• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

온라인 쇼핑몰, 올해안으로 액티브엑스 폐지...대안은? 2014.12.29

액티브엑스 대신 ‘exe’ 기반 새로운 보안 프로그램 설치해야  

29일부터 30만원 이상 거래도 ID·PW로 간편결제 가능


[보안뉴스 김태형] 2015년 새해부터는 온라인쇼핑몰에서 전자거래를 하려면 액티브엑스(Active-X) 방식의 보안프로그램 대신에 다른 보안 프로그램을 설치해야 한다.

 

▲ 액티브엑스의 보안프로그램과 ‘exe’ 기반의 새로운 보안 프로그램을 설치하는 것 모두
   에이전트를 설치하는 것은 똑같다.


한 매체 보도에 의하면, 최근 미래창조과학부와 금융위원회가 온라인 쇼핑몰 업체들에게 올 연말까지 액티브엑스를 모두 없애라고 통보한 것으로 알려졌다. 그러면서 액티브엑스의 보안프로그램 대신 확장자 명이 ‘exe’인 새로운 보안 프로그램을 요구한 것으로 전해졌다.


이는 국내 인터넷익스플로러(IE)의 사용비율이 지나치게 높고 동영상 등 추가기능 활용사례가 많아 액티브엑스를 많이 사용해 왔다. 그러나 액티브엑스가 외국인들에게 불편하고 국내에서는 악성 프로그램의 유통경로로 자주 활용되어 보안문제를 일으키는 요소로 지적되면서 액티브엑스 없는 전자상거래 구현 추진의 일환으로 진행됐다.


특히 지난 3월 박근혜 대통령은 규제개혁 점검회의에서 중국인들이 국내 드라마 ‘별에서 온 그대’에 나온 ‘천송이 코트’를 액티브엑스 때문에 사지 못한 것으로 지적한 이후, 정부와 금융당국은 액티브엑스를 통한 보안프로그램 설치를 없애고 이를 대체할 방안 마련에 나섰다.

이를 위해 금융당국은 지난해 크롬이나 사파리 등 다른 웹브라우저에서도 온라인 결제가 가능하도록 모든 카드사들이 시스템 구축을 완료하도록 했고 올해 말까지 카드사·PG사·IT 보안업체 공동으로 보안프로그램, 결제창, 공인인증서 등에서 사용되는 액티브엑스를 완전히 없애기로 한 것이다.


하지만 문제는 액티브엑스를 통한 보안 프로그램 설치와 액티브엑스 없이 새로운 보안프로그램을 설치하는 것이 크게 다를 바가 없고 이용자들도 기존 설치되어 있는 보안 프로그램 대신 새로운 exe 기반의 새로운 보안프로그램을 설치해야 한다는 번거로움이 추가된다는 점이다.


최근 BC카드도 ‘Active-X’ 없이 결제가 가능하도록 온라인 결제 프로그램 ‘ISP+’를 개발했다. ISP+는 BC카드와 KB국민카드 회원이 인터넷 결제 시 이용하는 프로그램인 ISP를 Active-X 없이도 결제가 가능해 인터넷 익스플로러 외의 다양한 인터넷 브라우저 환경에서도 사용 가능하도록 한 것이다.


하지만 이 ISP+에도 키보드 보안·메모리해킹 방지·E2E 등의 다양한 보안 프로그램을 exe 기반으로 설치하도록 되어 있어 사용자들이 이를 모두 설치해야 하는 불편이 따른다.


이보다 더 큰 문제는 보안이다. 쇼핑몰에서 새로운 보안 프로그램을 설치하기 위해서는 홈페이지에서 사용자에게 프로그램을 직접 배포해야 하는데, 이 과정에서 악성코드가 유포되거나 설치될 수 있다.


이에 대해 한 금융보안 전문가는 “에이전트를 설치하는 것은 액티브엑스나 exe기반 모두 똑같다. 다만 exe가 더 느리다. 또 보안 프로세스 처리에 시간이 더 많이 걸려서 프로세싱 관점에서 좋지 않고, 보안성은 비슷하지만 exe 기반이 더 느리고 비싸다는 점이 문제”라고 말했다.


또한 그는 “악성코드 유포나 유통에 악용되는 것도 다를 바가 없다. 문제는 이것이 사용자에게 익숙해져서 무분별하게 설치되면 더 위험한 상황이 올 수 도 있다는 것”이라면서 “하지만 정부에서는 처음부터 액티브엑스를 문제로 삼았기 때문에 이를 알고도 읍참마속(泣斬馬謖)하는 심정으로 exe로 변신시켰다”고 꼬집었다.      

이와 더불어 29일부터 대부분의 국내 온라인쇼핑몰에서 결제금액에 상관없이 아이디(ID)와 비밀번호만 입력하면 신용카드 결제를 할 수 있다. 금융권에 따르면 신한, 삼성, 현대카드 등은 온라인쇼핑 때 결제금액이 30만원을 넘어도 추가인증 절차가 필요 없는 간편결제 서비스를 29일부터 실시한다.


신한카드는 고객이 지정한 PC에서 간편결제 아이디만 입력하면 모든 쇼핑몰의 카드 결제가 가능해지고 삼성·현대카드는 아이디와 비밀번호만 입력하면 모든 쇼핑몰에서 결제할 수 있다.


또 KB국민카드는 30일부터 일부 온라인가맹점에서 간편결제 서비스를 시작해 점차 가맹점을 확대할 예정이며, 비씨카드와 롯데카드는 이미 주요 대형 온라인 쇼핑몰에서 추가인증이 필요 없는 결제서비스를 시행하고 있다.


기존에는 결제금액이 30만원을 넘으면 아이디, 비밀번호 입력 외에 자동응답전화(ARS), 휴대전화 문자메시지(SMS) 등을 통한 추가인증이 필요했었으나 금융권은 이를 완화했다.


이러한 간편결제 시행에 대해서도 그는 “아이디와 비밀번호가 안전하다고 생각하는 것은 매우 위험하다. 현재 공인인증서와 보안카드, OTP를 사용해도 금융보안 사고가 빈번하게 발생하고 있는 상황에서 간편이라는 미명하에 보안은 비명이 될 수 있다. 현재의 아이디와 비밀번호는 내 것이지만 내 것이 아니다”라며 간편 결제의 위험성을 지적했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>