아마존에선 되는 게 왜 알라딘에서는 안 되나

미디어오늘

[뉴스분석] 카드사들 논-액티브엑스 집단 왕따 사건… 페이게이트, "본사 해외 이전도 검토"

[미디어오늘이정환 기자] 알라딘과 카드사들의 액티브엑스 분쟁이 끝내 파국을 맞았다. 지난 6월 액티브엑스 설치 없는 결제 시스템을 도입했던 알라딘은 최근 간편결제 시스템을 전면 중단했다. 카드사들은 액티브엑스의 문제가 아니라 보안 수준의 문제라고 주장하고 있는데 알라딘에 간편결제 시스템을 공급하고 있는 페이게이트는 실제로 사고가 날 확률은 매우 낮다고 반박하고 있다. 카드사들과 계약을 맺고 있는 결제 업체들이 보안 위험을 과장하고 있다는 주장이다.

알라딘은 한때 액티브엑스 없는 결제를 지원하는 국내 유일의 온라인 서점이라는 사실을 마케팅 구호로 내세웠는데 21일 현재 간편결제는 전면 중단됐고 금액인증(AA, Amount Authentication) 방식의 결제는 외환카드와 하나SK카드, NH카드 등만 지원하고 있다. 알라딘에 따르면 23일부터는 모든 신용카드에서 간편결제는 물론이고 AA결제도 전면 중단될 계획이다. 결국 액티브엑스 없는 결제 시스템은 석 달을 채 버티지 못한 셈이다.

먼저 간편결제와 AA결제의 차이를 짚고 넘어갈 필요가 있다. 간편결제는 처음 결제를 하고 나면 신용카드 번호와 유효기간 등을 서버에 저장해뒀다가 다음부터는 비밀번호만 입력하면 되도록 하는 이른바 프로파일 방식이다. 액티브엑스 기반의 다른 전자결제 대행업체(PG)들이 사용자 PC에 결제 정보를 저장하는 것과 다르다. PC에 저장하느냐 서버에 저장하느냐의 차이인데 금감원은 프로파일 방식을 쓰지 않도록 권고하고 있다.

간편결제가 결제 정보를 저장하는 방식을 말한다면 AA결제는 본인인증 방식을 말한다. 1000원 단위와 2000원 단위의 임의의 금액을 가상 결제한 뒤 고객이 이 금액을 확인하고 입력하도록 하고 본인인증이 되면 가상 결제를 취소하고 실제 거래금액을 결제하는 방식이다. 이를 테면 알라딘에서 1만5000원짜리 책을 구입했는데 1632원과 2279원을 각각 결제하고 이 금액을 입력해서 본인인증을 하게 된다.

액티브엑스 방식의 안심클릭이나 안심결제 등에서는 PC에 저장된 정보가 서버에 저장된 사설 인증정보와 일치하는지 확인하는 방식으로 본인인증을 한다. AA방식에서는 카드사에서 결제 금액을 문자 메시지를 보내면 이를 확인하는 방식으로 본인인증을 한다. 신용카드와 휴대전화를 동시에 해킹 또는 도난 당하지 않는 이상 본인 이외에는 문자 메시지를 확인할 방법이 없기 때문에 해킹 위험이 낮다는 게 페이게이트의 설명이다.





한양대 김인성 교수 웹툰. http://minix.tistory.com/427

첫 번째 쟁점은 간편결제의 계약위반 논란이다. AA결제는 금융감독원 인증방법평가위원회에서 공식인증을 받았지만 간편결제는 아니다. 페이게이트 결제 시스템은 처음에 AA결제와 간편결제를 결합한 방식이었다. 카드사들은 AA결제는 금감원 인증을 받았지만 프로파일 방식의 간편결제는 계약조건에도 없을 뿐만 아니라 인증도 받지 않았고 보안도 매우 취약하다고 주장한다. 그러나 페이게이트는 간편결제는 이미 널리 쓰는 방식이라고 반발하고 있다.

두 번째 쟁점은 금감원의 모호한 태도다. 논란이 확산되자 페이게이트가 간편결제를 빼고 AA결제만 남겨뒀는데도 카드사들은 AA방식이 두 차례나 가상결제를 했다가 취소하기 때문에 시스템에 부담을 준다는 이유로 잇따라 제휴를 중단했다. 금감원은 AA결제가 금감원 인증을 받은 건 사실이지만 이를 카드사들에 강요할 수는 없다는 입장이다. 카드사들이 알아서 결정할 문제라는 이야기다.





세 번째 쟁점은 보안 사고가 발생했을 때 책임을 누가 질 것이냐다. 카드사들은 AA결제가 보안에 취약하다고 주장하고 있는데 페이게이트는 책임은 결국 가맹점이 지도록 돼 있고 가맹점들은 이미 보증보험 등에 가입돼 있기 때문에 문제가 없다고 반박하고 있다. 페이게이트는 가맹점의 책임 아래 가맹점이 인증방식을 선택할 수 있도록 해야 한다고 주장하고 있지만 카드사들은 일방적으로 거래를 중단했다.

