생색만 낸 액티브X 폐지 1년…

보안 프로그램 그대로 설치해야…"인터넷 결제 불편 여전"

금융권, 키보드보안·방화벽 등 '보안 3종세트' 여전히 고집
공인인증서 유출 연 4만여건…주요 원인은 PC내 인증서 저장
"USB토큰·금융IC카드 등 안전한 외부저장 확대해야"

정부가 핀테크(금융+기술) 서비스 발전의 걸림돌로 지목된 ‘액티브X’ 걷어내기에 나선 지 1년이 지났지만 소비자의 불편이 그대로 이어지고 있다. 액티브X는 인터넷뱅킹과 결제 때 각종 보안프로그램을 내려받는 도구다. 마이크로소프트(MS)의 웹 브라우저인 인터넷 익스플로러(IE)에서만 사용할 수 있어 호환성이 떨어지는 데다 해킹의 주요 경로로 사용되는 등 부작용이 적지 않았다.

하지만 은행과 카드회사들이 액티브X의 대안으로 또 다른 비표준 기술인 EXE 파일 방식을 도입해 여전히 각종 보안프로그램 설치를 요구하면서 논란이 지속되고 있다. 보안프로그램이라는 내용물은 그대로 둔 채 설치 도구만 바꾼 생색 내기에 그친 ‘액티브X 폐지’란 지적이 나오는 이유다.

◆껍데기만 바꾼 보안프로그램

박근혜 대통령이 직접 나서서 액티브X를 핀테크 발전의 걸림돌로 지목한 것은 2014년 3월이다. 해당 부처인 금융위원회는 2015년 2월에는 액티브X를 이용해 설치하던 각종 보안프로그램 의무 사용 규정을, 3월에는 인터넷뱅킹 때 공인인증서 사용 의무 규정까지 폐지했다. 뱅킹과 결제 관련 보안 관리를 금융회사의 자율에 맡긴 것이다.

그 후 1년이 지났지만 은행 홈페이지에 접속하면 여전히 복잡한 프로그램을 설치해야만 서비스를 받을 수 있다. 키보드보안, 방화벽, 백신 등 흔히 ‘보안 3종 세트’라고 불리는 프로그램을 설치하지 않으면 계좌 조회나 이체 등의 서비스를 이용할 수 없다. 결과적으로 이들 프로그램을 설치할 때 사용하던 액티브X가 EXE 파일 방식으로 바뀌었을 뿐이다.

키보드 보안, 방화벽, 백신 등의 보안프로그램은 인터넷뱅킹, 결제 때 해킹으로 인한 공인인증서 비밀번호 유출을 막는 역할을 한다. 은행의 한 보안담당자는 “해외보다 한국에서 인터넷뱅킹으로 인한 금융사고가 적은 것은 보안프로그램 같은 장치가 있기 때문”이라며 “소비자들이 불편을 겪는 건 사실이지만 해킹 방지 등을 위해 마땅한 대체 기술을 찾을 때까지 어쩔 수 없는 측면이 있다”고 말했다.

◆핀테크 발전에도 걸림돌

보안 3종 세트를 고집하는 금융회사 관행은 핀테크 발전에도 걸림돌로 작용한다는 지적이다. 금융사들이 모바일 서비스에도 이들 보안프로그램을 적용하는 것을 고집하면서 핀테크 스타트업(신생 벤처기업)의 서비스 개발 비용 부담을 가중시키고 있다. 한 스타트업 관계자는 “3000만원이면 개발할 수 있는 금융 서비스인데도 각종 보안프로그램을 적용하기 위해 보안업체에 인증을 받다 보면 개발비가 1억원을 넘어간다”고 말했다.

전문가들은 금융사들이 공인인증서 저장 방식부터 바꿔야 한다고 강조한다. 2012년 8건에 불과하던 공인인증서 유출 사고는 2년 만인 2014년 4만1733건으로 급증했다. 지난해 7월까지 일어난 사고만 2만건이 넘는다.

유출 사고는 모두 PC나 USB 메모리의 특정폴더(NPKI)에 저장된 공인인증서에서 일어났다. 도둑에게 빈집 주소를 알려주는 것처럼 공인인증서를 어디에 두는지 쉽게 노출한 게 원인으로 지목된다. 하지만 지금까지 발급된 공인인증서 3321만여건 가운데 USB토큰·금융IC카드 등 안전한 외부 매체에 저장한 인증서는 약 218만건, 6.5%에 불과하다.

한 금융 솔루션 업체 관계자는 “정부가 지난해 규제를 없앴지만 대다수 금융사가 형식적으로 액티브X만 없앴을 뿐 내용물인 기존 보안프로그램을 그대로 사용해 소비자 불편이 이어지고 새로운 모바일 서비스 개발에도 장벽이 되고 있다”며 “공인인증서를 안전한 저장매체에 담아 사용하고 일회용 비밀번호 생성기(OTP) 등 하드웨어 보안을 결합하면 PC에 복잡한 보안프로그램을 설치할 이유도 줄일 수 있을 것”이라고 말했다.

김태훈 기자 taehun@hankyung.com