더욱 더 놀라운 건 액티브엑스 설치도 없이 신용카드 번호와 유효기간, 그리고 카드 뒷면의 CVV 번호만 입력하면 간단히 결제가 끝난다는 사실이다. 마이크로소프트 인터넷익스플로러가 아니라도 된다. 파이어폭스나 크롬이나 사파리에서도 되고 아이폰이나 안드로이드폰이나 모바일에서도 된다. 당연히 맥이나 리눅스나 어떤 다른 운영체제에서도 어떤 형태든 웹브라우저만 띄울 수 있으면 된다.

뭔가 이상하지 않은가. 인터넷 서점 알라딘은 최근 국내 인터넷 서점 최초로 액티브엑스 없는 결제 시스템을 도입했다고 떠들다가 카드사들이 잇따라 제휴 중단을 통보하는 바람에 결국 다시 액티브엑스로 돌아와야 했다. 액티브엑스 없는 결제 시스템은 안전하지 않다는 게 이유였다. 알라딘에 결제대행 시스템을 제공하는 페이게이트는 금융감독원 인증평가위원회에서 안전하다는 인증도 받았다. 그런데도 ‘왕따’를 당했다.

마이크로소프트코리아 결제 화면. 해외 신용카드만 지원하긴 하지만 액티브엑스 설치 없이 30만원 이상 결제가 가능하다.

금감원은 이 차이를 제대로 설명하지 못한다. 금감원은 최근 공인인증서 없이 30만원 이상 결제를 할 수 있도록 한 애플코리아에 시정명령을 내린 바 있다. 애플코리아는 한국 기업이니 한국에서 사업을 하려면 한국 법을 따라야 한다는 논리였다. 이런 논리라면 마이크로소프트코리아도 한국 법을 따라야 한다. 그러나 금감원 관계자는 “해외 신용카드로 결제하고 달러화로 결제되기 때문에 적용 대상이 아니라고 판단했다”는 애매한 답변을 내놓았다.

금감원의 논리에 따르면 알라딘이나 애플코리아 등도 해외 신용카드만 받고 달러화로 인출하면 금감원 규제를 우회해 공인인증서 없이 결제하는 게 가능하다는 이야기가 된다. 김기창 고려대 법학전문대학원 교수는 “이 정도면 규제할 방법이 마땅치 않기 때문에 방치하고 있다고 보는 게 맞다”고 말했다. 이동산 페이게이트 이사는 “국내에서 사업을 할 수 없게 되면 본사를 해외로 옮기는 방안까지 고민하고 있다”고 말하기도 했다.

애플코리아 결제 화면. 금융감독원 시정명령을 받고 액티브엑스 설치를 요구한다. 인터넷익스플로러가 아닌 웹 브라우저로 접속하면 어플리케이션 설치를 요구한다. 그나마 맥이나 리눅스 등에서는 여전히 액티브엑스 없이 퓨어 웹으로 결제가 가능하다.

액티브엑스와 공인인증서를 반대하는 사람들은 단순히 불편해서 반대하는 게 아니다. 보안을 강화한다는 프로그램이 오히려 보안에 심각한 위협이 된다는 게 진짜 문제다. 팝업창이 뜨면 일단 설치하고 보는 문화에서는 액티브엑스 형태로 유통되는 악성 프로그램들을 막을 방법이 없다. 공인인증서 파일이 통째로 유출되는 경우도 많다. 결코 더 안전하지 않으면서 이용자들을 불편하게 만들고 이용자들에게 책임을 떠넘기는 가장 무책임한 보안 방식이다.

민주당 장병완 의원에 따르면 지난해 단 8건이던 공인인증서 유출이 올 9월까지 6933건으로 크게 늘어났다. 컴퓨터를 통한 유출이 777건, 스마트폰 공인인증서 유출이 6156건이나 됐다. 애플이나 마이크로소프트 사이트에서는 단 한 건도 발생하지 않았고, 대부분 안드로이드 운영체제 스마트폰에서 발생했다는 사실이 눈길을 끈다. 애초에 공인인증서를 이용자의 컴퓨터나 단말기에 저장하는 방식 자체에 문제가 있다는 지적이다.

더 안전하지도 않고 불편할 뿐만 아니라 오히려 더 위험하다는 비판도 많은 공인인증서를 금감원은 왜 고집하는 것일까. 한 보안업계 관계자는 “이것저것 잔뜩 깔게 해야 더 안전한 것처럼 보이기 때문”이라면서 “전형적인 관료 마인드 정책”이라고 지적했다. 이 관계자는 “아무리 많은 절차를 둬도 마음만 먹으면 얼마든지 뚫린다고 봐야 한다”면서 “온 나라가 이처럼 하나의 보안 방식에 ‘올인’하는 게 진짜 문제”라고 지적했다.