[단독] MS·어도비 등 공인인증 무력화 무방비…금융당국 실태 '깜깜'

입력 2013-10-08 10:42   수정 2013-10-08 11:26

어도비-마이크로소프트, 30만원 이상 결제 공인인증 절차 없어
애플 스토어, 30만원 이상 공인인증…정작 코레일은 인증 안해
금융위 "올해 11월부터 공인인증서 의무 위반하면 최대 6개월 영업정지 처분"



해외처럼 국내에도 신용카드 온라인 간편결제가 빠르게 늘고 있지만 금융위원회와 금융감독원 등 금융당국은 간편결제 서비스 실태를 제대로 파악하지 못하고 있는 것으로 드러났다.

특히 30만원 이상 결제시 반드시 공인인증서를 사용해야한다는 감독 규정(전자금융감독규정 시행세칙 제4조)을 강조하면서도 이를 준수하지 않는 마이크로소프트, 어도비, 코레일 등에 대해서는 마땅한 대응책조차 없는 실정이다.

이에 따라 금융당국이 국내법을 위반하는 해외 판매자 등과 법을 준수하는 대다수 국내 업체에 이중잣대를 들이대고 있다는 지적이 일고 있다.

8일 [한경닷컴]이 어도비(Adobe) 및 마이크로소프트(MS), 애플(Apple) 등의 국내 공식 온라인 쇼핑몰 전자결제 현황을 점검해 본 결과 어도비, 마이크로소프트 2곳은 30만원 이상 결제에도 공인인증서를 사용하지 않는 것으로 파악됐다. 또 3개사 모두 결제 보안상 이유로 국내에서는 사용이 일반화된 '액티브 엑스(X)' 대신 독자적인 보안 수단을 적용하고 있는 것으로 나타냈다.

◆ 어도비-마이크로소프트, 30만원 이상 결제 공인인증 절차 없어

한국어도비 스토어(http://www.adobe.com/kr/)에서 30만원 이상 프로그램인 어도비 아크로뱃 스탠더드 XI(부가세 포함 가격 44만7145원)를 결제해본 결과 공인인증서 인증이나 보안용 액티브X 설치없이도 바로 구매가 가능했다. 특정 결제대행사(PG)의 카드 결제모듈 구동없이 어도비 웹페이지 내에서 결제가 완료됐다.


결제절차도 국내 전자상거래 사이트에 비해 무척 간단했다. 이메일 등록을 통한 간편 회원가입 후 배송주소 및 신용카드 번호만 입력하면 특정 주문번호를 보여준 뒤 결제는 끝났다. 어도비 아크로뱃 스탠더드 가격은 30만원 이상이지만 현행 금융감독법상 규정된 결제 전 공인인증은 거치지 않는 것이다.

신용카드는 대표적 해외카드인 비자(Visa) 및 마스터(Master) 2종류로만 결제할 수 있었다. 신한카드, 삼성카드, 현대카드 등 일반적인 국내 신용카드는 전혀 사용할 수 없었다.

이같은 간편결제를 대행하는 업체는 아일랜드에 본사를 둔 '디지털리버 코리아'였다. 이 회사는 서울 삼성동에 법인을 두고 주로 국내 소비자를 대상으로 결제 대행업을 하지만 금융위 및 금감원에 전자금융상거래업자로 등록되지 않은 PG사로 확인됐다. 현행 전자금융업법(제28조)은 전자화폐 발행 및 관리업무를 하는 전자지급결제대행업체(PG)는 반드시 금융위원회 등록 및 허가를 받도록 규정하고 있다.

엠에스 오피스(MS Office) 등 유명 사무용 소프트웨어를 주로 국내에서 판매하는 한국마이크로소프트 스토어(http://www.microsoftstore.com/kr) 결제 대행도 '디지털리버 코리아'가 맡고 있다. 한국어도비 스토어와 마찬가지로 30만원 이상 결제에 공인인증을 거치지 않았다. 액티브 X 등 플러그인 역시 일절 사용하지 않는다.


