8일 관련업계에 따르면 국내 모든 카드사들이 이달까지 액티브X를 걷어내고 비(非) 액티브X 방식으로 전환한다. 카드사들은 액티브X 대신 실행파일(exe)의 형태로 보안프로그램을 배포한다.

비씨카드, 국민카드, 우리카드(ISP계열)는 지난 2일부로 비 액티브X 방식인 로컬데몬(exe) 방식으로 전환을 완료됐고, 신한카드, 삼성카드, 롯데카드, 현대카드 등도 설 연휴를 통해 전환을 마무리한다는 계획이다.

지금까지 온라인쇼핑몰 등에서 신용카드로 결제시에는 최소 4~7회 이상의 액티브X 기반 프로그램을 설치해야 했다. 설치하는 과정에서 배송정보 등을 입력한 정보는 세션 만료로 인해 다시 입력해야 하는 불편함이 매우 컸다.

설치가 됐더라도 새로운 업데이트가 있으면 동일한 작업을 반복해야 하는 점도 사용자경험(UX)에 매우 나쁘다는 전문가들의 평을 받아왔다.

보안업계와 카드사들은 이러한 사용자 불편을 해소, 액티브X 폐기를 한번에 해결하기 위해 실행파일 형태의 보안프로그램 패키지를 배포하기로 했다.

실행파일에는 키보드보안, 백신, 가상키패드 등이 하나의 패키지로 통합돼 있어 한번의 설치만으로 모든 기능을 사용할 수 있다.

또 한번 설치되고 나면 윈도 프로세스에 상주하는 로컬데몬으로 동작해 모든 브라우저에서 사용이 가능해진다. 프로세스에 상주하고 있어 업데이트도 백그라운드에서 실시간으로 받을 수 있다는 점도 장점이다.

다만 해당 실행파일이 검증된 것이란 점을 증명할 수 있는 방안이 필요하다. 파밍사이트 등을 통해 가짜 패키지 파일을 받았을 경우 랜섬웨어, 스파이웨어 등 더 큰 문제가 발생할 수 있기 때문이다.

이와 관련 보안업계 관계자는 “EV SSL(웹브라우저 녹색창)이 적용된 것을 확인하하는 캠페인 등과 함께 프로그램 인증서(Code sign)를 사용하는 방법을 도입하면 위험이 최소화 될 것”이라고 설명했다.

프로그램 인증은 전자서명의 프로그램 버전이다. 소스코드 무결성, 신뢰도 확보 등을 위한 조치이며 해외에서는 일찍부터 사용하고 있다.

하지만 실행파일 형태의 보안프로그램 배포를 두고 사용자들의 반응은 싸늘하다. ‘액티브X=보안프로그램’으로 인식한 사용자가 많았기 때문이다. 하지만 카드사의 비 액티브X 전환은 구현방식의 전환일 뿐, 목적은 전과 동일하다.

이를 두고 모 대학 교수는 “실행파일 형태의 등장은 정부의 강행방침으로 인해 급하게 마련된 일종의 ‘중도기’로 보인다. 보다 편리한 전자금융활동이 가능해지도록 업계가 노력해야 할 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr