당국, 3월까지 구축 지시 가상키보드 외 대안 없어 해외와 시스템 차이도 난제
카드업계가 액티브X(Active-X)나 범용 보안프로그램인 exe 없이도 결제가 가능한 이른바 '프리버전'을 구축하기 위해 고심하고 있다. 금융당국이 올해 상반기 안에 프리버전 실행을 계획하고 있는 데 따른 것인데, 프리버전을 위한 기술은 물론 국내 결제 시스템도 이를 적용하기에 적합하지 않아 난항을 겪고 있다.
25일 카드업계와 보안개발업계에 따르면 프리버전은 고객이 온라인상에서 결제할 때 액티브X나 exe 등 어떤 보안프로그램 설치도 필요 없이 곧바로 결제할 수 있는 환경이다.
온라인상에서 고객이 결제할 때 보안 프로그램을 일일이 설치하지 않고, 대신 금융사 자체 보안시스템을 통해 간편한 결제가 이뤄지도록 하는 방식이다. 즉 고객 불편은 최소화하고 대신 금융사고 발생 시 카드사가 내부 보안 환경을 통해 책임을 질 수 있는 환경을 구축하는 것이다.
현재 금융당국은 이 같은 프리버전을 오는 3월까지 마련하라고 지시한 상태다.
이에 일단 카드사들은 먼저 다음 달쯤 넌(Noon) 액티브X 환경인 exe 시스템을 가동한다. 실제 보안 환경이 ISP환경인 BC카드와 KB국민카드의 경우 구글 크롬이나 사파리 등 모든 브라우저 환경에서 사용이 가능한 exe 실행방식의 ISP플러스를 내놓았다. 이외 안심클릭 방식의 카드사인 신한.삼성.현대.롯데카드 등은 다음달 말 대부분 exe 방식의 보안 프로그램을 가동한다.
문제는 보안 프로그램 없이도 결제가 가능한 프리버전이다. 프리버전을 마련하기 위해서는 카드사 등 금융사 자체 보안시스템이 우선인데 이를 해결할만한 뾰족한 방법이 없다는 것이다. 금융사별로 컴퓨터 키보드 자체를 웹 기반으로 암호화하는 가상 키보드 방식이 거론된 바 있지만 가상키보드의 경우 장애인들이 사용하기 어려운 것을 비롯해 고객들의 사용 불편 문제가 제기돼 보류됐다.
보안업계 전문가들에 따르면 현재 가상키보드 외에는 추가 보안프로그램이 없는 프리버전을 안전하게 하기 위한 방법은 거의 전무하다. 해외에서도 범용적인 exe환경을 활용할 뿐 프리버전의 보안환경을 위해 금융사가 적용하는 시스템은 FDS(부정거래탐지시스템) 정도가 전부라는 것.
특히 해외와 국내가 카드 결제 시스템에 차이가 있어 프리버전 상용화가 쉽지 않다는 지적도 나오고 있다. 해외의 경우 카드 결제를 하면 이체기간이 약 5일 가량 돼 부정거래는 이 기간 안에 다시 원상복구가 가능하다. 또 페이팔 등 결제대행업체들이 발달해있어 이들이 에스크로(결제대금 예치제) 서비스를 통해 리스크를 감당하고, 부정 거래 발견 시에는 다시 원상 복구할 수 있다.
일종의 사후 보안이라고 할 수 있는 FDS를 통해 이체일 전에 얼마든지 부정거래 피해를 막을 수 있다는 것이다. 하지만 반대로 국내에서는 사전 보안이 중요하다. 보안업계 관계자는 "사실상 전세계적으로 FDS를 통해 사후 점검으로 금융 사고를 예방하고 있어 금융사 자체 보안 시스템을 찾아보기는 어렵다"며 "우리나라도 사후 보안을 적용하면 FDS를 통해 안전한 프리버전이 가능할 수 있는데, 현재 이체일이 당일에 이뤄지는 등 전체적인 자금 흐름 회전율 자체를 바꿔야하는 문제가 있을 수 있어 쉽지 않다"고 어려움을 토로했다.
jiany@fnnews.com 연지안 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지