[이강태의 IT경영 한수]<48>간편결제 유감

모든 카드사, PG사, 온라인 유통업체들이 간편결제를 개발하고 테스트하는데 여념이 없다. 간편결제는 공인인증서와 액티브X 사용 의무를 없애는 것이 핵심이다. 두가지 의무 사용을 없애면 본인인증이 사전(事前)에서 사후(事後)로 바뀌고, 우리 국민 대부분이 사용하는 마이크로소프트 익스플로러 외 다른 브라우저나 OS에서도 결제가 가능해 진다.

고객입장에선 온라인에서 물건 살 때 이것저것 보안 프로그램 설치하라는 주문이 줄어들어 간편해지는 장점이 있다. 그런데, 막상 해보면 전과 크게 달라진 게 없다. 공인인증서 대신에 ARS나 SMS인증이 대신할 뿐이다. 그동안 훈련이 돼 그런지 공인인증서로 하는 게 오히려 더 편하게 느껴지기까지 한다.

우리가 공인인증서를 쓰는 이유는 본인인증, 거래부인방지가 핵심인데 이 목적을 위해선 공인인증서가 나름 훌륭한 수단이기 때문이다. 직장인들의 연말정산철이 돌아왔다. 국세청의 홈택스(HomeTax)에 들어 갈 때 주민등록번호와 공인인증서가 필요하다. 온라인 상거래에서 간편결제를 도입한다고 해도 홈택스와 같은 온라인상의 본인확인과 부인방지를 위해선 어차피 공인인증서를 쓰지 않을 수 없다.

그럼 왜? 누구를 위해 모든 온라인 사이트에서 간편결제가 거의 강요되다시피 하는걸까. 간편결제 도입으로 어떤 사회적·경제적 이득이 나오는 것인가. 소비자 편의라고? 외국 소비자들이 우리나라 온라인에서 물건을 못 산다고? 과연 그럴까.

간편결제 도입 배경은 분명하고 단순하다. 우리 업체들이 규제에 묶여 있는 동안 외국 온라인 사이트에서 간편 결제를 경험한 직구족들이 많이 증가했다. 아마존, 페이팔, 알리페이가 곧 한국에 지사를 내고 한국 소비자들을 유인하면 한국 온라인 업체들이 다 위험해질 수 있다.

이 논리를 정리해 보면, 첫째, 공인인증서 때문에 구매하고 싶어도 불편해서 구매를 포기했다. 둘째, 우리나라 사이트에서 상품을 사고 싶어도 결제 관련 입력 단계가 복잡해서 중도에 포기하는 경우가 많다. 셋째, 외국 온라인 업체의 편리한 결제 시스템 때문에 직구를 한다.

하나씩 살펴보자. 첫째는 공인인증서를 몇 번 써 보면 그런대로 쓸 만하다. 인터넷 뱅킹 사용자가 5000만명을 넘어섰다. 스마트 폰 뱅킹도 등록 고객수도 3700만명이다. 또 이들의 상당수가 공인인증서를 쓰고 있다. 조금만 익숙해지면 이만큼 안전한 수단도 없다. 외국인들이 우리나라 사이트에서 구매를 못한다고 하나 외국인을 위한 별도의 결제창만 마련하면 된다.

둘째, 복잡한 결제 때문에 중도에 포기하는 사람들이 많다는 것이다. 하지만 전자상거래 매출 증가 속도를 보면 대부분의 온라인 구매자들이 복잡한 프로세스에 잘 적응했다는 뜻이다. 짜증내는 사람들에게는 미안한 얘기지만 온라인은 비대면 판매이기 때문에 본인 인증을 위해 좀 복잡한 프로세스를 거치는 게 당연하다.

셋째, 우리 소비자들이 직구에 열광하는 것은 상품과 가격 때문이지 간편결제 때문이 아니다. 아마도 아마존이나 페이팔이 주민번호나 여권번호를 입력하라고 했어도 직구를 강행했을 것이다. 마찬가지로 외국 소비자들이 우리나라 사이트에서 물건을 사고 싶으면 OS를 바꿔서라도 살 것이다. 해외구매를 직접 해 보면 상품 배송이 빨라도 1주일 이상 걸린다. 문제가 생겼을 때 마땅히 물어 볼 곳도 없다. 환불과 반품은 더 어렵다. 온라인에서 가장 불만이 많은 프로세스는 배송이지 결제가 아니다.

그런 측면에서 볼 때 간편결제는 기한이 정해진 듯 모든 업체가 한꺼번에 서두를 일이 아니다. 간편결제 도입에 따르는 문제에 사회적 준비가 돼있지 않기 때문이다. 특히 보안에 대해 많은 전문가들이 우려하고 있다. 구글에서 ‘페이팔 해킹 문제(Paypal Hacking Problem)’을 검색하면 40만개가 넘는 검색 결과가 나온다. ‘아마존 결제 해킹(Amazon Payment Hacking)’을 검색하면 2000만개가 나온다. 이베이는 고객 145백만명에게 패스워드를 바꾸라고 권고했다. 그 동안 우리나라에서도 많은 정보 유출이 있었지만 대부분은 내부자의 소행이었다. 어찌 보면 공인인증서를 쓰고 사전인증제도를 운영했기 때문이다. 이제 너도 나도 간편 결제를 도입하고 사후인증제로 바뀌고 나면 FDS(Fraud Detection System) 도입하랴, 보험 가입하랴, PCI DSS인증 받으랴, 후속조치를 정신없이 밟아야 할 것이다. 정보보안은 어느 수준이 되었다고 안심 할 수 있는 것이 아니다. 끊임없이 취약점을 찾아 보완해 나가는 프로세고 문화라는 점이다.

모든 카드사, PG사, 유통업체가 완벽한 수준의 지속적 보안을 유지하는 것은 기대하기 힘들다. 당국은 규제만 철폐해 주면 된다. 그 다음은 소비자나 시장이 스스로 선택하게 해야 한다. 기한 정해 이름만 다른 비슷한 간편결제를 도입하고 나중에 문제가 집단적으로 발생하면 누가 책임을 질 것인가?

CIO포럼 회장 ktlee777@gmail.com