우리나라가 ‘액티브X’나 ‘공인인증서’를 없애는 등 전자상거래상 개인 수준의 보안을 완화했지만 정작 카드사나 PG사 등의 보완대책이 마련되지 않아 실효를 거두지 못하고 있다.
20일 업계에 따르면 우리 정부는 온라인쇼핑 활성화를 위해 액티브X와 공인인증서 제도를 폐지하는 쪽으로 정책방향을 잡았다. 전자상거래 보안을 위해서는 개인(PC, 스마트폰 등)이나 결제자(카드, PG 등 서버) 가운데 한 쪽에는 반드시 보안과 책임을 부과해야 한다.
우리나라는 그동안 온라인거래 책임 소재를 ‘개인’ 쪽에 비중을 뒀다. 거래 보안 책임을 개인 고객이 지기 때문에 결제 이전에 액티브X와 공인인증서 확인 등의 절차를 PC와 스마트폰에서 진행하도록 한 것이다. 문제가 발생해도 대부분 개인이 보안 조치를 제대로 하지 못했다는 결론이 도출되곤 했다.
하지만 미국 온라인 상거래는 접근이 다르다. 개인이 아닌 결제자가 대부분 의무를 진다. 페이팔이나 아마존페이 같은 결제 서버에 보안 툴을 강조하고 문제 발생 시 책임도 결제자에 부과한다. 미국에서는 부당 거래 발생 시 결제자가 가입한 별도 보험으로 문제를 해결하는 것이 일반적이다. 우리나라와 미국의 이 같은 인식 차 때문에 우리나라 온라인 쇼핑은 이용자 초기 접근이 어렵고 해외에서 서비스가 제한된다는 지적을 받아왔다.
문제는 최근 우리나라가 초기 거래 접근 편의성을 위해 개인 보안 툴을 제거하면서 발생했다. 개인보안이 취약해지기 때문이다. 하지만 여전히 카드나 PG사 대응은 미온적이다. 미국식으로 체질을 바꿔 결제자의 의무를 확대하는 것에 카드사와 PG사 반발 기류가 여전하다.
카드사 한 관계자는 “개인 보안을 완화하면서 대부분 책임이 카드사나 PG사로만 집중되고 있다”며 “결제자 서버에 보안을 높이기 위해서는 막대한 투자가 필요한데 이에 대한 명확한 조치도 부족하다”고 말했다.
온라인상거래 업체 한 임원은 “개인 보안은 약화시키면서 결제자 단위 보안 시스템이 강화되지 않고 있다”면서 “단순 계도를 넘어 결제자 보안 강화를 규정하고 책임에 따른 페널티까지 명확히 할 필요가 있다”고 밝혔다.
금융당국은 이용자 간편결제 확대는 큰 방향이며 이에 걸맞은 결제회사 보안 강화를 유도한다는 방침이다.
금융위 관계자는 “이상거래탐지시스템(FDS) 등 결제회사 보안 강화가 필요하며, 이와 관련한 업계 의견수렴도 수차례 진행했다”며 “결제회사가 여전히 불만을 피력하는 것은 스스로 새로운 흐름에 부응하지 못하기 때문으로, 보다 명확한 규정을 마련해 계도를 강화하겠다”고 말했다.
[표]전자상거래 방식별 보안 책임 주체 구분
*자료: 업계
김승규기자 seung@etnews.com