지난해 상반기는 ‘규제 혁파’라는 슬로건으로 살벌했다. 국정 최고 지도자인 박근혜 대통령이 규제와 관련된 원색적 발언을 연이어 쏟아냈다. 연두 기자회견에서 “모든 규제를 원점에서 재검토하겠다”라고 선언하더니, 청와대 수석비서관 회의에서는 의인법과 은유법까지 동원한 특유의 화법으로 규제를 공격했다. “쓸데없는 규제는 우리가 쳐부술 원수(의인법), 제거하지 않으면 우리 몸을 자꾸 죽이는 암 덩어리(은유법)로 생각하고 확 들어내야 한다.” 애국 담론도 동원했다. “불타는 애국심, 나라 사랑하는 마음으로 (규제와) 정말 사생결단하고 붙어야 한다.” 박 대통령이 영화 〈국제시장〉의 국기 하강식 장면에서 엉뚱하게도 ‘애국심’을 읽어낸 것은 불과 몇 달 뒤다.

박 대통령이 ‘온라인 결제 시스템’의 문제점을 언급한 자리는 지난해 3월20일 청와대에서 열린 ‘규제개혁 끝장토론’이었다. 텔레비전 드라마 〈별에서 온 그대〉에 심취한 중국인들이 ‘불필요한 규제’ 때문에 ‘천송이 코트’를 주문하지 못한다며 대책 마련을 요구한 것이다. 그 표적은 액티브X였다.
 

액티브X 설치 문제로 결제에 실패해(위) 중국인들이 드라마에 나온 ‘천송이 코트’(오른쪽)를 사지 못한다는 말이 나왔다.
인터넷에는 수많은 정보가 축적되어 있다. 그러나 ‘정보가 있다’는 것과 ‘그 정보를 볼 수 있다’는 것은 다르다. 아무리 아름다운 풍경이 펼쳐져 있어도 눈을 가리면 구경할 수 없는 것과 같다. 인터넷의 정보를 사용자들이 볼 수 있는 형태로 바꿔 PC 화면에 나타내는 프로그램이 바로 웹브라우저다. 풍경이 정보라면, 눈은 웹브라우저다. 마이크로소프트(MS)의 인터넷익스플로러(IE), 구글 크롬, 모질라 파이어폭스 등이 있다.

웹브라우저는 기본적으로 텍스트(글), 그림 등 비교적 단순한 정보를 보여주기 위한 프로그램이다. 동영상·음악 같은 자료는 웹브라우저만으로 구현할 수 없다. 이를 해결하기 위해 개발된 방법이 사용자의 컴퓨터에 별도의 프로그램(동영상·음악 플레이어 등)을 깔아 웹브라우저에 ‘연결’하는 것이다. 특정 웹사이트가 제공하는 영상을 웹브라우저로 보려면 사용자의 컴퓨터에 동영상 플레이어를 설치하면 된다. 글과 그림 정도만 나타낼 수 있었던 웹브라우저의 기능이 플레이어(외부 프로그램)와 ‘연결’되면서 동영상까지 보여주도록 확장된 것이다.

액티브X는 세계적으로 사용자가 가장 많은 웹브라우저인 IE를 다른 외부 프로그램과 연결해주는 기술이다. 대다수 한국의 기업 및 금융기관은 웹브라우저로 IE를 사용해온 만큼 주로 액티브X를 통해 온라인 결제 시스템을 구축해왔다.

온라인 결제는 사람과 사람(혹은 회사)이 직접 만나지 않은 상태에서 돈을 건네는(돈의 소유권을 옮기는) 일이다. 누군가에게 돈을 보내려면 우선 은행 홈페이지에 접속한 뒤 자신이 해당 계정의 주인이라는 것을 입증해야 한다(본인 인증). 그리고 자신 이외의 누구도 해킹 등을 통해 계정의 돈을 무단으로 옮기거나 개인정보를 가로챌 수 없게 해야 한다(보안). IE 자체에는 ‘본인 인증’이나 ‘보안’ 기능이 없다. 그래서 액티브X를 통해 공인인증서나 방화벽, 백신 등 각종 보안 프로그램을 IE에 연결시켰던 것이다.

