非액티브X 전자결제 확산 카드사에 달려

지난해 3월말부터 정부 차원에서 본격적인 논의가 시작된 비액티브X 기반 전자결제를 도입할만한 여건이 무르익었다. 비액티브X 기반 결제를 도입하고 말고는 이제 카드사의 몫이다. 액티브X를 대체할 수 있는 기술이 있느냐 여부가 아니라 쓸것이냐 말것이냐, 다시 말해 '선택의 문제'가 된 셈이다.

관련 업계는 비액티브X 기반 공인인증서를 구현하기 위해 HTML5 기반 표준프레임워크를 활용하는 방식, 기존 플러그인 방식으로 설치, 업데이트 되는 탓에 불편함을 초래했던 개인방화벽, 키보드보안, 백신을 exe 형태 통합 프로그램으로 대체하는 방식, 공인인증서와 개인키를 별도 암호화 알고리즘이 적용된 스마트폰 유심칩에 저장해 사용하는 방식, 카드정보를 한번만 입력해 놓으면 그 뒤에는 ID와 비밀번호로 결제를 수행하고, 뒷단에서 이상금융거래탐지시스템(FDS)을 구축해 사고를 줄이는 방식 등에 대한 기술적 검토를 마쳤다.

13일 미래창조과학부 정보보호정책과, 한국인터넷진흥원(KISA), 관련 업계에 따르면 기존 시스템을 손보지 않고도 비액티브X 기반 전자결제를 구현할 수 있는 첫번째 HTML5 기반 표준 프레임워크를 쓰는 것이다.이 방식은 공인인증서를 통해 본인인증을 하고, 결제를 수행한다는 점에서는 이전 방식과 다른 점이 없다. 대신 마이크로소프트가 제공하는 인터넷 익스플로러 브라우저에만 한정된 액티브X나 구글 크롬, 모질라 파이어폭스, 애플 사파리 웹브라우저에서 제공하는 NPAPI를 쓰지 않고도 웹크립토API와 같은 표준 암호화 기술, 전자서명 기술을 통해 공인인증서 시스템을 구현할 수 있다는 점이 장점이다.

KISA는 지난해 수행한 'HTML5 기반 공인인증서 발급 및 이용 프레임워크' 프로젝트를 통해 이와 관련한 기술적 검토를 마친 상태다.

두번째로는 exe 형태의 실행파일로 개인방화벽, 키보드보안, 백신 프로그램들을 통합설치하는 방식이다.

지금까지는 온라인쇼핑몰 등에서 결제할 때 최소 4회~7회 이상 액티브X 기반 플러그인을 중복설치하고, 연간 6회~17회까지 보안업데이트를 해야 했다. 이 과정에서 깔리는 프로그램들은 사용자 PC의 시스템단을 건드리는 탓에 잦은 오류로 원성이 높았다. 두번째 방식은 이들 프로그램을 하나의 exe 실행파일 형태로 통합제공하겠다는 것이다. 3가지 보안프로그램들을 모두 제공할 수 있는 안랩, 잉카인터넷 등이 이 방식을 취하고 있다.

세번째는 공인인증서 저장수단에 대한 보안성을 높이는 방식이다. 이 방식 역시 기술적인 검토가 끝났다. 금융보안연구원이 제안한 스마트OTP는 기존 공인인증서를 활용한 결제에 필요한 본인인증에 일회용 비밀번호를 넣는 방식을 개선한 것이다.

신용카드 IC칩 내에 거래에 필요한 OTP 생성기를 내장한 뒤 근거리무선통신(NFC) 기술을 통해 자신의 스마트폰에 카드를 갖다대는 방식으로 일회용 비밀번호를 생성하는 방법이다. 기존 OTP카드를 별도로 구매해 쓰는 것보다 비용을 절감하면서 편리하게 활용할 수 있다는 점이 장점이다.

이동통신사들은 스마트폰 유심칩 내에 공인인증서, 개인키를 암호화해 저장한 뒤 결제할 때마다 꺼내 쓰는 방법도 구현하고 있다. 다만 이 방식은 아직 도입 초기라 오류가 잦고, 거래가 생각보다 빠르게 이뤄지지 않는다는 점 등이 극복해야할 한계로 지적된다.

끝으로 간편결제는 앞단에서 플러그인을 추가로 설치할 필요가 없는 대신 FDS를 통해 실시간으로 거래 승인/차단 여부를 결정한 뒤 뒷단에서 이상여부를 판단하는 방식이다. 앞서 두 가지 방안에 비해 훨씬 간편하게 전자결제를 할 수는 있지만 페이팔 등 해외 간편결제서비스와는 달리 실시간으로 거래 이상 유무를 파악하기 위한 기술적 노하우를 쌓아야 한다는 과제가 남아있다.

관련 업계에 따르면 카드사들은 전자결제를 위한 수단으로 4가지를 모두 고려하고 있으나 아직까지 기존 방식을 버리겠다는 생각은 하지 못하고 있는 것으로 나타났다. 이전까지 활용해 온 액티브X 기반 공인인증서를 활용한 결제도 가져가면서 다른 방식도 추가하겠다는 것이다.