정품 가격이 52만9000원인 '오피스 프로페셔널' 제품을 직접 결제해 본 결과 본인확인 관련 절차는 이메일 확인 뿐이었다. 독립 결제모듈이 아닌 웹페이지 내에서 신용카드 번호 및 배송지 주소를 입력하면 바로 신용카드를 결제할 수 있었다. 다만 최종 승인 이전에 등록 카드에 소액을 임시 청구하는 확인 절차를 뒀다.

전자금융거래에 대한 관리·감독권을 가지고 있는 금감원은 어도비 및 마이크로소프트 카드결제 상황을 파악하고 있지 못했다. 금감원 IT감독국 관계자는 본지와의 전화통화에서 "지난달 기준으로 국내에 등록된 PG사는 62개사로 '디지털 리버'는 국내 정식 등록 업체가 아니다"라면서 "어도비 및 마이크로소프트 결제 현황을 점검해 법리적 문제점을 조사해보겠다"고 밝혔다.

다만 이 관계자는 "국내 신용카드를 국내 PG를 통해 원화로 결제하는 경우에는 국내 전자금융거래법을 적용할 수 있다"면서 "비자 및 마스터 등 해외 발급 카드를 통해 해외 통화로 결제승인을 낼 경우 국내 소비자를 상대로 주로 영업한다고 해도 국내법 적용이 어렵다"고 해명했다.

◆ 애플 스토어, 30만원 이상 공인인증…정작 코레일은 인증 안해

반면 한국 애플 스토어(store.apple.com/kr)는 30만원 이상 물품 구매 카드결제 건에 대해서도 국내 PG사를 통해 공인인증을 거치도록 운영되고 있었다.

129만원짜리 매북 에어(11인치)를 애플 스토어에서 결제해 본 결과 보안용 액티브X 설치 없이 주문을 진행할 수 있었다. 애플 앱스토어 가입 정보로 로그인한 뒤 배송정보를 입력하는 간단한 주문 방식이었다. 다만 주문을 마치면 카드 결제는 국내 결제대행사인 '이니시스'가 제공하는 결제모듈로 연동된다는 점이 어도비 및 마이크로소프트와는 달랐다.


'이니시스'는 국내에 정식 등록된 PG사로 삼성카드, 신한카드, 현대카드 등 대부분의 국내 카드를 지원했다. 결제모듈에는 '30만원 이상 결제에 대해서 반드시 공인인증을 거쳐야 한다'는 문구를 명시하고 있었다.

반면 KTX 등 국내 열차를 예매할 수 있는 한국철도공사(코레일)의 '코레일톡' 모바일 서비스는 30만원 이상 결제시 공인인증서를 사용하지 않았다.

코레일 회원으로 정식 등록한 후 앱에서 서울-부산 간 KTX 일반석 어른 9명분 좌석 45만5400원을 모바일 결제해 본 결과 30만원 이상 결제였지만 신용카드번호만 입력하면 간단하게 구매할 수 있었다. 단 인증번호로 주민등록번호 뒤 7자리를 입력하는 단순 추가 인증을 거쳤다.

국내 대표적 공기업인 한국철도공사가 운영하는 코레일톡은 국내 대표적 간편결제 서비스로 꼽히면서 철도를 자주 이용하는 젊은 층을 중심으로 호응을 얻었다. 하지만 30만원 이상 결제에도 공인인증을 거치지않는다는 이유로 불법성 지적도 함께 받아왔다.

금감원은 코레일톡 서비스가 현행 감독법에 저촉되는지 여부를 묻는 질문에 "검토가 필요하다"는 원론적인 입장을 밝혔다. 금감원 IT감독국 관계자는 "코레일 서비스의 경우 공인인증서 사용 예외 규정에 해당하는지 검토가 필요하다"면서 "예외 규정이 아닌데도 공인인증서 사용 의무를 위반했다면 불법성을 명확히 따져볼 필요가 있다"고 밝혔다.

이 관계자는 이어 "다만 편의성이 높은 간편결제 서비스를 요구하는 금융소비자가 늘어나면서 공인인증 이외 인증수단을 허용하자는 전자서명법 개정안이 현재 국회에 발의된 상태"라면서 "관련 법이 개정된다면 국내도 글로벌 금융결제 환경에 맞게 흘러갈 수 있을 것으로 본다"고 해석의 여지를 남겼다.