또한 금융감독 당국은 금융 소비자들이 ‘전자적 장치(PC나 휴대전화)’에 ‘금융 보안 프로그램 3종 세트(방화벽, 키보드 보안, 공인인증서 구동)’를 의무적으로 설치하도록 규정해왔다. 액티브X로 보안 프로그램들을 컴퓨터에 설치하지 않으면 거래 자체가 불가능했다. 박근혜 대통령이 문제 삼은 온라인 결제 부문의 ‘규제’다.
 

ⓒ연합뉴스2014년 3월20일 청와대에서 열린 ‘규제개혁 끝장토론’(위). 박근혜 대통령은 이 자리에서 ‘천송이 코트’ 등 규제개혁과 관련한 말을 쏟아냈다.
일반 여론도 액티브X에 매우 비판적이었다. 온라인에서 결제할 때마다 각종 보안 프로그램을 여러 차례에 걸쳐 PC에 다운로드해야 했다. 더욱이 웹사이트마다 설치하라고 요구하는 프로그램이 다르다. 울며 겨자 먹기로 설치한 프로그램들이 컴퓨터 속도를 늦추거나 어떤 경우에는 PC의 기존 환경과 충돌을 일으킨다. 액티브X는 악성코드가 PC에 진입하는 경로로 악용되기도 했다.

액티브X 비판 여론에 꿈쩍도 안 했던 관료 사회

액티브X는 MS의 IE에서만 작동되는 장치다. 크롬, 파이어폭스 등 IE 이외의 웹브라우저를 사용하는 소비자들은 액티브X 중심의 결제 시스템에서 큰 불편을 겪었다. 호환성이 없었다. 미국 페이팔이나 중국 알리페이 등의 경우, ID와 비밀번호로 로그인하면 별도의 보안 프로그램을 설치하지 않고도 ‘간편 결제’를 할 수 있다는 점이 알려지면서 국내 시스템에 대한 비판은 더욱 증폭되었다.

또한 액티브X는 온라인 서비스 공급자 중심의 시스템이다. ‘공급자’들은 소비자들이 쉽고 부담 없이 사용할 수 있는 결제 방법을 궁리하지 않는다. 자사 홈페이지에 일방적으로 시스템을 만들어놓고 ‘결제하고 싶으면 이런저런 프로그램을 설치하라’고 사실상 강요한다. 액티브X는 금융사고 발생 시 금융기관이 책임을 피할 수 있는 명분으로도 악용된다. 평소 각종 다양한 보안 프로그램을 사용자들의 PC에 설치하는 방법으로 사고 방지 노력을 해왔다며 빠져나간다.

이런 측면을 감안하면, 액티브X에 대한 박근혜 대통령의 문제 제기는 시의적절했다. 또한 매우 위력적이었다. 액티브X 비난 여론에 꿈쩍도 않았던 관료 사회가 전기 충격으로 경련이라도 일으키는 것처럼 움직였다. 금융 당국과 미래창조과학부는 일사불란하게 ‘액티브X 제거 작전’을 전개했다. 금융기관, 쇼핑몰 등 민간 기업들에게 액티브X 이외의 지급결제 대안을 마련하라고 지시했으며 마감 기한까지 설정했다. 지난 3월, 금융 당국은 ‘불타는 애국심으로’ 보안 3종 세트 의무 설치라는 ‘규제’도 ‘쳐부쉈’다. 이 덕분에 4월부터 금융 소비자들은 온라인 결제에서 액티브X로 귀찮은 보안 프로그램들을 내려받지 않아도 된다. 제도상으로 그렇다는 이야기다.