지난달 알라딘 자체 설문조사에 따르면 고객 345명 가운데 85.8%가 액티브엑스 없는 결제 방식을 '매우 만족스럽다' 또는 '만족스럽다'고 응답했다. 카드사들은 처음에 AA결제가 아니라 간편결제를 문제 삼았다가 페이게이트가 간편결제를 빼고 AA결제만 남겨두자 AA결제도 못 믿겠다며 거래를 중단했다. AA결제가 안전하다며 공식인증까지 했던 금감원은 업계 자율에 맡길 문제라며 발을 빼고 있다.













이동산 페이게이트 이사는 "아마존이나 이베이 같은 글로벌 기업에서 쓰는 간편결제를 왜 우리는 쓸 수 없느냐"고 항변한다. 이 이사는 "결제정보를 개인 PC에 저장해두면 안전하고 서버에 저장하면 불안하다는 주장은 상식적으로 말이 안 된다"면서 "오히려 PC에 저장된 결제 정보가 통째로 넘어갈 위험도 있고 무분별한 액티브엑스 설치 관행이 보안 위험을 키우는 측면이 더 크다"고 지적했다.

이 이사는 "일부 카드사들이 AA결제가 보안에 취약하다는 이유로 차지백(지불거절, charge back) 규모를 최대 10배까지 요구하는데 이는 알라딘의 거래 행태를 봤을 때 터무니 없는 횡포"라고 반발했다. 이 이사는 "안심클릭이나 안심결제 등을 제공하는 PG사들이 카드사들 자회사인 것과 무관하지 않다고 보고 있다"면서 "이런 식이라면 금감원 인증평가위가 무슨 소용이 있느냐"고 비판했다.

카드사들의 변명은 군색하다. 한 카드사 관계자는 "결제 정보를 문자 메시지로 받지 않는 고객들도 있기 때문에 고객들 불편 문제도 있고 아직 안정화되지 않은 시스템이라 조심스러운 부분도 있다"고 말했다. 다른 카드사 관계자는 "페이게이트는 액티브엑스를 안 쓰기 때문에 왕따 당하는 것처럼 여론을 몰고 가는데 액티브엑스의 문제가 아니라 굳이 검증되지 않은 시스템을 도입하는 위험을 감수할 이유가 없다는 게 솔직한 입장"이라고 말했다.

이 이사는 "카드사들이 문제 삼아서 간편결제도 빼고 키보드 해킹 방지 시스템도 도입했다"면서 "그런데 이제와서 금감원도 공식인증한 AA결제를 보안 위험 운운하면서 거부하고 있다"고 반박했다. 이 이사는 "아예 본사를 해외로 옮겨서 해외 신용카드 대상으로 영업을 하는 방안까지 검토하고 있다"고 덧붙였다. 실제로 지금도 애플 앱스토어 등에서는 해외 신용카드만 결제가 가능한데 이런 시장을 노리겠다는 이야기다.

페이게이트의 지난해 매출은 40억원 수준, 국내 결제대행 시장에서는 10위 수준이지만 해외 신용카드 결제대행 부문에서는 1~2위를 다툰다. 해외에서 국내 웹 사이트 결제를 할 때 페이게이트를 이용하는 경우가 많은데 아직까지 한 건도 큰 결제 사고가 없었다는 게 이 이사의 설명이다. 이 이사는 "왜 비자카드와 마스터카드는 받아주는 결제방식을 국내 카드사들은 못 받아주겠다는 건지 이해할 수가 없다"고 말했다.

김성동 알라딘 팀장은 "모바일에서도 코레일 앱이나 영화 예매 사이트 등에서 대부분의 카드사들이 ISP나 안심클릭 없이 간편하게 결제할 수 있도록 허용하고 있고 마이크로소프트코리아나 애플코리아, 어도비코리아 등의 외국계 사이트들에도 이런 비인증 결제를 계속 허용하고 있으면서 오히려 금감원 인증을 받은 인증 시스템을 도입한 페이게이트를 왕따 시키는 건 납득하기 어렵다"고 지적했다.

김기창 고려대 법대 교수는 "애플 아이튠즈나 구글 플레이 스토어 등의 결제는 모두 카드번호오 유효기간 등을 결제대행사가 저장한 상태에서 이루어지는데 현대카드나 삼성카드 등 국내 모든 카드사들이 군말없이 이들 쇼핑몰에서의 결제를 허용하고 있다"면서 "외국계 쇼핑몰이나 외국계 결제대행사가 저장하면 괜찮고, 국내 결제대행사는 저장하면 안 된다는 건 말이 안 된다"고 비판했다.

