[보안뉴스 김태형] 온라인 쇼핑몰 결제 때마다 보안을 위해 사용하는 프로그램인 ‘액티브X’가 지난 3월 말부터 점차 사라지고 있다. 또한, 4월 말부터는 PC에서 액티브X 같은 보안 프로그램 없이 아이디(ID)와 비밀번호만으로 ‘간편결제’가 가능해진다.

금융당국의 ‘온라인 결제 시스템 개편’ 방침에 따라 카드사들이 새로운 결제방식을 도입한 것이다. 그러나 전문가들은 액티브X 폐지와 간편결제 보급으로 보안사고가 급증할 것으로 우려하고 있다.

이러한 가운데 온라인 쇼핑몰 보안담당자들도 고민이 많아졌다. 현재 가장 이슈가 되고 있는 모바일 간편결제의 보안위협에 대비하는 것이 매우 시급해졌기 때문이다. 한 온라인 쇼핑몰 보안담당자는 “최근 온라인 기업의 가장 큰 보안이슈는 모바일 보안이다. 금융당국은 액티브X를 없애고 ID·PW만으로 결제가 가능하도록 규제를 완화하는 동시에 정부에서는 관련 정책이나 법규를 강화하고 있어 이러한 컴플라이언스 변화에 따른 적절한 대응이 가장 큰 고민이자 선결과제”라고 말했다.

이어서 그는 “지금 핀테크 이슈로 간편결제가 점차 확대되고 있는데 아직은 과도기로 제도와 정책이 자주 바뀌고 있기 때문에 이러한 부분을 하나하나 찾아 맞추기가 어렵다. 전자금융거래에서 인증이 빠지고 결제가 간편해지면 사업자 입장에서는 보안정책을 새로 수립하고, 관련 시스템 등을 교체해야 하는 등 비용·보안 등 여러 가지 요소들을 고려해야 한다”고 덧붙였다.

또한, 간편결제 모듈이 보안성 검증을 거쳐 상용화되고 있지만, 만약 쇼핑몰의 간편결제 모듈에서 보안사고가 발생했을 때의 책임은 누구한테 있는지, 최근 금융권 FDS(이상거래탐지시스템)이 이슈인데 쇼핑몰에서도 별도의 FDS를 갖추어야 하는지, 별도의 FDS를 운영하려면 더 많은 고객정보를 수집해야 하는데 이에 대한 적법성 이슈 등 각종 고민이 많다는 얘기다.

온라인 쇼핑몰이나 오픈마켓에서 가장 중요한 정보보호 대상은 고객정보이다. 그리고 두 번째가 전자상거래이기 때문에 구매 오류 등의 문제나 사고 발생을 최소화 하는데 중점을 두고 있다. 이에 대해 한 온라인 기업 보안담당자는 “지금은 관련법이 바뀌어서 주민번호를 수집하지도 않고 보유하고 있지도 않다. 배송에 필요한 기본적인 정보 이외에는 이용자 정보를 보유하지 않도록 최소화하고 있다”고 강조했다.

또한, 보안과 관련된 ISMS 인증과 PIMS 인증은 기본적으로 획득·유지하고 취약점 진단·보안관제·암호화·DB접근 등 이용자 보호를 위한 보안 시스템과 정책을 적절히 운영하는 것도 보안 강화를 위한 필수적 조치라고 강조했다.

과거에는 관련 법이나 제도가 잘 정비되지 않았지만 지금은 잘 정비되어 있다는 평가다. 하지만 IT 기술 발전속도를 보안기술이 따라가지 못하는 점은 아쉽다는 것. 특히, 모바일 영역의 경우 모바일 보안기술이 기술 발전속도에 못 미쳐 대응할 수 없는 경우가 많다고 보안담당자들은 말한다. 일례로 iOS과 안드로이드 등 멀티 플랫폼에 대한 호환성 등이 부족하다는 것이다.

그는 “바로 이 부분이 온라인 기업의 보안담당자로서 힘든 점이다. 또 보안성과 편의성을 적절하게 조화시켜 보안정책이나 보안 솔루션에 담아내는 것도 쉽지 않은 일이다. 이로 인해 어떻게 하면 전체적인 업무 프로세스에서 보안을 적용할 것인가에 대해 항상 고민하고 실행하기 위해 노력한다”고 말했다.

이어서 그는 “아직까지는 기업에서 보안이슈나 사고를 드러내는 일은 어렵다. 특히 이용자 피해에 대해서는 기업과 연계된 기관에서 체계적으로 처리하는 프로세스가 필요하다”면서 “예를 들면, 보안문제나 사고에 대해 정부부처나 수사기관에 이관시켜 처리한다면 기업과 이용자들은 보다 간편하게 보안문제를 해결할 수 있을 것이다. 이를 위해서는 관련된 기업과 기관과의 정보공유가 중요하다”고 강조했다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>