그 결과는 어땠을까? 정부가 액티브X의 대안으로 제시한 범용 실행파일(exe)이 현실에서 어떻게 구현되는지 살펴보면 짐작할 수 있다. ‘범용 실행파일’은 ‘3종 세트’를 포함한 각종 보안 프로그램을 묶어 한 번에 설치할 수 있도록 했다. 소비자들이 여러 보안 프로그램을 일일이 설치하지 않고 한 번에 내려받을 수 있다는 점에서 ‘규제 혁파로 인터넷 거래 환경이 개선’되었다고 할 수도 있을 것이다. 또한 이 실행파일은 호환성도 갖춰 IE는 물론 크롬이나 파이어폭스에서도 작동될 것으로 알려졌다.
 

ⓒAP Photo2013년 2월27일 바르셀로나에서 열린 ‘모바일 월드 콩그레스’의 이베이·페이팔 전시관 모습. 페이팔은 액티브X가 필요 없는 결제 시스템이다.
그러나 4월 이후 ‘달라진 것이 뭐냐’며 어리둥절해하는 사용자들이 여전히 많다. 뭔가 내려받아 PC에 설치해야 하는 것은 액티브X 시절과 동일하다. 공인인증서는 여전히 ‘결제의 감초’로 남아 있다. 기자는 IE로 은행과 인터넷 서점에 접속해봤다. 은행 홈페이지에서 ‘암호화 모듈’ 설치 여부에 대한 질문 창이 떠서 ‘예’를 클릭했다. PC가 멈춰버린 건 아닌지 우려할 정도의 시간 동안 화면이 넘어가지 않았다. 나머지 절차는 종전과 크게 다르지 않았다. 인터넷 서점 결제도 신용카드 번호나 공인인증서 비밀번호를 입력해야 하는 등 이전과 비슷했다. 한편 크롬으로 같은 은행에 접속했더니 ‘공인인증 전자서명 보안 프로그램’과 ‘개인 방화벽 프로그램’을 설치하라고 했다. ‘예’를 눌렀으나 설치가 되지 않았다. 인터넷 서점 홈페이지에서는 KCP 플러그인을 설치하는 데 성공했다. 그러나 결제 창으로 넘어갈 수 없었다. 다시 시도했으나 KCP 플러그인에 대한 설치 요구만 되풀이됐다. 호환성은 여전히 해결되지 않았다. 범용 실행파일이 시스템이나 기존의 보안 프로그램과 충돌하는 경우도 잦다. 이래서 민간 기업들이 정부 독촉에 쫓겨 졸속으로 이상한 프로그램을 만들었다는 비판이 나온다. 구악(舊惡)보다 나쁜 신악(新惡)이다. 액티브X보다 더 나은 시스템을 짧은 시간에 만들기 버거웠을 민간 기업들에게 정부의 ‘지시’는 ‘대통령 명령이니 액티브X만 쓰지 마’라는 신호로 받아들여졌을 수 있다.

사실 온라인 결제를 편리(편의성)하고 안전(안전성)하게 구축하는 것은 어려운 일이다. 그러니까 더 나은 ‘온라인 결제’ 상품을 만들기 위한 경쟁이 세계적 차원에서 벌어지는 것이다. 편리하면 불안하고, 안전하면 결제 절차가 복잡해진다. 나라마다 사회 환경 및 기술적 조건에 따라 편의성과 안전성을 일정하게 배합하고 있다.

FDS 데이터 안 갖춘 채 ‘닥치고 간편 결제’?

미국 페이팔과 중국 알리페이는 액티브X 없는 결제 시스템이다. 이 회사들은 소비자와 판매자 사이에 가상(임시) 계좌를 만들어 돈을 예치해놓도록 하고 거래 확인 뒤에야 돈을 옮겨준다. 이른바 에스크로(Escrow:결제대금 예치제) 방식이다. 거래 쌍방의 진짜 계정(은행이나 신용카드)이 제3자에게 노출되지 않으므로 좀 더 대담하게 편의성을 추구할 수 있다.

