본문 바로가기

IT + α

우리가 웹브라우저를 자유롭게 선택할 수 없는 이유

액티브엑스 없는 간편결제, 우리 모두를 위해 알라딘과 페이게이트를 애용하자!

 

전세계적으로 2013년 5월말 기준으로 웹브라우저 점유율을 살펴보면, 크롬을 가장 많이 사용하고(41.4%) 그 다음이 인터넷 익스플로러(27.7%), 세 번째가 파이어폭스(19.8%)다. 점유율을 보면 알겠지만, 그래도 어느 정도는 다양성이 유지되고 있는 셈이다. 그런데 유독 한국에서만 익스플로러가 거의 70%에 육박하는 '흉한' 점유율을 기록하고 있으며, 다른 웹브라우저들은 다른 나라에 비해 점유율이 매우 낮다. 도대체 우리는 왜 자신이 원하는 웹브라우저조차 자유롭게 선택해서 사용할 수 없을까? 과연 대한민국이 'IT강국'이 맞기는 한가?

 

이렇게 극심한 익스플로러 의존 현상이 빚어지고 있는 가장 큰 원인은, 아마도 ActiveX와 '공인인증서 의무화 제도' 때문일 것이다. 액티브엑스는 마이크로소프트사(Microsoft Corporation, MS)에서 개발한 사용자PC 설치 프로그램으로서, 웹사이트에서 정적인 웹문서나 콘텐츠를 멀티미디어 기술로 동작 가능하게 하여 보여주는 기술이다. 그런데 액티브X는 결정적으로 MS의 운영체제인 윈도우즈와 웹브라우저인 인터넷 익스플로러(Internet Explorer, IE)에서만 동작하고(예전에 비해 사용자가 급증한 크롬이나 파이어폭스, 사파리 등 다양한 웹브라우저에 호환되지 않는다), 액티브엑스라는 기술 자체가 '국제 표준'도 아니다.

 

다른 나라 웹사이트를 이용하면서 액티브X를 설치하는 경우는 별로 없으며, 크롬이나 파이어폭스를 사용하는 데 있어서 불편한 사이트는 거의 대부분 한국 사이트다. 귀찮은 팝업창이 쉴 새 없이 뜨고 수차례에 걸쳐 파일을 설치해야만 서비스를 이용할 수 있는 게 모두 이 액티브액스 때문이고, 오죽하면 인터넷의 '독(毒)'으로까지 불린다. 하지만 한국에서 주요 사이트의 ActiveX 이용률은 무려 70~80% 이상이라고 하며, 무엇보다 접근성을 중시해야 할 공공부문도 크게 다르지 않다. 개인적으로도 파이어폭스나 크롬을 주로 이용하는데, 액티브엑스 때문에 어쩔 수 없이 익스플로러를 다시 켜는 경우가 많다.

 

[2013년 6월 8일 국민일보 보도]

 

인터넷 익스플로러 의존의 원흉, ActiveX와 공인인증서 의무화 제도

 

그런데 진짜 심각한 문제는, 첨단 기술이 난무하는 IT분야에서(해킹도 첨단, 백신도 첨단) 액티브엑스는 특별히 최신 기술도 아닐 뿐더러(나온 지 15년도 더 됐다), 이것을 만든 마이크로소프트조차 컴퓨터 바이러스 노출에 취약한 이 기술에 대해 '사용 자제'를 권장하고 있다는 사실이다. 우리 나라에서도 지난 몇 년간 발생한 대규모 개인정보 유출 사건이나 해킹사건의 주된 통로로 이용돼 왔으며, 얼마 전에도 주요 방송사와 금융기관 해킹에 활용됐다는 의혹을 받고 있다.
[MS "기술 개발 당시에는 예측하지 못했던 문제로 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 액티브엑스에 의존하고 있다"]

 