◆ 올해 11월부터 공인인증서 의무 위반하면 최대 6개월 영업정지 처분

올해 2월 집계된 국내 인터넷 뱅킹 이용자 수는 8500만명으로 이 가운데 금융결제원에서 발급한 누적 공인인증서는 2900만건이다.

지난 5월 민주당은 공인인증서 의무 사용의 법적 근거로 작용하는 전자금융거래법 개정안을 발의한 상태다. 개정안 주요 내용은 ▲전자서명과 공인전자서명 구별 폐지(개정안 제3조) ▲공인인증기관 지정 방식을 허가제에서 등록제(신고제)로 변경(개정안 4조) ▲행정기관 공공기간 인증서 발급기관에 대해 독립적 제3자 점검 의무 등 3가지다.

인터넷 사용자 권리를 옹호하는 시민단체 '오픈넷' 한창민 국장은 "금융당국이 국내법을 위반하는 해외 판매자들과 법을 준수하는 국내 업체에 이중잣대를 들이대고 있다"면서 "이같은 '오락가락' 감독 규제가 국내 온라인 상거래를 위축시키는 '역차별'로 이어지고 있다"고 지적했다.

한국인터넷기업협회(회장 김상헌) 역시 공인인증서 의무사용 폐지를 주장하고 있다. 인기협 관계자는 "액티브X 기반 공인인증서 의무사용으로 많은 인터넷 기업의 시스템 구축 및 유지·관리 비용이 증가됐다"며 "국내 소비자들도 이같은 불편을 피해 외국사이트에서 직접 물건을 구매하는 등 국내 서비스에서 이탈하고 있다"고 주장했다.

지난 5월 개정된 뒤 올해 11월 23일부터 시행되는 전자금융거랩법 개정안에 따르면 금융위원회는 공인인증서 사용 규정을 준수하지 않는 금융회사나 전자금융업자는 최대 6개월까지 업무 정지 명령을 내릴 수 있다.

금융위원회 전자금융과 관계자는 "공인인증서 의무 준수 위반에 대한 세부적인 기준을 현재 금감원에서 마련하고 있다"면서 "그간 공인인증서 사용 의무 감독규정은 있지만 처벌조항이 따로 없어 관련 제재가 거의 이뤄지지 못했던 점은 앞으로 보완해나갈 방침"이라고 설명했다.

한경닷컴 김민성 기자 mean@hankyung.com 트위터 @mean_Ray
기사제보 및 보도자료 open@hankyung.com




▶[화제] "초당 12만원" 버는 사람들...충격
▶ 별장으로 쓰면서 은행이자 3배 수익 받는곳?


관련기사
    <li>[단독] 한국진출 '우버'에 카드사 결제중단…두달만에 사업 중단 위기</li><li>"독약같은 액티브X" vs "공인인증서 공격말라" 끝장 못본 토론회</li><li>'WP 인수' 아마존이 액티브엑스·공인인증서 썼다면? </li><li>[단독]액티브X 없는 간편결제, 논란 두 달만에 모든 카드사 이탈</li><li>[BIZ스토리⑮] 女CEO 글로벌PG 도전기 "기술무시·결제장벽…이게 창조경제일까요"</li>



[한국경제 구독신청] [온라인 기사구매] [한국경제 모바일 서비스]
ⓒ <성공을 부르는 습관> 한경닷컴, 무단 전재 및 재배포 금지
<한국온라인신문협회의 디지털뉴스이용규칙에 따른 저작권을 행사합니다>

관련뉴스

    top

    마이핀

    와우캐시

    와우넷에서 실제 현금과
    동일하게 사용되는 사이버머니
    캐시충전
    서비스 상품
    월정액 서비스
    GOLD 한국경제 TV 실시간 방송
    GOLD PLUS 골드서비스 + VOD 주식강좌
    파트너 방송 파트너방송 + 녹화방송 + 회원전용게시판
    +SMS증권정보 + 골드플러스 서비스

    고객센터

    강연회·행사 더보기

    7일간 등록된 일정이 없습니다.

    이벤트

    7일간 등록된 일정이 없습니다.

    공지사항 더보기

    open
    핀(구독)!