박 대통령이 ‘온라인 결제 시스템’의 문제점을 언급한 자리는 지난해 3월20일 청와대에서 열린 ‘규제개혁 끝장토론’이었다. 텔레비전 드라마 〈별에서 온 그대〉에 심취한 중국인들이 ‘불필요한 규제’ 때문에 ‘천송이 코트’를 주문하지 못한다며 대책 마련을 요구한 것이다. 그 표적은 액티브X였다.
웹브라우저는 기본적으로 텍스트(글), 그림 등 비교적 단순한 정보를 보여주기 위한 프로그램이다. 동영상·음악 같은 자료는 웹브라우저만으로 구현할 수 없다. 이를 해결하기 위해 개발된 방법이 사용자의 컴퓨터에 별도의 프로그램(동영상·음악 플레이어 등)을 깔아 웹브라우저에 ‘연결’하는 것이다. 특정 웹사이트가 제공하는 영상을 웹브라우저로 보려면 사용자의 컴퓨터에 동영상 플레이어를 설치하면 된다. 글과 그림 정도만 나타낼 수 있었던 웹브라우저의 기능이 플레이어(외부 프로그램)와 ‘연결’되면서 동영상까지 보여주도록 확장된 것이다.
액티브X는 세계적으로 사용자가 가장 많은 웹브라우저인 IE를 다른 외부 프로그램과 연결해주는 기술이다. 대다수 한국의 기업 및 금융기관은 웹브라우저로 IE를 사용해온 만큼 주로 액티브X를 통해 온라인 결제 시스템을 구축해왔다.
온라인 결제는 사람과 사람(혹은 회사)이 직접 만나지 않은 상태에서 돈을 건네는(돈의 소유권을 옮기는) 일이다. 누군가에게 돈을 보내려면 우선 은행 홈페이지에 접속한 뒤 자신이 해당 계정의 주인이라는 것을 입증해야 한다(본인 인증). 그리고 자신 이외의 누구도 해킹 등을 통해 계정의 돈을 무단으로 옮기거나 개인정보를 가로챌 수 없게 해야 한다(보안). IE 자체에는 ‘본인 인증’이나 ‘보안’ 기능이 없다. 그래서 액티브X를 통해 공인인증서나 방화벽, 백신 등 각종 보안 프로그램을 IE에 연결시켰던 것이다.
또한 금융감독 당국은 금융 소비자들이 ‘전자적 장치(PC나 휴대전화)’에 ‘금융 보안 프로그램 3종 세트(방화벽, 키보드 보안, 공인인증서 구동)’를 의무적으로 설치하도록 규정해왔다. 액티브X로 보안 프로그램들을 컴퓨터에 설치하지 않으면 거래 자체가 불가능했다. 박근혜 대통령이 문제 삼은 온라인 결제 부문의 ‘규제’다.
액티브X 비판 여론에 꿈쩍도 안 했던 관료 사회
액티브X는 MS의 IE에서만 작동되는 장치다. 크롬, 파이어폭스 등 IE 이외의 웹브라우저를 사용하는 소비자들은 액티브X 중심의 결제 시스템에서 큰 불편을 겪었다. 호환성이 없었다. 미국 페이팔이나 중국 알리페이 등의 경우, ID와 비밀번호로 로그인하면 별도의 보안 프로그램을 설치하지 않고도 ‘간편 결제’를 할 수 있다는 점이 알려지면서 국내 시스템에 대한 비판은 더욱 증폭되었다.
또한 액티브X는 온라인 서비스 공급자 중심의 시스템이다. ‘공급자’들은 소비자들이 쉽고 부담 없이 사용할 수 있는 결제 방법을 궁리하지 않는다. 자사 홈페이지에 일방적으로 시스템을 만들어놓고 ‘결제하고 싶으면 이런저런 프로그램을 설치하라’고 사실상 강요한다. 액티브X는 금융사고 발생 시 금융기관이 책임을 피할 수 있는 명분으로도 악용된다. 평소 각종 다양한 보안 프로그램을 사용자들의 PC에 설치하는 방법으로 사고 방지 노력을 해왔다며 빠져나간다.
이런 측면을 감안하면, 액티브X에 대한 박근혜 대통령의 문제 제기는 시의적절했다. 또한 매우 위력적이었다. 액티브X 비난 여론에 꿈쩍도 않았던 관료 사회가 전기 충격으로 경련이라도 일으키는 것처럼 움직였다. 금융 당국과 미래창조과학부는 일사불란하게 ‘액티브X 제거 작전’을 전개했다. 금융기관, 쇼핑몰 등 민간 기업들에게 액티브X 이외의 지급결제 대안을 마련하라고 지시했으며 마감 기한까지 설정했다. 지난 3월, 금융 당국은 ‘불타는 애국심으로’ 보안 3종 세트 의무 설치라는 ‘규제’도 ‘쳐부쉈’다. 이 덕분에 4월부터 금융 소비자들은 온라인 결제에서 액티브X로 귀찮은 보안 프로그램들을 내려받지 않아도 된다. 제도상으로 그렇다는 이야기다.