하지만 지금도 우리가 한국에서 흔히 이용하는 인터넷뱅킹과 쇼핑몰 결제에는 액티브엑스 설치가 필수적인 경우가 대부분이다. 최근에 와서야 액티브X 설치를 요구하지 않는 사이트들이 하나 둘 생기고는 있지만, 여전히 절대 다수의 사이트에서는 결제를 하려면 어쩔 수 없이 액티브엑스를 설치해야 하는 것이다. 그리고 설사 엑티브X 설치가 필요 없는 사이트라고 하더라도, '전자금융거래법'에 따라 30만원 이상 결제를 할 때는 '의무적으로' 공인인증서 인증 절차를 거쳐야만 한다. 그런데 바로 이 공인인증서 자체가 ActiveX 기술에 기반해서 만들어져 있기 때문에, 이럴 때는 도리없이 액티브엑스를 설치할 수밖에 없다(인터넷뱅킹을 이용하려면 무조건 설치해야 한다. 보안에 특히 취약한 액티브X를 공인인증서 때문에 설치해야 하고, 공인인증서가 있어야만 인터넷뱅킹을 할 수 있는 것이다).

 

[2013년 8월 7일 지디넷코리아 보도]

 

보안에 특히 취약한 ActiveX를 공인인증서 때문에 설치해야만 하는 아이러니

 

외국 쇼핑몰에서 결제할 때 액티브X나 공인인증서가 필요한 경우를 본 적이 있는가? 아마 없을 것이다(미국의 페이팔이나 아마존 같은 주요 사이트들도 액티브엑스 없이 비밀번호만으로 결제를 받고 있다). 국내 공인인증서는 엑티브엑스를 거쳐 국내에서만 통용되는 윈도우 위치(NPKI 폴더)와 파일명(signCert.der·sighnPri.key)으로 저장된다고 하며, 한국인터넷진흥원(KISA)이 인증기관이고 금융결제원(시장점유율 75% 가량 차지)·증권전산원·한국정보인증·한국전자인증·한국무역정보통신 등 5곳이 발급을 독차지하고 있다.

[시민단체 오픈넷 "사단법인인 금융결제원이 수익사업을 펼치지만, 사업내용이 전혀 공개되지 않는 등 투명성에도 문제가 있다"]

 

용도 제한이 없는 범용 인증서는 개인은 4400원·법인은 11만원의 요금을 내야 하며, 매년 갱신해야 하기 때문에 이 비용 역시 매년 발생한다. 업계에서는 공인인증서 발급시장이 연간 1조원 이상에 달할 것으로 본다는데, 대한민국의 모든 '관치(官治)'가 다 그렇듯 ActiveX 설치와 관련된 이런 관행은 쉽게 고쳐지지 않고 있다(국내 한 IT학자 "액티브엑스가 끈질기에 생명을 유지하는 것은 보안이라는 목적이 아니라, 액티브엑스를 기반으로 한 인증업무가 (공공)단체의 중요한 (수익)사업으로 변질됐기 때문").

 

[이미지 출처: 액티브엑스 폐지 서명운동(http://noactivex.net/) 사이트 내 짤방]

 

한국에서 액티브엑스와 공인인증서가 사라지지 않는 이유

 

애플코리아나 한국어도비에서는 액티브X 없이 결제가 가능한 시스템을 운영하고 있으며(마이크로소프트 코리아조차 비인증 결제를 허용하고 있단다), 심지어 국내 항공사들도 '한국어' 사이트에서는 액티브X가 필요한 방식을 운영하는 반면 '외국어' 사이트에서는 인증 없는 결제가 가능하다고 한다. 이것만 봐도 액티브엑스나 공인인증서를 필수적으로 요구하는 관행 또는 의무화 제도가 인터넷 금융사기나 개인정보 유출, 해킹 등과 직접적인 관련이 없다는 걸 분명히 알 수 있는 것이다. 그래서 마침내 지난 5월에 국회 정무위 소속 이종걸 의원(민주당)이 공인인증서 사용을 강제하는 근거가 됐던 '전자금융거래법 개정안'을 냈고, 미래창조과학방송통신위원회 소속 최재천 의원(민주당)이 정부 주도 인증제도를 폐지하는 내용의 '전자서명법 개정안'을 각각 발의했다.

