공인인증서 없이 결제를 할 수 있게 되었다는 낭보가 전해 진 것은 좋은 일이다. 하지만 해야할 일이 아직 더 있다. 가령 이런 것이다. 우리나라 현행 법률에서는 쇼핑몰이 신용카드 정보를 보관하는 것을 금지하고 있다. 그러면 무슨 문제가 발생하는가. 아마존처럼 미리 저장된 카드정보로 1클릭으로 결제를 하거나 장바구니에 넣고 바로 결제하는 것이 불가능 하다는 것이다. 뭐 정보 유출을 막기 위해서이고 실제로 KT 등신같이 카드 번호를 누출시키는 상황에서 어느정도 합리적인 규제 같아보이긴 하지만 이 규제로 인해서 우리는 PC에선 둘째치고 스마트폰 등에서도 일일히 전자책을 살때마다 카드 정보를 입력해야만 하는 불편을 겪고 있다. 아마존에서는 책 한번 살때마다 킨들 단말기에서 탭 한번이면 되는데 말이다.
또 아마존의 예를 들어서 미안하지만 주문이 발송준비에 들어가기 전에는 결제를 하지 않기 때문에 그전에는 얼마든지 취소를 할 수가 있다. 물론 사이트에 재고 상황이 나오지만 물건이 확보되고 나서 발송에 들어갈때 돈이 결제 되는 것이다. 만약 주문했을때보다 값이 내려갔다면 내려간 값을 청구하고 올라갔다고 해도 올라간 값을 받지 않는다. 우리나라의 경우는 어떠한가. 주문을 받아놓고 그 모델의 재고가 없으니 취소해달라는 둥. 돈은 미리 받아놓고 배송은 늦는다거나 하는 경우 쉽게 목격되지 않던가?
사실 이렇게 이르게 된데에는 정부탓도 있지만 국내 굴지의 대기업이라는 KT가 털린 것에서 볼수 있듯, 업체들의 보안의식 부재와 투자 미비로 인한 문제 발생 가능성 때문에 법적 규제가 존재하고 그 때문에 사용자의 편의를 속박당한 것이다. 공인인증서의 해결도 해결이지만 카드 정보의 보관과 취급 문제도 생각해봐야 할 것 같다.
솔직히 내일 당장 ISP나 안심클릭이 폐지가 되어서 웹사이트가 자유롭게 카드 정보를 보유하고(아마존이나 아이튠스, 페이팔처럼) 결제한다면 솔직히 끔찍한것이. 지금까지 암호나 주민등록번호를 비롯한 각종 개인정보를 ‘털린 전적’ 때문이다. 그 사이트의 신인도도 장난이 아니거니와. 규모도 커서 필경 수백만명이 카드를 재발급 받는 참사가 일어났을 것이다. 우리나라 사이트들이 정보 보안에 들이는 비용이 매출에서 극히 미미한 점을 생각해보자.
물론 해외의 소규모 사이트가 그러하듯이 PG사에 아웃소싱하고 PG사가 철저히 관리한다면 뭐 문제는 한결 나아지겠지만. 근본적인 대책은 아니다.
결국 안심클릭을 비롯한 카드 결제 사태는 보안에 투자하지 않으려는 업체와 무사안태를 원하는 공무원들의 현상유지를 위한 묵시적인 합의하에서 굴러가는 것 아닐까.
이미 수차례에 걸쳐서 안심클릭을 비롯한 카드의 온라인 결제 체계가 허술하다고 말씀드렸습니다. 오만가지 키보드보안에, 해킹방지에 암호까지 해봤지만 결국 오늘 일제히 보도된바와 같이 뚫리고 말았지요.
사실 한국버추얼페이먼트(인터넷 안전결제를 만든 업체;BC카드 국민카드 등)한테 돈을 받아먹었는지, 일제히 안심클릭을 까고 있지만, 안심클릭(3D-Secure)가 뚫린것은 아닙니다. 사실 안심클릭을 쓸때 이래저래 깔라고 하는게 많아서 그렇지 안심클릭 기술 자체는 세계적인 표준으로, 비자카드,마스터카드, JCB인터내셔널 등 거의 대부분의 국제카드사가 제공하는 기술입니다.
물론 완전한 기술이라는 것을 의미하는 것은 아닙니다. ‘와~ 세계적인 카드사가 미는 기술이니까 킹왕짱!’ 이란거 아닙니다. 여러가지 장단이 있고, 이에 대한 기술적인 상세에 관해서는 Wikipedia의 3D-Secure 항목을 참조해주십시오.
