악어의 눈물 – 안심클릭과 인터넷 안심결제는 고객 보호가 아니라 회사 보호를 위한 것

악어의 눈물

고객님의 정보를 보호하기 위해서가 명분이다. 안심클릭이나 인터넷 안전 결제(ISP)의 대의 명분은 그렇다. 그거에 대한 내 생각은 하나다. 염병하고 있네. 내 말이 믿기지 않는다면 지금이라도 당신이 사용하는 신용카드의 약관을 살펴보시기 바란다. 살다보면 카드를 잃어버리는 것은 다반사라고 생각한다. 카드에는 보통 일반인이 지갑에 휴대하는 것 이상의 많은 금액을 사용할 수 있기 때문에 보통 분실시 정지를 할 수도 있고, 분실 신고 전에 도용된 경우에는 그에 대해서도 보상을 받을 수 있다.

그러나 약관에 따라서 극히 드문 경우를 제외하고는 보상받을 수 없는 손해가 있다. 바로 비밀번호를 누출해서 생기는 손해이다. 요컨데 암호로 본인을 확인하는 현금서비스 등의 거래의 경우에는 본인이 사용한것으로 간주하기 때문에, 분실 신고 이전의 피해에 대해서는 보상해주지 않는 것이다. 실제로 여기에는 본인 혹은 가족에 대한 위력 행사에 의한 강박으로 인한 경우 같은 드문 경우를 제외하면 보상이 되지 않는다.

그런데 안심클릭이나 인터넷 안심결제(ISP)라는 물건이 생기면서 여기에 인터넷으로 구매한 경우도 포함되는지는 알고 계시는가 모르겠다.

제22조(비밀번호 관련 책임)
카드사는 현금서비스 및 카드론, 전자상거래 등 비밀번호를 이용하는 거래시 입력된 비밀번호와 카드사에 신고된 비밀번호가 같음을 확인하고 조작된 내용대로 현금서비스 및 카드론, 전자상거래 등 거래를 처리한 경우, 도난, 분실 기타의 사고로 회원에게 손해가 발생하더라도 책임을 지지 아니합니다. 다만, 저항할 수 없는 폭력이나 자기 또는 친족의 생명신체에 대한 위해로 인하여 비밀번호를 누설한 경우 등 신용카드 회원의 고의 또는 과실이 없는 경우에는 그러하지 아니합니다.

다시 말해서, 당신이 쓰는 비밀번호가 어떤 이유에서든 누출이 되었고, 이를 이용해서 결제가 이뤄지면 당신은 일체의 항변을 할 권리가 없다는 것을 의미한다. 진짜 고객을 보호하겠다는 작자들이 이런 조항을 걸고 장사하는건 상식밖의 이야기다.

키를 가로 채는 방법은 여러가지가 있다. 알려줄수도 있고, 엿 볼수도 있다. 또 채갈수도 있다. 안심클릭등에 사용되는 비밀번호는 퍽 엄격한 룰로 알파벳과 숫자를 조합하여 사용하여 8자 이상 적게 되어 있지만서도 경우에 따라서는 적지 않은 사용자들이 금융사이트나 기타 사이트 등에서 사용하는 암호와 같게 하는 경우가 있을 것이다. 심지어 어떤 사람은 공인인증서와 안심클릭 그리고 일반 사이트 로그인 암호가 하나로 일치가 되는 경우도 보았다.

이 경우에는 대책이 없는 것이다. 일전에 ‘차라리 전국민에게 공짜 백신을 뿌리라’ 라고 일갈하면서 말했지만 이렇게 일반 사이트와 암호가 같은 경우에는 금융사이트 이외의 사이트에서 누출이 되면 대책이 없고, 또 공인인증서나 ISP 인증서는 ‘공인인증서, ISP 인증서, PC에 저장할 필요가 있을까?’에서 말한것 처럼 정해진 위치에 저장되니만큼, PC에 대한 항시 보안이 이뤄지지 않는다면 얼마든지 쉽게 복사할 수 있다. 그래서 나는 항시 PC에 방화벽 소프트웨어를 설치해야 한다는 것이고 금융사이트에 접속할때만 방화벽을 까는 것으로 부족하다는 것이다.

좌우지간 기존의 경우, 그리고 해외에서 경우 신용카드 사기(credit card fraud)가 발생했을 경우 일반적으로 회원에게는 Zero Liability가 적용되는것이 기본이다. 본인이 사용하지 않은 금액에 대해서는 일체 물을 필요가 없다. 물론 그로 인해서 범인을 잡기 위해서 노력하고 있고, 못잡으면 카드사가 손해를 감수한다. 그리고 그것을 방지하기 위해서 노력하고 있다.

