침해사고/위협동향

[이슈추적] 현대카드는 액티브X를 사랑할까

심재석 기자
[디지털데일리 심재석기자] 최근 드림위즈 이찬진 대표와 현대카드 정태영 대표 간의 트위터 설전이 업계의 관심으로 떠올랐다.  현대카드가 구시대 기술인 액티브X를 옹호하는 듯 보였기 때문이다.

특히 이번 논란으로 ‘혁신성’과 ‘독창성’ ‘세련됨’을 앞세워 성장해 온 현대카드는 기업 이미지에 큰 타격을 입게 됐다.

현대카드는 정말 정부에서도 버리겠다고 약속한 액티브X 방식만을 고수하는 것일까. 그렇다면 도대체 왜 그런 것일까. 그렇지 않다면 오해하고 있는 것은 무엇일까.

발단=이찬진 대표는 지난 5일 정 대표에게 트윗 하나를 보냈다.

“조용필의 헬로 앨범을 샀습니다. 액티브엑스와 공인인증서 없이도 결제가 잘되는 ‘알라딘’에서요. 지난번 책 주문할 때 현대카드가 안돼서 외환카드로 주문했었는데 이번에도 외환카드로 더 편하게. 현대카드는 언제나 지원될까요.”

이에 대해 정 대표는 “말씀하신 결제
방법은 규제상 허용되는 안전한 방법이 아닙니다”라고 답했다. 

이는 마치 ‘액티브X 방법이 아닌 결제 방식은 허용된 것이 아니어서 안전하지 않다’고 정 사장이 대답한 것으로 이해됐다.

이는 반(反) 액티브X, 반(反) 공인인증서 진영의 공분을 일으켰다. 오픈넷 김기창 교수 등이 가세하면서, 논란이 커졌다.

전개=이번에 논란이 된 ‘알라딘’의 결제방식은 PG(Payment Gateway)사인 ‘페이게이트’의 ‘금액인증을 통한 결제 방식’이다. 이 방식은 무작위 금액 거래로 본인 인증을 시행하고, 이후에는 비밀번호만 입력해 간편결제를 진행할 수 있다. 별도의 플러그인 프로그램을 설치할 필요가 없어 모든 운영체제와 웹브라우저에서 이용할 수 있다.

그러나 현대카드는 페이게이트와 제휴를 맺지 않았다. 카드사 입장에서는 되도록 많은 PG사와 계약을 맺고, 모든 플랫폼 이용자들이 자신의 카드로 결제하는 것이 유리하다. 자신들의 매출을 올려줄 PG사를 배척할 필요가 없다. 그럼에도 현대카드는 페이게이트를 배척했다. 이유는 무엇일까.

현대카드 측에 따르면, 페이게이트 방식이 현대카드의 보안 요구조건을 만족하면 언제든 제휴를 맺을 의지가 있다. 요구하는 조건은 세 가지다. ▲키보드 보안 대책을 마련할 것 ▲신용카드 유효기간을 페이게이트 서버에 저장하지 말 것 ▲금융당국의 승인을 받은 인증 방식을 사용할 것 등이다.

현대카드는 지난 2011년 현대캐피탈의 대규모 해킹 사고를 목격한 바 있다. 언제든 서버의 정보가 유출될 수 있다는 트라우마를 안고 있다.

현대카드 관계자는 “우리가 요구하는 것은 서버에 사용자의 신용카드 데이터를 저장하지 않는 것”이라며 “아무리 서버 보안을 잘 한다고 해도 데이터를 저장하지 않는 것보다 안전하지는 않다”고 말했다.

절정=현재 현대카드의 보안요구를 해결할 수 있는 방안이 ‘액티브X’뿐일까?

그렇지 않다. 사실 페이게이트도 해결책을 갖고 있다. 키보드 보안 요구는 가상키보드 제공 등을 통해 해결할 수 있고, 신용카드 유효기간을 서버에 저장하지 말라는 요구도 페이게이트 측은 받아들일 의지를 보이고 있다. 문제가 거의 해결된 것이다.

현재 남아있는 쟁점은 세 번째 ‘금융당국의 승인을 받은 기술을 활용할 것’이다. 페이게이트의 인증 방식은 ‘금액인증’이라는 방식이다. 이 기술은 금융당국의 승인을 받은 기술이기 때문에 현대카드가 문제삼을 것이 없어 보인다.

그러나 페이게이트는 금액인증 방식을 최초 결제 시에만 사용한다. 두 번째 결제부터는 처음 금액인증 시에 저장해 둔 정보를 활용하는 ‘프로파일 인증’이라는 방식을 사용한다.

현대카드 관계자는 “‘페이게이트가 승인을 받은 인증 방식은 ‘금액인증’이지 ‘프로파일 인증’이 아니다”면서 “우리는 프로파일 인증을 받아들일 수 없다”고 말했다.

이 관계자는 “페이게이트가 두 번째 결제할 때도 금액인증 방식을 이용한다면 얼마든 제휴를 맺을 수 있다”고 강조했다.

프로파일 인증은 현대카드뿐 아니라 삼성카드에서도 문제가 됐다. 삼성카드는 페이게이트가 금액인증 방식을 사용하는 줄 알고 있었는데, 이번 논란을 통해 두 번째 결제부터는 금액인증이 아닌 다른 방식을 사용한다는 것을 알게 됐다.

이 때문에 삼성카드는 페이게이트 측에 당분간 제휴를 중지한다는 공문을 보냈다.

결말=다소 당황스러운 점은 페이게이트 측이 현대카드 측의 이런 요구사항을 정확히 ‘몰랐다’는 점이다.

페이게이트 이동산 이사는 “프로파일 인증은 사용자의 편의성을 위한 것이었다”면서 “현대카드가 금액인증 방식만을 인정한다면, 두 번째 결제할 때도 금액인증을 하면 된다”고 말했다.

이 이사는 “현대카드의 요구가 이런 것인지 몰랐다”면서 “현대카드는 ‘갑’이어서 만나기조차 힘들었다”고 덧붙였다.

현대카드 측은 이에 대해 “처음부터 페이게이트와 제휴가 이뤄지지 않은 이유가 바로 이 세가지 조건 때문이고, 그 이후에 언론에서도 많이 다뤄졌다”면서 “몰랐다는 것이 이해가 되지 않는다”고 반박했다.

이런 상황을 종합하면, 이번 사건의 핵심에는 ‘커뮤니케이션의 오류’가 있다. 현대카드는 보안 요구사항이 있었고, 페이게이트는 이 요구를 이행할 수 있는 기술과 의지가 있었다. 그러나 서로의 입장을 서로 제대로 파악하지 못한 채 언론에 자신들의 입장만 내비쳤다.

이번 논란은 ‘액티브X’로 인해 부풀려졌지만, 액티브X는 본질이 아니었다. 차분히 대화를 나눴으면 조기에 종식됐을 입장 차이가 액티브X로 인해 과열됐다. 여기에 이찬진 대표나 오픈넷 등 제3자가 논쟁이 참여하면서 감정적인 문제로 비화됐다.

현대카드 관계자는 “현대카드가 원하는 것은 ‘보안’이지, 액티브X가 아니다”면서 “우리가 요구하는 보안 수준을 충족시키는 기술이라면 액티브X 든, 비액티브X든 간여하지 않는다”고 말했다.

<심재석 기자>sjs@ddaily.co.kr

심재석 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널