 인해 사용자들로부터 많은 비판을 받아왔다. 복잡한 프로세스는 공인인증서 사용을 강제한 것과도 무관치 않다.
이런 가운데 전문가들 사이에선 쇼핑몰에서까지 공인인증서 사용을 의무화할 필요는 없다는 지적이 많다.
업계 한 관계자는 아마존 등 외국 쇼핑몰처럼 결제만 가능하거나 본인확인을 통해 인증만 적용해도 되는데 전자서명을 통한 부인방지기능을 가진 공인인증서까지 투입한 건 오버액션이라고 지적했다. 암호화 결제-본인확인-부인방지까지 모두해야 하는 구매 환경을 만들다보니, 액티브X가 덕지덕지 깔리는 건 피할 수 없었다는 설명이다.
전자서명법에 명시된 부인방지를 기술적으로 구현하려면 현재로선 액티브X를 통해 추가 기능을 설치하는 것이 가장 현실적인 방법이다. 대체 기술이 개발되고 있지만 지금으로선 공인인증서 환경은 액티브X 위주로 갈 수밖에 없다는 지적이다.
이런 가운데 정부가 쇼핑몰에서 결제와 본인 확인만으로 구매가 가능하도록 하는 정책을 들고 나왔다. 전자상거래 분야 만큼은 공인인증서 없이도 돌아가는 환경이 조성되고 있는 셈이다. 공인인증서 의무 사용 정책이 없어진 만큼, 결제 환경이 지금보다는 빠르게 개선될 가능성도 높아졌다. 부인 방지를 제외한 결제나 본인 확인은 액티브X 없이 충분히 구현 가능하다는 것이다.
인터넷 쇼핑몰을 이용할 때 공인인증서로 할 수 있는건 3가지다. 먼저 실제 거래 당사자가 맞는지를 확인하는 본인인증이다. 두번째는 상호 간에 오가는 거래정보가 위조되거나 변조되지 않았는지 검증하기 위한 암호화 기능이다. 마지막으로 실제 거래가 이뤄졌다는 사실에 대해 전자문서를 발급해 서로 전자적으로 서명을 하는 부인방지 기능이다.
이중 본인인증, 암호화 기능은 기존에 공개된 ID, 비밀번호를 통한 로그인, HTML5, 자바, SSL 암호화 통신 등 얼마든지 대체할 수 있는 기술이 있다.
그러나 부인방지 기능으로 넘어오면 얘기가 달라진다. 전자서명을 활용하려면 웹브라우저에 추가적인 기능을 설치해야 한다. 우리나라에서 인터넷익스플로러(IE) 점유율이 가장 높기 때문에 해당 기능을 사용할 수 있는 방법을 고안해 낸 것이 액티브X를 통한 플러그인 방식이다.
인터넷 쇼핑몰도 마찬가지다. 결제를 위해 공인인증서를 사용한다면 본인인증, 암호화 통신과 함께 전자서명을 통한 부인방지 기능이 구현된다. 해당 쇼핑몰에서 물품을 구매했다는 사실에 대해 전자적으로 서명한 문서를 서로 주고 받는 것이다. 이를 구현하기 위해 액티브X 기반 플러그인을 설치하게 된다.
이제 상황은 달라졌다. 사용자들은 전자상거래에서 만큼은 공인인증서를 굳이 쓰지 않아도 된다. 그러나 사용자들이 익숙한 것과 제대로 결별할 수 있을지는 미지수다. 공인인증서 없는 결제 환경을 불안해 하는 이들도 종종 눈에 띈다. 외국처럼 신용카드 정보를 저장해두고 한번에 결제하는 방식을 부담스러워하는 이들도 적지 않다는 얘기다.
결국 선택의 문제로 보인다.
공인인증서 방식을 고수할 경우 부인방지 기능 구현을 위한 액티브X 기반 플러그인 설치가 필수가 된다. 액티브X 외에 HTML5와 같은 웹표준 기술을 이용하면 된다고 하더라도 뭔가 추가적으로 플러그인을 깔아야 한다는 점에서는 크게 다른 점이 없다. 현재로서는 불편함을 감수하면서 인터넷을 통한 물품/서비스 구매에 대한 일종의 거래확인서가 필요하다면 이 방법을 쓸 수 있다.
다음은 ID, 비밀번호 등 기본적인 본인인증과 암호화 통신을 사용하는 대신 부인방지 기능을 포기하는 방법이다.
해외에서 결제를 해 본 사람들은 국내 환경과는 달리 카드번호와 유효기간 등만 입력하더라도 결제가 이뤄진다는 사실에 놀란다. 해외에서는 편리한 결제를 허용하는 대신 사용자의 결제내역이나 사용패턴 등을 파악해 사후 문제를 해결하는 방식이다.
보안업계 용어를 빌리자면 신원확인을 위해 사용자 정보를 입력하고 서명까지 해서 문서로 보관하느냐, 아니면 자유로운 입출입이나 시스템에 조회를 허용하되 로그분석 등을 통해 이상징후를 탐지하고 필요한 후속대책을 마련하는 디지털포렌식 기법을 활용하는가의 차이다.
비공인인증서 방식 결제는 여러가지 걸림돌이 여전히 산적해 있다. 현재 나와 있는 안심클릭과 같은 결제 서비스는 여전히 액티브X 중심적이다. 공인인증서를 쓸 때보다 사용자 경험이 좋다고 장담하기 힘들다.
관련기사
- LGU+, 액티브X·공인인증서 대체수단 개발한다2014.04.22
- 온라인 카드결제 공인인증서 의무사용 폐지2014.04.22
- 정부, 공인인증서 없는 온라인 결제 협의2014.04.22
- 공인인증서, 쇼핑몰 보다 더 큰 문제는?2014.04.22
현재 페이게이트와 같은 결제 대행사들이 비공인인증서 방식으로 결제 기능을 구현하는 방법을 고안 중이나 아직 금융 거래에 직접 쓸 수 있도록 인증방법평가위원회 평가결과 '보안 가군' 인증을 받은 방법은 없다. 정부가 카드사를 통해 결제 대행사들이나 인터넷 쇼핑몰 등이 새로운 인증방식을 쓸 수 있도록 허용할지도 아직 미지수다.
이런 상황에서 인터넷 쇼핑서 30만원 이상 구매시 공인인증서 사용을 의무화하던 규제가 사라졌다. 공인인증서를 쓰지 않고도 구매할 수 있는 옵션이 생겼다. 옵션은 생겼지만 대안이 확실하게 좋다는 보장은 없다. 분위기만 놓고 보면 그렇다. 이런 상황에서 공인인증서에 익숙한 사용자들은 어떤 선택을 하게 될까? 흥미로운 관전 포인트가 등장했다.