그러나 에스크로는 한국인들에게 익숙한 ‘실시간 거래’가 아니라 ‘비(非)실시간 거래’다. ‘실시간 거래’의 경우, A가 B에게 10만원을 보내라고 온라인 계좌에 지시하면, 즉시 B의 계좌에 10만원이 기록된다. 반면 에스크로에서는 A가 송금해도 해당 거래의 정당성을 확인하는 절차를 거친 뒤에야 10만원이 B의 계좌에 들어간다. 에스크로에서는 상당수의 금융사기를 차단할 수 있다. 일정한 시간 내라면 송금 취소가 가능하다. 다만 안전한 대신 실시간 거래의 편의성이 줄어든다. 한국의 소비자와 판매자가 비실시간 거래에 순순히 적응할지도 불투명하다.
 

ⓒ알리페이 제공중국 관광객은 국내 면세점에서 알리페이 앱 바코드를 보여주면 바로 결제할 수 있다.
또한 페이팔이나 알리페이는 ‘간편 결제’를 위해 회사 차원에서 사기거래 탐지 시스템(FDS)을 가동하고 있다. 회사 측이 사용자들의 거래 패턴을 인지하고 있다가 ‘이상한’ 거래가 이뤄지면 해당 결제를 차단하거나 추가 확인을 요구한다. 예컨대 오전 10시에 서울에서 사용된 신용카드가 오후 1시에 뉴욕에서 사용된다거나, 에스키모가 에어컨 결제를 요구하는 경우다. 사용자들은 간편하게 결제하지만, 이로 인한 위험을 회사 측이 떠맡는 경우다. 한국의 금융감독원 역시 금융회사와 쇼핑몰 등에 ‘간편 결제 시스템’ 도입과 함께 FDS 구축을 독려해왔다. 금감원의 로드맵에 따르면, 금융권은 오는 2016년까지 ‘FDS 고도화’를 3단계까지 완료하게 되어 있다.

그러나 FDS란 본질적으로 단기간에 완성될 수 있는 보안 시스템이 아니다. 고가의 장비를 갖추는 것은 오히려 쉬운 일이다. 더 중요한 것은 각각의 고객이 어떤 성향의 거래를 하는지 기록한 수년간의 데이터다. 그래야 해당 고객의 일상적 거래 패턴을 추정하고 이와 어긋난 사기 혐의의 거래들을 잡아낼 수 있다. 시간이 필요한 작업이라는 의미다. 금감원이 수년 뒤에야 FDS가 제대로 작동할 상황에서 ‘간편 결제’를 촉구하는 까닭은 무엇일까? 혹시 어떻게든 대통령 지시에 즉각 반응하는 모습을 보여야 한다는 강박 때문은 아닐까.

액티브X를 통한 결제는 불편할뿐더러 공급자 중심의 시스템으로, 개혁 대상이다. 그러나 일도양단 식으로 ‘쳐부숴야 할 원수’로 간주해야 했을까? 거래 쌍방이 실시간 결제에 익숙한 데다 FDS 데이터도 없는 상황에서 그나마 보안성을 유지하는 방안이 액티브X였다는 주장도 가능하다. 불편하지만 비교적 안전할 순 있다는 이야기다. 이런 상황에서 뚜렷한 보안 대책도 없이 일방적으로 액티브X를 제거하고 간편 결제를 ‘진돗개 정신(박 대통령 표현)’으로 관철하다 보면 대형 금융사고의 우려를 배제할 수 없다.

박근혜 정부는 ‘규제 혁파’라는 이름으로 규제의 새로운 영역을 개척해나가고 있다. 규제가 역기능적인 이유는 시장 주체들의 자유로운 발상을 가로막고 정치인 및 공무원의 ‘공익을 빙자한 사익’ 추구를 부추기면서 자원 배분을 왜곡하기 때문이다. 민간 기업들이 액티브X의 제거를 종용받은 대안으로 내놓은 범용 실행파일이야말로 왜곡된 투자의 표본이라 할 것이다.

기자명 이종태 기자 다른기사 보기 peeker@sisain.co.kr
저작권자 © 시사IN 무단전재 및 재배포 금지
이 기사를 공유합니다