안전지불 서비스 유감

그림: 본문 설명 참조
카드사 마다 제각각
BC카드와 국민카드가 2004년 10월 부터 카드 소지자가 자신의 카드 번호를 사전에 등록하고 자신만이 사용할 수 있는 인증서 형태로 보관하여, 카드결제시 사용하는 인터넷 안전지불(ISP)을 전면 시행한다고 알려졌다. 또한, 삼성, LG, 외환 카드 등 비자 계열 카드사들은 이와 유사한 방식의   비자 안심클릭서비스를 곧 준비하여 개시할 예정이다.  

뿐만 아니라, 2004년 1월 부터 30만원 이상 결제시 공인인증서 사용이 의무화 되어 결과적으로 쇼핑몰에서 카드 결제를 하기 위해서는 카드사가 제공하는  사설 인증 방식과 공인 인증 방식을 두 번 모두 거쳐야 하는 상황이 되었다.   즉, 지금까지 카드번호와 유효기간과 비밀번호 및 주민등록번호로 결제하던 결제 방식은 사라지고, 카드사가 발급해 준 사설 인증서와 대면을 통해 발급   받은 공인인증서를 PC에 가지고 있어야만 카드 결제를 할 수 있다.

전자상거래의 규모가 커질 수록 인터넷상의 결제 정보 보안과 본인 확인의  문제가 계속 발생함에 따라 카드사와 금감원에서 안전한 지불 방식을 통해 이를 해결하고자 하는 노력은 매우 중요하다고 생각한다.  그러나, 인터넷 뱅킹과 사이버 트레이딩에 이어 쇼핑몰에서의 카드 결제 까지  공인인증 의무화가 결정됨에 따라 여러가지 부작용이 예견 되고 있다.

우선 전자상거래 규모가 축소될 우려가 있다. 전자상거래의 확대 요인에는  신용카드를 통한 결제를 통한 결제 서비스가 쉽게 제공됨에 따라 이루어진  경향이 크다. 이웃나라 중국이나 일본의 경우도 대금 결제가 용이하지 않아 전자 상거래 발전에 걸림돌이 되어 왔다. 물론 국내 공인인증서 사용자가  천만명이 넘었다고는 하나, 소비자 편의와 마케팅이 중요한 쇼핑몰에 공인인증 의무화는 소비자와 쇼핑몰 사업자는 도외시 한채 결제를 어렵게 막음으로서 카드사의 자기 문제 해결을 위한 방편으로 해석될 수 있다.

또 중복된 인증 방식도 문제이다. 10만원 이상 결제를 하기 위해서는  카드사에서 인증서를 발급받고, 공인인증서도 발급 받아 2번의 비밀번호 입력과정을 거쳐야 한다. 똑같은 인증 방식을 두번에 거쳐 진행해야 하므로 사용자의 편의성이 무시됨과 동시에 중복 투자도 우려된다. 이는 BC, 국민 카드가 ISP를 외환, 삼성, LG카드사가 비자 안심지불을 채택함으로서  가시화 되었는데 이는 카드사들 사이의 세불리기를 보일 수 밖에 없다.

비 윈도우 기반은 어떡하라고?
이러한 공인 인증 방식을 사용하기 위해 국내에서 자체적인 암호 알고리듬을  통해 만든 Plugin 프로그램을 사용해야 한다. 이 프로그램에는 각 카드사의 인증 방식과 공인 인증 모듈을 비롯해 기타 다른 결제 수단도 제공해야 되기 때문에 소비자들은 지불을 하기 위해 자신의 PC 자원에 매우 무거운 Plugin  프로그램을 설치 해야 한다. 국내에서 공인 인증을 모두 활용하려면, 공인 인증기관 6개, 각 은행이 사용하는 2개, 전자지불 업체 2개 이상 등 총 10개  이상의 플러그인 프로그램을 PC에 설치해야 한다. 현재 은행 2개와 증권사  한곳을 사용하는 PC에는 평균 3개 정도의 플러그인이 설치되어 있다. 새로운 영역에 공인인증을 적용할 때 마다 주도 업체들이 이렇게 프로그램을 개발해서 배포한다면 소비자 PC는 플러그인 프로그램이 수도 없이 설치될수 밖에 없다.

