| 최근 금융권 규제 패러다임은 국내 금융과 IT 간 융합이 가속화되면서 의무 규제에서 자율 보안 형태로 변하고 있다. 본격적인 핀테크(금융과 IT의 결합) 시대에 맞서 금융회사 스스로 보안 및 내부통제를 강화해야 함은 물론 새로운 보안 환경에 대응할 수 있는 자율적 보안체계의 필요성이 대두되고 있는 것. 금융보안연구원은 올해 초 급변하는 금융 IT 및 보안 트렌드 분석을 통해 금융보안 분야 전략 수립 시 참고자료로 활용할 수 있는 '2015년 금융 IT·보안 10대 이슈 전망보고서'를 발표했다. 이중 국민 생활과 밀접한 5개 이슈를 선별해 진행 상황을 집중 분석했다. |
⓷ 액티브X, 금융시장 퇴출 본격화
금융보안연구원은 2015년 금융 IT·보안 10대 이슈로 '액티브X'의 금융시장 퇴출을 손꼽았다. 지난해 국내 전자상거래의 불편함을 초래한 주범으로 액티브X가 지목되면서 당국의 강력한 퇴출의지와 함께 다양한 개선프로그램이 마련된 것이 배경이다.
액티브X는 마이크로소프트(MS)의 웹브라우저인 인터넷 익스플로러(IE)가 지원하는 확장프로그램(플러그인)으로, 국내 금융회사와 온라인마켓, 공공기관 등에서 널리 쓰였다. 하지만 국제 웹표준에 맞지 않아 최근 사용자가 늘고 있는 구글 크롬이나 애플 사파리 등 브라우저에서는 구동이 안돼 핀테크와 온라인쇼핑의 걸림돌로 지적됐다.
연구원은 결제를 중심으로 탈 액티브X가 시작돼 뱅킹 등으로 점차 확대 될 것이라고 전망했다. 기술기반 안정화까지 다소 시간이 소요 되더라도, 과도기적 방식이 당분간 액티브X를 대체할 것이라 예상했다. 아울러 연구원은 완전한 설치 환경구축과 정책적 보안대책(지연 결제, 이체 등)의 종합적 보안 대비책 준비가 필요하다고 진단했다.
'낡은 규제' 돌직구 맞은 액티브X
박근혜 대통령은 지난 3월 규제개혁 점검회의에서 일명 '천송이 코트'를 언급하며 결제시스템의 문제를 지적했다.(천송이코트 사건:해외에서 국내 한류상품인 천송이코트를 구입하려했으나 액티브X 등 독특한 국내 전자상거래환경으로 구매가 불가했던 사례)
당시 박 대통령은 "'액티브X'와 같은 낡은 규제에 안주한 결과 해외직구는 폭발적으로 늘어나는 데 반해 해외 소비자의 국내 역직구는 걸음마 수준"이라며 금융당국의 보수적 규제 관행을 비판했다.
이후 정부는 액티브X의 퇴출에 박차를 가했고, 규제 개혁 논의 1년만인 지난 3월 액티브X는 온라인 쇼핑에서 사라지게 됐다. 여기에 미국의 '페이팔'이나 '아마존'에서와 같이 아예 보안 프로그램 설치가 필요 없는 간편결제도 시행되면서 국내 온라인 쇼핑의 결제 시스템은 새로운 변화를 맞았다.
제거‧대체 본격화, 보안성 강화 대두
온라인 쇼핑 너머 인터넷상에서 액티브X를 전면 퇴출시키기 위한 작업도 한창이다.
정부는 오는 2017년까지 전자정부 사이트 내 액티브X를 전면 제거·대체한다. 민원업무가 주를 이루는 사이트가 우선 개선 대상이다.
행정자치부는 그동안 전자정부 사이트 내 액티브X에 제거 및 대체작업을 벌여 최근까지 66.2%를 개선했다. 나머지 33.8%는 순차적으로 개선해 오는 2017년 이전까지 다양한 웹 브라우저로 전자정부 서비스를 이용할 수 있도록 액티브X를 제거하거나 대체기술을 적용할 계획이다.
은행업계 역시 액티브X를 걷어내기 위해 노력 중이다. KB국민은행은 지난달부터 OTP(일회용비밀번호생성기)를 사용하는 고객을 대상으로 액티브X가 필요 없는 웹표준 방식의 인터넷뱅킹을 제공하고 있다. 우리은행도 액티브X 없는 웹표준 서비스 프로젝트에 참여하면서, 연말까지 새로운 인터넷 뱅킹을 선보인다는 방침이다. 신한은행, KEB하나은행 등도 기타 은행들도 액티브X 없는 인터넷 뱅킹 환경 구현에 나서는 등 액티브X를 걷어내려는 은행업계의 경쟁이 치열하다.
증권업계도 액티브X 없이도 전자금융 거래가 가능한 환경을 구축했다.
한화투자증권은 업계 최초로 액티브X를 사용하지 않는 온라인 보안 솔루션과 공인인증서를 도입했다. 온라인 보안솔루션은 안랩 세이프 트랜잭션(Ahnlab Safe Transaction), 공인인증서는 사인코리아의 솔루션을 채택했다. 이번에 새롭게 도입한 보안 프로그램은 종합적인 보안 기능을 제공하는 진일보한 보안 솔루션으로 통합 설치 한 번으로 다양한 웹 브라우저에서 전자금융이 가능하다.
한편 한국은 그동안 액티브X 등의 보안프로그램에 의존해 온 터라 '액티브X 없는 세상'에 대한 걱정도 나온다. 고객 입장에서 인터넷 서비스 사용 관련 보안절차가 생략되거나 단순화 되면서 정보 유출 등 사고의 위험도 함께 커졌기 때문이다.
특히 핀테크 활성화에 맞춰 새롭게 도입된 간펹결제의 경우 사용자 PC에 보안프로그램을 전혀 설치하지 않은 상태에서 결제를 진행하기 때문에 이 과정에서 개인정보가 빠져나갈 수 있다는 지적도 있다.
업계 한 관계자는 "보안프로그램 없는 간편결제는 해킹이나 악성코드 등으로 인해 ID와 PW 등 개인정보가 탈취될 가능성이 매우 높다"며 "이에 따르는 보안대책이 충분히 마련돼야 할 것"이라고 말했다.
다른 관계자도 "아마존 사이트의 경우 아무런 보안프로그램 없이 카드정보를 한번만 입력해놓으면 '원클릭' 결제가 이뤄져 국내 가맹점들보다 결제과정이 편리하게 느껴지지만, 통계적으로는 부정매출 규모가 매우 높게 나타난다"고 말했다.
이에 대해 금융당은 보안사고가 발생하지 않도록 충분한 보완을 거쳐 결제서비스 도입을 준비하겠다는 입장이다.