인터넷 서점 알라딘이 도입한 비(非) 액티브 엑스(Active X) 결제 방식을 놓고 안전성 논란이 불거졌다. 현대카드에 이어 삼성카드까지 해킹 위협 가능성을 제기하며 결제를 거부하거나 중단했다. 다른 카드사도 사태를 지켜 본 후 대응에 나설 방침이다.
알라딘 결제 방식은 페이게이트사의 `금액 인증` 방식을 통해 이뤄진다. 무작위 금액 거래로 본인 인증을 시행하고, 이후에는 비밀번호만 입력해 간편 결제를 하는 방식이다. 별도의 플러그인 프로그램을 설치할 필요가 없어 간편하지만, 현대카드와 삼성카드는 이 결제 방식에 치명적인 보안 위협이 존재한다며 수용을 거부했다.
현대카드는 페이게이트 결제 서비스를 이용하려면 신용카드 고객의 카드번호와 유효기간 정보를 보관해야 하는데, 가맹점인 PG사가 신용정보를 보관하는 것 자체가 표준 약관에 위배된다고 주장했다. 삼성카드도 지난 24일부터 이 결제방식을 잠정 중단했다. 삼성카드 관계자는 “지난 4월 페이게이트에서 스마트TV에 적용된 AA인증방식을 제안해왔다”며 “해당 결제 기술에 대해 검증 한 결과 당초 이야기한 것과 전혀 달랐고, 문제를 제기하자 페이게이트에서 다시 보강해 오겠다고 했다”고 말했다. 이후 페이게이이트가 일방적으로 알라딘과 계약을 체결해 AA인증방식을 보안성 심의도 받지 않은 채 오픈했다는 주장이다.
사태가 악화될 조짐을 보이자 페이게이트는 가상 키보드보안을 도입하고 카드 유효기간 등의 정보를 서버에 저장하지 않겠다며 한발 물러섰다.
또 하나의 논란은 결제 방식을 금융감독원 산하 인증방법평가위원회에서 인증을 허가했다는 점이다. 이 부분을 놓고 페이게이트와 카드사간 주장도 첨예하게 대립한다. 일부 카드사는 인증을 받았다고 해서 보안성 심의도 거치지 않고, 기술을 수용한다는 건 어불성설이라고 맞받아쳤다.
실제 인증방법평가위원회 세부 운영규정(11조)에 따르면, 금융기관 등이 평가 심의를 요하는 인증방법을 포함한 전자금융거래 서비스가 보안성심의 대상이라고 판단할 경우, 금융감독원장에게 보안성심의를 요청할 수 있다. 위원회로부터 인증을 받았다고 하더라도 별도 보안성 심의를 거쳐야 한다는 해석이다. 국무총리실 소관 `전자금융거래 인증방법의 안전성 가이드라인`에서도 평가를 거친 인증방법에 대해서는 금감원의 보안성 심의를 간소화할 수 있다는 규정이 있다. 이 부분을 놓고 카드사들은 심의를 하지 않아도 되는 것과 간소화는 전혀 다른 의미라고 지적했다.
자칫 새로운 결제 기술로 대형 보안 사고가 터질 가능성이 제기됐지만, 금융감독원은 민간 기업간 문제라며 발을 뺐다. 금감원 관계자는 “기술 인증은 카드사가 의무적으로 이 기술을 쓰라는 의미가 아니다”라면서도 “한 차례 카드사를 불러 이 기술에 대해 의견을 들었고, 문제가 발생하면 적극 대응해 나가겠다”고 말했다.
보안전문가들은 알라딘 결제 방식에 대해 해킹 위협 가능성도 일부 있을 수 있다고 설명했다. 한 보안업계 관계자는 “알라딘의 ID와 패스워드를 해킹하면, 사이트로 침입해 고객의 배송 정보까지 조작할 가능성이 있다”며 “해커가 이 정보를 활용해 휴대폰으로 스미싱 악성코드를 전송해 피해자의 메시지까지 가로챌 수 있다”고 밝혔다.
페이게이트 결제 방식은 인증 메시지를 고객이 받은 후 두 번의 인증 취소와 두 번의 승인 후 다섯 번째 진짜 인증메시지를 보내준다. 이를 중간에서 가로채 배송정보까지 바꿀 수 있다는 주장이다.
길재식기자 osolgil@etnews.com
