인터넷 서점 알라딘의 액티브엑스 없는 결제 시스템이 중단될 위기를 맞고 있다. 아직 롯데카드와 신한카드, 외환카드 등이 남아있긴 하지만 메이저 카드사들이 빠져 나가면서 모든 브라우저와 운영체제를 지원한다는 당초 취지가 빛이 바랬다.

현대카드가 시작이었다. 알라딘에 결제 시스템을 제공하는 페이게이트에 따르면 현대카드가 먼저 제휴 중단을 통보했고 삼성카드는 통보도 없이 일방적으로 거래를 끊었다. BC카드와 국민카드도 액티브엑스 없이는 거래를 계속할 수 없다고 통보해 왔다. 페이게이트에 따르면 외환카드는 페이게이트의 금액 인증 결제 시스템을 허용했고 신한카드는 좀 더 지켜보겠다는 입장을 알려왔다.

이 카드사들은 최근 미디어오늘 보도 이후 트위터에서 논란이 확산되기 전까지 알라딘이 액티브엑스 없는 결제 시스템을 도입했다는 사실도 몰랐던 것으로 알려졌다. 알라딘에서 애초에 액티브엑스 없는 결제 시스템을 도입했다는 사실을 크게 홍보하지 않은 것도 이런 이유에서다. 카드사들은 혹시라도 결제 사고가 터지면 카드사가 책임을 져야 한다며 검증되지 않은 결제 시스템을 허용할 수 없다는 입장이다.

카드사들은 페이게이트가 액티브엑스를 안 써서 문제 되는 게 아니라 금융감독원 표준 약관을 따르지 않기 때문에 문제라는 입장이다. 금감원 관계자는 “표준약관에는 가맹점이 서버에 유효기간을 저장해서는 안 된다고 돼 있다”고 말했다. 그러나 페이게이트 이동산 이사는 “표준약관은 말 그대로 표준일 뿐 의무사항이 아니고 실제로 페이게이트가 체결한 약관에는 이런 내용이 포함돼 있지도 않다”고 말했다.

현대카드는 최근 페이게이트에 두 가지 조건을 제안했다. 첫째, 카드 유효기간을 서버에 저장하지 말 것, 둘째, 키보드 해킹에 대한 대안을 마련할 것. 페이게이트는 그동안 한번 결제를 하고 나면 다음번에는 금액 인증과 비밀번호 입력만으로 결제를 할 수 있도록 했지만 현대카드가 제시한 조건을 둘 다 받아들였다. 유효기간 등을 저장하지 않을 수 있는 옵션을 뒀고 비밀번호를 입력할 때 스크린 키보드를 선택할 수 있도록 했다.

이동산 페이게이트 이사는 “보완 대책을 마련했기 때문에 현대카드 등과는 곧 거래가 재개될 것으로 기대하고 있다”고 말했다. 이 이사는 “금액 인증 방식이 ISP 결제나 안심클릭 같은 액티브엑스 기반 결제 방식보다 더 보안이 취약하다는 주장에는 동의할 수 없다”면서 “오히려 무분별한 액티브엑스 플러그인 설치 문화가 보안 위험을 늘린다는 사실을 간과해서는 안 된다”고 지적했다.

결제 사고가 나면 카드사가 책임을 져야 한다는 카드사들의 주장에 대해서도 반박했다. “보증보험에 가입돼 있고 거래 한도도 담보금에 상응해서 부여하기 때문에 가맹점이 망하지 않는 이상 카드사가 결제 사고에 책임을 지는 일은 없다”는 설명이다. 이 이사는 “심지어 비인증 방식으로 결제를 하는 가맹점도 많은데 더 안전한 결제 방식을 제공하는 알라딘을 문제 삼는 이유를 모르겠다”고 말했다.

이 이사는 “액티브엑스를 잔뜩 깔게 하면 그 카드사를 거래할 때 발생하는 위험을 줄일 수 있을지도 모른다, 그렇지만 이렇게 무분별하게 액티브엑스 설치를 강요하는 문화가 해킹과 피싱의 온상이 된다는 걸 이 카드사들도 알고 있다”고 지적했다. “우리 서비스에서만 문제가 안 생기면 된다는 생각으로 액티브엑스를 남발하고 이런 업계 관행에 동참하지 않는 회사들을 왕따시키고 있다”는 이야기다.

김기창 고려대 법대 교수는 “액티브엑스 카르텔은 안전이나 기술의 문제가 아니라 노골적인 주먹자랑 난장판이 됐다”고 지적했다. 김 교수는 “안전이 중요하다느니 감독기구의 승인이 중요하다느니 하는 이야기는 많지만 결국 어쨌거나 페이게이트는 안 된다는 이야기일 뿐”이라고 비난했다. 김 교수가 활동하고 있는 오픈넷은 최근 액티브엑스 없는 기부 시스템 결제를 거부한 BC카드를 상대로 업무방해 금지 가처분 신청을 내기도 했다.