김 교수는 "알라딘 간편결제 중단 사태는 안전이나 기술의 문제가 아니라 기득권과 관행의 문제"라면서 "안전이 중요하다느니 감독기구의 승인이 중요하다느니 하는 이야기는 많지만 결국 어쨌거나 안심클릭이나 안심결제 이외의 결제 시스템을 받아들일 수 없다는 이야기일 뿐"이라고 비난했다. 김 교수가 활동하고 있는 오픈넷은 최근 액티브엑스 없는 기부 시스템 결제를 거부한 BC카드 등을 상대로 업무방해 금지 가처분 신청을 내기도 했다.

결국 알라딘의 액티브엑스 없는 결제는 카드사들의 요구를 전폭 수용했는데도 시장에서 퇴출당할 위기에 놓여있다. 인증방법을 다양화하겠다며 인증방법 평가제도를 도입했던 금감원도 별다른 의지가 없다. 여전히 맥이나 리눅스 사용자들은 온라인 결제가 차단돼 있고 윈도우즈 사용자들도 인터넷 익스플로러를 강요당하고 있다. 한국에서만 벌어지고 있는 온라인 갈라파고스 현상이다.

한편, 미래창조과학부는 지난 7월 ICT(정보통신기술) 경쟁력 강화 방안을 발표하면서 "공인인증 이외의 대체적 인증수단을 활성화 하기 위해 전자인증 선택권을 확대할 계획"이라면서 "액티브엑스 사용을 줄이고 멀티 브라우징이 가능한 웹 이용환경을 조성하겠다"고 밝힌 바 있다. 공인인증서 폐지를 위한 전자서명법과 전자금융거래법 개정안이 국회에 계류돼 있는데 미래부는 원칙적으로 전자금융거래법은 반대하지 않는다는 입장이다.

액티브엑스 없이 결제 가능한 국내 쇼핑몰들.

아래 사이트들에서는 액티브엑스 없이 결제가 가능합니다. 보안 위험 때문에 알라딘의 간편결제를 허용할 수 없다던 카드회사들이 이 사이트들에서는 심지어 인증도 없는 결제를 허용하고 있습니다. 대한항공 사이트에서는 액티브엑스를 설치해야 하지만 외국인 대상의 대한항공 영문 사이트에서는 액티브엑스 없는 결제가 가능한 웃지 못할 상황도 벌어집니다. 아래 목록은 오픈넷에서 제공한 자료를 재가공한 것입니다.

한국 마이크로소프트 스토어(국내 법인)
결제대행사: 디지털리버 코리아(국내 법인)

액티브엑스를 두고 MS사를 비난하는 분도 계시지만, 한국 마이크로소프트 스토어(소프트웨어를 온라인으로 판매하는 쇼핑몰입니다)는 액티브엑스 등의 플러그인을 일체 사용하지 않습니다. 퓨어 웹으로 깔끔하게 결제를 완료할 수 있습니다.

한국 어도비 스토어(국내 법인)
결제대행사: 디지털리버 코리아(국내 법인)

포토샵이나 일러스트레이터 등 수백만원씩 하는 소프트웨어를 온라인으로 간편하게 구입할 수 있는 쇼핑몰. 공인인증서 안 써요.

한국 애플스토어 (국내 법인)
결제대행사: 이니시스(국내 법인)

모두 아시지요? 맥북에어 등 30만원을 훨씬 넘는 쿨한 애플 제품을 온라인으로 구매할 수 있는 국내 쇼핑몰입니다. 플러그인 설치하고 공인인증서 사용하고 하려면 결코 쿨하지 않겠지요. 그래서 그런 것 없이 퓨어 웹으로 쿨하게 결제를 마칠 수 있습니다.

한국 코렐 소프트웨어(국내 법인)
결제대행사: 디지털리버 코리아(국내 법인)

페인트샵이나 코렐드로우 등 고가의 그래픽 소프트웨어를 온라인으로 판매하는 쇼핑몰입니다. 물론, 공인인증서 따위는 예전부터 안썼고요, 안심클릭, ISP같은 것도 사용하지 않습니다. 노 플러그인, 퓨어웹 방식의 깔끔한 결제!

사단법인 유니세프 한국위원회(국내 법인)
결제대행사: (주)케이에스넷

모바일 폰으로 유니세프 한국위원회에 기부해 보세요! 어떠한 플러그인도 설치할 필요가 없고, 안심클릭, ISP결제 따위도 설치할 필요가 없어요. 기부하겠다는 분들께 그런 거 설치하라면 누가 기부하겠습니까? BC카드, 국민카드, 현대카드 등 국내 모든 카드사들께서도 이런 사정을 너그럽게 헤아리셔서, 기부금 결제를 전폭적으로 허용해 주고 있습니다.

Copyrights ⓒ 미디어오늘. 무단 전재-재배포 금지

Copyrights ⓒ 미디어오늘. 무단 전재-재배포 금지