 

이에 대해 우리 나라 국회의원 중에서는 제일 보안에 대해 전문가라고 할 수 있는 안철수 의원(무소속, 국내 최대 백신프로그램 연구소인 안철수연구소 설립자)도 지지 의사를 분명히 밝혔으며, 시민단체와 학계도 이번에야말로 잘못된 제도를 고칠 수 있을 거라고 큰 기대를 걸고 있었다. 하지만 이미 강력한 생태계(시장)를 구축하고 있던 세력들(모피아나 원자력마피아처럼, 이들도 공직을 그만둔 후에 관련 단체로 이직하는 경우가 많단다)의 반발이 만만치 않았고, 결국 공인인증서 의무화 제도 폐지는 6월 24일에 좌절되고 말았다.

[공인인증서 의무화 폐지 여부는 가을 정기국회 때 다시 논의될 전망이라고 한다]

 

 

신용카드 간편결제를 거부하고 있는 현대카드, 삼성카드, 국민카드, 비씨카드의 몽니

 

이렇게 어려운 상황 속에서도 꿋꿋이 웹표준이나 웹접근성 준수를 위해 노력하고 있는 사람들이 있다. 이 얘기를 하려면, 우선 PG(Payment Gateway, 결제대행업체)에 대해서 간단히 설명할 필요가 있을 듯한데, 오프라인에서도 결제를 대행해주는 업체가 있듯이(흔히 'VAN사업자'라고 부른다) 온라인에서 상품을 구입할 때 결제를 중계해주는 업체가 바로 PG다. 전체 온라인 상거래 중 70%를 넘게 차지하는 온라인 신용카드 거래가 핵심 시장이라는데, 한국의 PG시장은 우리가 쇼핑몰 결제시에 자주 보는 이름인 KG이니시스 · LG유플러스 · 한국사이버결제(KCP)가 점유율 1~3위를 달리고 있단다. 그런데 이번에 소개할 PG업체는 이런 대형업체들이 아니라, 웹표준에 맞게 액티브엑스 없는 간편결제 시스템을 개발한 '페이게이트(Paygate)'라는 회사다. 그리고 이 결제대행업체의 간편결제 시스템을 도입한 온라인서점 '알라딘(Aladin)'에 대한 얘기이기도 하다.

 

언제나 그렇듯, 한국에서는 힘 있는 '갑'들은 별로 혁신을 하지 않는다. 잘못된 부분이 있어도 그저 자신들의 사업에 피해가 가지 않는다면 그대로 내버려 두는 편이고, '갑질'에 문제가 없으면 새로운 기술 도입이나 연구 개발에 상당히 소극적인 경우가 많다. 아무리 바람직한 방향이라 한들 특별히 큰 이익이 되지 않는 한, 괜히 나서서 관행을 바꾸거나 관리기관에 이의를 제기하지 않는다. 한국 IT의 후진성을 보여주는 축소판이자 복마전이라고 할 수 있는 ActiveX, 웹브라우저 선택권과 관련된 사안도 마찬가지다. 결제대행업체 빅3인 KG이니시스 · LG유플러스 · 한국사이버결제(KCP)나 인터넷서점 빅3인 인터넷교보문고 · 예스24 · 인터파크도서는 이 문제 해결에 나서지 않는다. 그저 '액티브엑스 마피아'나 카드사들 눈치나 볼 뿐, 절대 적극적으로 노력하지 않는 것이다.

 

[인터넷서점 알라딘(http://www.aladin.co.kr/)의 Non ActiveX 결제 화면 갈무리]

 

상대적으로 작은 업체인 알라딘과 페이게이트가 솔선수범하여 액티브X 없는 간편결제를 도입했고, 당연히 이용자들의 만족도 역시 무척 높다. 그런데 어처구니 없게도 관련 보도에 따르면, 이번에는 한국에서 메이저 카드사라고 할 수 있는 현대카드(가장 먼저 거부, 현재 거래 재개 협의 중) · 삼성카드(항상 하는 짓대로, 슈퍼갑 삼성은 통보도 없이 일방적으로 중단) · 국민카드 · BC카드가 알라딘의 신용카드 간편결제(Non ActiveX)에 대해 제휴 중단을 통보해 버렸다고 한다.