그 결과는 어땠을까? 정부가 액티브X의 대안으로 제시한 범용 실행파일(exe)이 현실에서 어떻게 구현되는지 살펴보면 짐작할 수 있다. ‘범용 실행파일’은 ‘3종 세트’를 포함한 각종 보안 프로그램을 묶어 한 번에 설치할 수 있도록 했다. 소비자들이 여러 보안 프로그램을 일일이 설치하지 않고 한 번에 내려받을 수 있다는 점에서 ‘규제 혁파로 인터넷 거래 환경이 개선’되었다고 할 수도 있을 것이다. 또한 이 실행파일은 호환성도 갖춰 IE는 물론 크롬이나 파이어폭스에서도 작동될 것으로 알려졌다.
사실 온라인 결제를 편리(편의성)하고 안전(안전성)하게 구축하는 것은 어려운 일이다. 그러니까 더 나은 ‘온라인 결제’ 상품을 만들기 위한 경쟁이 세계적 차원에서 벌어지는 것이다. 편리하면 불안하고, 안전하면 결제 절차가 복잡해진다. 나라마다 사회 환경 및 기술적 조건에 따라 편의성과 안전성을 일정하게 배합하고 있다.
FDS 데이터 안 갖춘 채 ‘닥치고 간편 결제’?
미국 페이팔과 중국 알리페이는 액티브X 없는 결제 시스템이다. 이 회사들은 소비자와 판매자 사이에 가상(임시) 계좌를 만들어 돈을 예치해놓도록 하고 거래 확인 뒤에야 돈을 옮겨준다. 이른바 에스크로(Escrow:결제대금 예치제) 방식이다. 거래 쌍방의 진짜 계정(은행이나 신용카드)이 제3자에게 노출되지 않으므로 좀 더 대담하게 편의성을 추구할 수 있다.
그러나 에스크로는 한국인들에게 익숙한 ‘실시간 거래’가 아니라 ‘비(非)실시간 거래’다. ‘실시간 거래’의 경우, A가 B에게 10만원을 보내라고 온라인 계좌에 지시하면, 즉시 B의 계좌에 10만원이 기록된다. 반면 에스크로에서는 A가 송금해도 해당 거래의 정당성을 확인하는 절차를 거친 뒤에야 10만원이 B의 계좌에 들어간다. 에스크로에서는 상당수의 금융사기를 차단할 수 있다. 일정한 시간 내라면 송금 취소가 가능하다. 다만 안전한 대신 실시간 거래의 편의성이 줄어든다. 한국의 소비자와 판매자가 비실시간 거래에 순순히 적응할지도 불투명하다.
그러나 FDS란 본질적으로 단기간에 완성될 수 있는 보안 시스템이 아니다. 고가의 장비를 갖추는 것은 오히려 쉬운 일이다. 더 중요한 것은 각각의 고객이 어떤 성향의 거래를 하는지 기록한 수년간의 데이터다. 그래야 해당 고객의 일상적 거래 패턴을 추정하고 이와 어긋난 사기 혐의의 거래들을 잡아낼 수 있다. 시간이 필요한 작업이라는 의미다. 금감원이 수년 뒤에야 FDS가 제대로 작동할 상황에서 ‘간편 결제’를 촉구하는 까닭은 무엇일까? 혹시 어떻게든 대통령 지시에 즉각 반응하는 모습을 보여야 한다는 강박 때문은 아닐까.
액티브X를 통한 결제는 불편할뿐더러 공급자 중심의 시스템으로, 개혁 대상이다. 그러나 일도양단 식으로 ‘쳐부숴야 할 원수’로 간주해야 했을까? 거래 쌍방이 실시간 결제에 익숙한 데다 FDS 데이터도 없는 상황에서 그나마 보안성을 유지하는 방안이 액티브X였다는 주장도 가능하다. 불편하지만 비교적 안전할 순 있다는 이야기다. 이런 상황에서 뚜렷한 보안 대책도 없이 일방적으로 액티브X를 제거하고 간편 결제를 ‘진돗개 정신(박 대통령 표현)’으로 관철하다 보면 대형 금융사고의 우려를 배제할 수 없다.
박근혜 정부는 ‘규제 혁파’라는 이름으로 규제의 새로운 영역을 개척해나가고 있다. 규제가 역기능적인 이유는 시장 주체들의 자유로운 발상을 가로막고 정치인 및 공무원의 ‘공익을 빙자한 사익’ 추구를 부추기면서 자원 배분을 왜곡하기 때문이다. 민간 기업들이 액티브X의 제거를 종용받은 대안으로 내놓은 범용 실행파일이야말로 왜곡된 투자의 표본이라 할 것이다.