신용카드사들이 온라인 지불결제시스템 도입을 두고 고민에 빠졌다. 마이크로소프트(MS)가 운영하는 액티브엑스(Active X) 전자결제시스템에 대해 불편을 호소하는 고객이 점차 늘어나고 있어서다.

실제로 온라인에서 물건을 구매하려다 매번 뜨는 액티브엑스 설치오류 메시지 때문에 구매를 포기하는 사례가 심심찮게 발생하고 있다. 또한 액티브엑스를 설치할 수 없는 OS(크롬, 사파리 등) 사용자도 늘고 있어 카드사들은 방안 마련에 나설 수밖에 없는 상황이다.

 
현재 온라인결제 인증은 액티브엑스를 통한 공인인증서 인증이 대다수다. 이는 우리나라에서 MS의 인터넷익스플로러(IE) 점유율이 유독 높기 때문이다. 비인증방식을 사용하는 업체는 알라딘과 코레일, CGV 등 극소수에 불과하다.

 
문제는 비인증 방식을 사용하는 업체들의 경우 보안성 문제가 완벽히 해결되지 않았다는 점이다. 따라서 카드사들은 불안정한 비인증 방식을 당장 도입하기는 어렵다는 입장이다.
 
카드사들은 액티브엑스를 이용하지 않으면 당장 키로킹(입력키 가로채기)에 대한 대책이 없다고 말한다. 최근 카드사들이 알라딘의 비인증결제방식에 제휴를 중단한 것도 이 같은 이유에서다.

 
알라딘은 전자결제대행업체(PG.Payment Gateway)인 페이게이트사가 개발한 'AA인증'(일명 금액인증)을 사용하고 있다. AA인증은 카드결제를 할 때 허위로 보낸 2건의 결제승인 문자로 본인인증을 한다. 대신 액티브엑스 등 별도 플러그인 프로그램을 설치하지 않는다.

 
카드사들은 알라딘의 비인증방식은 액티브엑스를 설치하지 않기 때문에 키보드 해킹에 취약하다는 주장이다. 또한 페이게이트 서버에 카드 유효기간 등 정보를 저장하는 방식도 문제가 발생될 여지가 있다는 지적이다.

 
이에 대해 페이게이트는 가상키보드를 제공해 키로킹을 방지하고, 유효기간은 저장하지 않는 방법으로 수정하겠다고 말했다.

 
비용문제도 걸림돌이다. AA인증방식은 허위결제를 통한 본인인증 방법으로 총 5번의 결제 및 취소(결제2번+결제취소2번+최종결제)가 일어난다. 이 과정에서 다섯번의 문자서비스(SMS) 발송 비용과 밴 수수료가 발생한다. 또한 결제와 취소의 반복으로 전산망에 부담을 줄 수 있어 추가비용이 발생할 수 있다는 우려다.

 
마지막으로 계약위반에 대한 문제도 해결해야 한다. 페이게이트가 일방적으로 인증방식을 변경했고, 금융당국에서 인가를 받지 않은 프로파일방식은 수용할 수 없다는 것이다.

당초 페이게이트는 AA인증을 기반으로 카드사들과 제휴를 맺었다. 그러나 페이게이트는 최초 결제 시에만 AA인증 방법을 사용하고, 두번째 결제부터는 AA인증이 아닌 프로파일 인증방식을 이용했다. 프로파일 인증은 개인카드 정보를 서버에 저장해 ID와 비밀번호로만 결제가 이뤄지는 방식이다.

 
카드사들이 엑티브엑스를 통한 결제인증시스템만을 고집하는 것은 아니다. 보안성과 비용절감이 가능하다면 언제라도 새로운 온라인결제시스템을 도입할 수 있다고 말한다.

 
현대카드 관계자는 "현대카드가 특정체계만을 고집할 이유도 없고, 비액티브엑스 역시 수용할 수 있다. 하지만 보안문제 등이 선결되지 않는다면 협의할 수 없다"고 말했다. 다른카드사들의 입장도 비슷하다. 롯데카드 관계자는 "카드사와 PG사 간 입장과 의견 차이가 있다. 이에 대해 소비자 입장에서 협의 중"이라고 말했다.

 
◆ 다양한 결제시스템 나올까

 
카드사들의 고민은 소비자들이 다양한 온라인 결제방식서비스를 요구하고 있다는 점이다. 이는 국회와 금융당국도 공감하고 있다. 정부는 지난 13일 국무회의에서 공인인증기관 지정을 허가제에서 등록제로 바꾸는 내용의 '전자서명법' 개정안을 심의, 의결했다. 공인인증시장이 경쟁체제로 바뀐다는 의미다. 이에 따라 이르면 내년부터 다양한 결제지불시스템이 등장할 것으로 기대된다.

 
금융당국도 다양한 결제인증수단을 장려하고 있다. 금융감독원은 최근 카드사들에게 페이게이트의 AA방식을 긍정적으로 검토할 것을 주문했다. 소비자들의 선택권 확대를 독려한다는 차원에서다.

 
페이게이트에는 AA방식을 보완 적용하고 인가받지 않은 프로파일 방식은 사용하지 않는 방법으로 카드사와 협의할 것을 권고했다. 이에 페이게이트는 카드사들의 의견과 금감원 권고사항을 반영해 프로파일 인증방식을 일시 중단하겠다는 입장을 밝힌 상태다.

 
페이게이트 관계자는 "프로파일방식은 향후 금감원 인가절차를 진행할 예정"이라며 "SMS 비용과 밴 수수료 문제에 대해서는 각 업체들과 협의하는 등 조율에 나서겠다"고 말했다.

 
업계전문가는 이번 액티브엑스 논란에 대해 다양한 전자결제수단의 필요성이 이슈로 부상했다는 점에 큰 의미가 있다고 말한다. 보안업체 드림시큐리티 한근희 부사장은 "결제환경 다변화로 다양한 인증방식이 필요해졌고, 기업들도 소비자의 선택권을 존중해야 한다"며 "보안성과 편의성의 접점을 찾는 노력이 계속돼야 한다"고 말했다.
 
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제294호에 실린 기사입니다.