사실 우리가 흔히 ‘안심클릭’이라고 알고 있는 V3D Secure라는 프로그램도 인터넷에서 좀더 본인확인을 하기 위한 프로그램의 일환이지 ‘이것을 실행함으로써 이것을 쓰는 것은 무조건 본인’ 이라는 등식을 위해서 만든것이 아니다.

다 좋다고 치자. 카드 번호를 당신은 얼마나 타인에게 알려주는가? 카드번호야 영수증 부본이나 홈쇼핑을 통해서도 누출될수는 있다. 하지만 카드 뒷면에 있는 CVV2코드(서명 부분의 세자리 코드)는 얼마나 알려주는가? 아마 이걸 알려줄 정도의 사이라면 가족이나 이에 준하는 사이일 것이다. 이 경우, 물건이나 서비스를 구매한 경우, 카드 회원 본인 주변 사람밖에 없다. 지갑을 뒤져서 메모했다는 얘기니까. 그 경우에는 물건 받거나 가입시 입력한 주소만 대조해보면 금방 꼬리가 잡힌다. 이 나라는 구멍가게 회원가입할때도 본인 실명을 걸지 않으면 가입이 안되는 나라 아닌가?

그럼에도 누출이 된다면 그건 웹사이트와 카드사 사이의 보안 트랜잭션에서 누출이 일어나거나, 아니면 컴퓨터에서 키로거 등에 의해서 유출이 되는 것이다. 보안 트랜잭션에선 그렇다치자, 컴퓨터에서 안심클릭이나 ISP 비밀번호를 하나 더 입력하면 무슨 차이인가? 카드번호가 누출되는데 비밀번호는 누출안될까? 무슨 용가리 통뼈라고 그걸 자신할 수 있는지 이 분야에 근무하시는 분의 태클 정말 기대하지 마다 않는다.

그럼 이 사상누각의 상황에서 카드사는 우리는 잘못되면 책임없다고 발뺌하고는 해주는건 쓰잘때기 없는 키보드 보안프로그램 하나가 달랑 끝이다. 그나마 이것도 없으면 소송당할까봐 그런것이다. 은행에서 왜 그렇게 열심히 보안 프로그램을 깔아대느냐? 어떤 멍청한 고객이 해킹 피해를 자신의 PC 관리 소홀에 두지 않고 정보 누출을 막도록 ‘설계하지 않은’ 은행에 물었고, 법원은 그에 대한 안전책을 마련 못한 것을 인정해주는 바람에 돈을 토해내라고 했다는 모양이다.

참 불편하다. 이 안심클릭인지 뭔지 때문에 말이다. 나는 알라딘의 애용자였다. 이유인즉슨, 당시 예스24에서는 한번 결제를 완료하면 주문에 더할 수도 뺄수도 없는데, 알라딘은 미국이나 일본의 아마존처럼 발송작업 전에 승인을 냈다. 따라서 발송작업전이라면 얼마든 주문을 변경할 수 있었기 때문이었다. 뭐 그것도 안심클릭과 ISP 도입으로 끝났다. 미국이나 일본을 비롯한 전세계 아마존은 아직도 그런 시스템을 유지중이다. 주지하시다시피 그네들은 1-click 주문으로 바스켓에 넣으면 묶어서 배송해준다. 이런 편리한 시스템이 사라져버렸다.

가끔 해외 사용자들이 도대체 카드 어떻게 쓰는건지 모르겠다고 할때 난감할때가 있다. 제각각이라서 할말이 없다. 그냥 ‘해외 카드’ 엇비슷한걸 찾아보세요. 하는수 밖에 없다. 그 사람들 태반이 그냥 카드번호와 유효기간 CVV와 소지인 이름 적는걸로 해결하던 사람들인데 안심클릭인지 나발인지 공인인증서인지 뭐신지 하나도 모르겠다는것이다.

하여간 쥐한마리 잡자고 온 외양간을 다 태워먹어야 정신을 차린다고. 사용자들에게 보안 프로그램 잘 깔게 하고 수상쩍은거 받지 말라고 주의주는게 귀찮다고 이런식으로 일처리를 하는게 온당키나 한건지 궁금하다. 곰.

PS. 안심클릭이니 ISP니 하기 전에, 결제시 주문자 우편번호와 카드 청구지 우편번호, 전화번호를 맞춰보는 시스템을 도입하는거 생각해본적이 있나 생각해볼 일이다. 그건 전세계적으로 널리 사용되는 카드사기 방지 알고리즘이기 때문이다.