[페이팔, 아마존, 애플 등 외국에서는 ActiveX나 공인인증서 없이도 아무런 문제 없이 다들 손쉽고 편하게 결제 시스템을 이용한다. 그렇다고 이들의 보안 수준이 한국보다 낮은가? 절대 그렇지 않다. 오히려 마이크로소프트조차 인정한 보안 취약점을 가지고 있는 액티브엑스를 이용하지 않기 때문에, 우리보다 전반적으로 보안이 더 낫다고 볼 수 있지 않을까?]

 

 

대안언론 후원이나 악덕기업 불매와 마찬가지로, 우리 모두의 자발적 응원이 필요한 때!

 

도대체 카드사들은 왜 이런 몽니(음흉하고 심술궂게 욕심부리는 성질)를 부리고 있을까? 표면적으로는 금융감독원 표준 약관이나 보안 위험, 카드사 책임 등을 거론하고 있지만, 이런 이유들을 하나하나 다 따지고 보면 결국 '왜 액티브엑스를 쓰지 않나?'로 귀결된다(오픈넷 활동 중인 고려대 법대 김기창 교수 "액티브엑스 카르텔은 안전이나 기술의 문제가 아니라 노골적인 주먹자랑 난장판이 됐다. 안전이 중요하다느니 감독기구의 승인이 중요하다느니 하는 이야기는 많지만 결국 어쨌거나 페이게이트는 안 된다는 이야기일 뿐"). 앞서 말한 것처럼, 액티브X는 해킹과 피싱의 주된 통로다. 카드사들이 진정으로 온라인 결제의 보안을 신경쓴다면, 반대로 '왜 액티브엑스를 아직까지 쓰고 있나?'라는 질문을 던져야 하는 것 아닐까? 금융당국 핑계를 대거나 책임 소재 운운하기 이전에 말이다.

 

또 다시 이런 표현을 써서 참 안 됐지만, '언제나 그렇듯' 변혁를 위한 노력에는 기득권 세력의 강한 반발이 있기 마련이다. 특히 한국처럼 내부고발자들이 조직 뒤에 숨은 다수의 비겁자들로부터 심한 왕따를 당하고, 힘 없는 '을'은 아무리 부당한 일을 당해도 찍소리 못하는 사회에서는 더욱 그렇다. 신용카드 간편결제(Non ActiveX) 때문에 현대카드 · 삼성카드 · 국민카드 · 비씨카드로부터 알라딘(http://www.aladin.co.kr/)과 페이게이트(http://www.paygate.net/)가 지금 왕따를 당하고 있는 셈인데, 이럴 때일수록 의식 있는 소비자들이 해야 할 일은 분명하다(우리가 무관심하면, 도저히 버티기 힘든 페이게이트와 알라딘이 액티브엑스 없는 결제를 포기할지도 모른다).

 

국민의 대표라는 국회의원들도 법 개정에 실패했고 썩어 문드러진 한국의 언론들이 관심을 기울이지 않는다면, 남은 방법은 결국 하나뿐이지 않나? 다름 아닌 우리의 웹브라우저 선택권 확보와 액티브X 퇴출에 힘을 실어주기 위해, 맨 앞 줄에서 왕따를 당하고 있는 페이게이트와 알라딘을 우리가 직접 응원하면 된다. 대안언론을 후원하고 악덕기업에 대한 불매운동을 하는 것과 똑같이, 다른 쇼핑몰을 이용하는 대신에 인터넷서점 '알라딘'에서 필요한 상품을 구입하고 주변 쇼핑몰에 결제대행업체로 '페이게이트'를 추천하도록 하자(현대카드 · 삼성카드 · 국민카드 · 비씨카드를 사용하지 않는 건 덤). 착한 기업은 '애용'하고 나쁜 기업은 '불매'하는 것, 이게 바로 우리 일반 소비자들이 할 수 있는 최선의 방법이다!