게다가 기존의 공인 인증 방식이 글로벌 스탠다드인 SSL 방식을 사용하고  있지 않기 때문에 사용되는 이들 Plugin 프로그램은 주로 Windows계열의  IE 사용자에 맞게끔 만들어져 있다. 이 때문에 매킨토시 사용자와 Netscape 사용자 리눅스와 유닉스 사용자, 기타 웹브라우저 사용자는 인터넷 뱅킹과   사이버 트레이딩은 엄두도 못내고 있다. 물론 이들이 전체 사용자의 3%도  채 안되 지만이제는 인터넷 쇼핑몰에서 물건 사기도 어렵게 될 전망이다.    공인 인증 방식이 기술 우월성이라는 미명하에 MS 기술에 종속되고 있는  현실은 관련 부처와 개발 회사들이 뭔가 특단의 대책을 필요로 한다.

전 세계적으로 인터넷을 통한 상거래와 무역, 소비자간, 기업간 거래가  활성화 되고 있고, 우리나라는 초고속 인터넷을 기반으로 국제적으로 선두 위치에 있다. 선두라는 생각에 우리 자체의 기술 방식만을 고집해서 기술의  종속성과 폐쇄성이 계속 된다면 국제적으로 인터넷 사용이 평준화 되고   표준화 되게 되면 자칫 국제 거래의 미아가 될 가능성이 크다.

따라서 전자상거래가 국내 산업의 중추로 떠오르고 있는 이 시점에서  여러가지 중요한 문제들을 간과한 채 현재의 문제만을 해결하기 위해  쉽게 결제 인증 방식을 결정 하기 보다 보다 먼 안목으로 심사숙고 할 필요가 있다. 즉, 소비자와 쇼핑몰의 편의를 고려하면서 점진적으로 시행하되 그동안 방식의 중복과 기술의 호환성 문제를 풀어나가야 할 것으로 생각된다.

여러분의 생각

  1. 이런 이야기가 올라오니까 저도 한마디 하고싶습니다.
    일반적인 저희가 불평하는 ISP관련 사항은 아래와 같습니다.
    1. X86 windows only 결제 시스템 : 이미 윤석찬씨가 언급하였지만 저희회사의 경우 최대 주요 고객이 Apple Korea인 관계로 더 현실적입니다.
    2. PG의 Risk Taking에 대한 변화 없음 : 안전지불로 결제가 일어나더라도 사고가 나면 여전히 PG가 모든 책임을 지게 됩니다.(계약변경등이 필요함)
    3. 공정한 경쟁 상실 : 안전지불의 Plugin이 탑재되는데 일부 PG사는 자신의 결제 Plugin에 안전지불 Plugin을 “내장”하지만 타 업체들은 안전지불의 ActiveX Plugin의 API에 대한 설명이 없는 관계로 사실상 “불가능”합니다.
    4. 안전지불 서비스 제공업체와 카드사 직원간의 관계 : 이미 널리 알려진 사실이지만 카드사 직원이 안전직원 서비스 제공업체의 “주주”인 관계로 합리적인 서비스 제공이 안되고 있습니다.
    5. 극심한 매출감소 : 저희회사의 경우 안전지불 결제 연동후 단 한건의 거래실적도 없습니다.
    6. Local Only 결제 시스템 : Golbal화된 전자상거래 환경에서 한국내/한국어기반 결제만을 가능하게 하고 있습니다.

    [새로운 대안]
    제가 생각하는 안전지불류(ISP, Visa 3D Secure, MasterCard SecureCode 등)를 대신하여
    카드사등과 공동으로 Public하게 사용할 수 있는 Fraud Prevention System(위험거래방지시스템)의 구축이 더 바람직하다고 봅니다.
    이미 미국등의 결제 선발국가들에서는 안전한 지불을 위하여 Fraud Prevention System이 광범위하게 사용되고 있습니다.
    Fraud Prevention System의 예로서는
    – Black List 운영
    – CVV2 Value Check(카드 뒷면 카드번호 옆에 별도 표기된 3자리 숫자)
    – Card Holder Address Check
    – Card Bin Number + IP Address range check(카드발행지역과 접속 IP 비교)
    – Client OS Character Set + Card Bin Number check
    – Client OS Character Set + IP Address range check

    특히 B/L 정보의 경우 저장되는 데이터를 MD5 Hash하여 약 3억 5천만건 이상의 정보가 온라인 결제 선발 도입국가의 결제업체들간에는 상호 공유가 되고 있으며 Fuard 율을 약 2-3% 내로 “관리”하고 있는 경우를 많이 보고 있습니다.

    —————————————-
    한마디가 아닌 여러마디가 되어버렸군요.
    좋은 추석 보내십시오.
    그럼.

의견 쓰기

이름* 이메일* 홈페이지(선택)