[친절한 금융이야기]'Active X' 없앴더니 'exe'…대안은 없나요?

[금융부 막내기자와 함께하는 금융상식]

등록 2015-11-22 오전 8:00:00

수정 2015-11-22 오전 8:00:00
가 가

ⓒDon Hankins

[이데일리 정다슬 기자] 00은행의 카드상품을 확인하러 홈페이지에 들어간 간모(34) 씨는 짜증이 났다. 그저 상품을 살펴보러 간 것뿐인데 쉴 새 없이 보안프로그램을 깔라는 메시지가 떴던 것. △△은행은 아예 보안프로그램을 설치하지 않으면 그 어떤 페이지도 들어가는 것이 불가능했다. 간 씨는 “실제 거래를 하는 것도 아니고 단순히 상품설명을 보는 것인데 그때마다 보안프로그램을 깔라는 것은 너무 과도한 것 같다”고 말했다.

현재 금융권은 기존 액티브엑스(Active X) 기반의 보안체제를 없애고 대신 실행파일(exe)에 기반을 둔 보안체제를 사용합니다. 그러나 소비자 입장에서는 개별 금융회사 홈페이지에 들어갈 때마다 무엇인가를 설치해야 한다는 점은 변함이 없습니다. 오히려 액티브엑스는 실제 거래를 할 때만 설치하면 됐지만 실행파일은 금융사 홈페이지에 들어가는 순간 설치해야 한다는 점에서 더 불편함을 호소하는 고객도 있다고 합니다.

왜 금융권은 이렇게 불편한 방법으로 ‘개선 아닌 개선’을 했을까요? 문제의 본질은 액티브엑스가 아니라 ‘아마존’, ‘페이팔’처럼 별도의 프로그램을 설치하지 않는 것이었을 텐데 말입니다. 일각에서는 이를 두고 금융보안책임을 소비자에 돌리는 금융권의 행태에서 원인을 찾기도 합니다. 정말 그럴까요?

전문가들은 액티브엑스와 실행파일의 가장 큰 차이를 액티브엑스는 브라우저, 실행파일은 도메인에 종속된다는 점을 꼽습니다. 즉 액티브엑스는 인터넷익스플로어(IE)용 플러그인입니다. 사람들이 액티브엑스의 가장 큰 문제점으로 사파리, 크롬과 같은 다른 인터넷 브라우저에서 사용하지 못한다는 점을 꼽았던 이유이지요. 실행파일은 도메인, 즉 인터넷 주소에 종속되기 때문에 브라우저의 종류에 구애받지 않습니다. 한번만 설치하면 같은 시스템을 쓰는 도메인에서는 별도 설치가 필요없다는 점도 강점으로 꼽힙니다.

실행파일은 여러 종류로 구성돼 있습니다. 이중 개인 컴퓨터(PC)에 설치된 실행파일 중 일부는 컴퓨터가 그 인터넷사이트에 접속하지 않아도 작동합니다. 그러다가 컴퓨터가 해당 인터넷사이트에 접속하면 신호를 보냅니다. ‘실행파일을 설치해 컴퓨터를 보호하라’라고요. 인터넷사이트에 접속하지 않아도 항상 구동되는 실행파일 프로그램은 약 70메가바이트(MB)라고 합니다.

그럼 외국은 어떨까요? 외국은 별도의 실행파일을 설치하지 않습니다. 이는 웹 표준( HTML5)를 이용한 웹사이트를 만들었기 때문입니다. HTML5 방식은 액티브엑스는 물론, 플러그인 없이 다양한 웹 환경을 구현할 수 있는 기술입니다. 구글, 아마존 등 굴지의 정보기술(IT)회사들이 이 점을 높이 평가해 HTML5 투자를 지속하고 있습니다.

우리나라도 HTML5 방식으로 바꿀 수는 없는 걸까요? 전문가들은 이를 위해서는 두 가지 조건이 필수적이라고 설명합니다.

첫 번째는 법체제입니다. 우리나라는 그동안 금융감독원이 전자감독규정으로 공인인증서을 의무 사용하도록 하고 금융회사가 온라인상으로 금융소비자에게 서비스를 제공할 때 보안시스템을 제공할 것을 의무화했습니다. 그러나 최근 이를 철폐함으로써 금융회사가 자율적으로 금융보안 수준을 결정할 수 있게 됐습니다.

△우리은행 등에 도입된 그래픽인증 방식의 본인인증

두번째는 다양한 본인인증 시스템의 도입입니다. 우리나라는 보통 영문자와 숫자, 특수기호를 조합한 비밀번호를 키보드로 입력함으로써 본인인증을 합니다. 그러나 외국에서는 그래픽인증, 홍채·지문·맥박 등 생채인증 등 다양한 방법을 통해 본인인증을 합니다. 키보드입력 방식 외에도 다양한 방법을 통해 해킹, 피싱 등을 방지할 수 있다는 설명입니다. 우리나라에서도 이런 방식이 도입되지 않은 것은 아니지만, 아직 대중화되지 않은 모습입니다.

우리나라는 이 두 가지 조건에서 제도나 기술적으로는 문제는 없습니다. 그러나 실제로는 사용되지 못하고 있는 게 현실입니다.

금감원이 공인인증서 의무사용, 보안성심사 의무화라는 규정을 폐지할 때 가장 불안해했던 것은 은행이라고 합니다. 또 새로운 보안시스템을 구축하는 과정에서 표준화된 안을 금감원에 제시해달라고 요구한 것 역시 은행이었습니다. 어쩌면 우리가 갖추지 못한 세 번째 필수조건은 다음 스탭으로 나아가기 위한 금융회사의 도전정신일지도 모르겠습니다.

▶ 관련기사 ◀
☞ [친절한 금융이야기]삼성·현대…대기업 미끼로 대출 권유하는 '그놈목소리'
☞ [친절한 금융이야기]육아휴직 받으면 대출 한도 줄어들까?
☞ [친절한 금융이야기]한 달 후 판매 종료하는 소장펀드…가입 전 필수상식은?
☞ [친절한 금융이야기]청년희망펀드는 '펀드'일까, '기부'일까?