여하튼 제가 하고 싶은건 이겁니다. 아무리 철통같은 보안책을 만들어봐야, 사용자가 무경계, 무자각이라면 대책이 없다는 것입니다. 이 사건에 관해서 YTN의 경우, 해킹에 의해서 노출당했다고 하고 있고, SBS의 경우에는 좀 현실적으로 ‘해킹 사이트’에 의해 노출되었다 라는데요(즉 한마디로 피싱입니다).
즉, 한마디로 해킹설과 피싱설으로 나뉘는데요. 둘 중 어느 하나가 됐던 안심클릭 자체의 문제는 아닙니다. 한발 더 나아가서, 사용자가 주의를 가했다면 전혀 발생하지 않았을 인재(人災)라는 것입니다. 왜 그럴까요?
우선 해킹설을 봅시다, 차라리 모든 국민에게 공짜 백신을 줘라에서도 언급했다시피, 일단 대다수의 국민들이 백신을 제대로 깔지도 않고 있고, 깔아놓고도 검사 조차도 안하는 경우가 태반입니다. 그저 결제나 은행 접속시에 나오는 백신이나 방화벽 하나만 믿고 앉아 있는게 현실이죠. 태반이 P2P 등을 통해서 정체가 불분명한 프로그램들을 다운받아서 아무런 의심없이 실행하고, 웹에서 받는 파일이 과연 안전한것인지, 설치하는 ActiveX가 정당한것인지, 접속하려는 사이트가 안전한 사이트인지 조차도 따지지 않습니다. 그러다보니 해킹툴 한둘 묻어서 오지 않는게 이상한 상황입니다.
그냥 깔라면 까는게 버릇이 되어 버렸습니다. 이건 사실 IT 및 금융업계의 탓도 적지 않습니다. 뭐든 하려면 일단 ‘깔아야 하니까’ 그냥 진위 여부고 나발이고 없이 그냥 노란 줄이 나오면 ‘이 컴퓨터에 모든 사용자를 위해 설치’를 클릭하고 예를 눌러 설치를 하라고 세뇌를 시키고 있습니다. 사이트 인증서나 보안 서명 같은건 하지 않는 업체도 수두룩하고, 하더라도 이걸 확인하라고 당부하는 업체 또한 한군데도 못봤습니다.
피싱설도 여기에 연장선상입니다. 해외의 금융업체 사이트를 가면 화면에 이런게 나옵니다. 혹시 보신적 있는지 모르겠습니다. 없으신 분이 아마 구할은 될겁니다. 왜냐면 우리나라에서 이걸 하는 금융기관은 저 역시 한군데밖에 못봤기 때문입니다.
이게 뭐냐면 바로 사이트인증서 표시입니다. Verisign이라는 서버 인증서 회사가 ‘이 사이트는 이 회사의 사이트가 맞습니다’라고 인증해주는거죠. 다시 말씀드리지만, 이걸 하는 국내금융기관은 현 시점에서 발견하기로는 HSBC은행 뿐입니다(캡처한 사이트는 HSBC 은행 인터넷 뱅킹입니다). 이런 안전장치가 IE7 이후 버전을 비롯한 최신 브라우저에 기본으로 내장되어 있습니다. 물론 IE6에는 없습니다. 사실 그 버전이 나올때는 피싱 이라는 단어 자체가 존재도 안하던 시절입니다. No IE6를 개발자만 편하자고 외치는게 아닙니다. 제발 새 버전 까세요.
그리고 앞서서도 V3D Secure(안심클릭)이 완벽하지 않다고 하고 있는데 그 중요한 이유중 하나가 안심클릭 정보가 상점 혹은 은행 사이트가 아닌 별도의 사이트(기술적인 용어로 ACS 서버라고 합니다)를 통해 입력되는데, 그 주소가 경우에 따라(우리나라는 안그렇습니다만), 카드 회사 혹은 은행 주소가 아니라 피싱의 우려가 있다는 것입니다.
기본적으로 통장 비밀번호나 집 대문 잠금장치의 비밀번호를 아무대나 흘리고 다니지 않듯이, 자신이 인터넷으로 무언가 중요한 금융 정보를 사용한다면 적어도 자신이 믿을 수 있는 사이트에서 입력하고 있는가? 라는 기본적인 생각은 해야합니다. 특히, 안심클릭의 경우 본인확인메시지가 있습니다. 제가 아는 지인의 경우 이 메시지를 입력은 하라고 하니까 입력은 하는데 귀찮으니 딱 한글자 치고 말았더군요. 하지만 저는 말이 안되는 문장을 적어 놨습니다.
이게 피싱 방지용 이거든요? 간단하게 말해서 카드사에 안심클릭을 등록했을때 자신만이 알만한 문장을 입력해 두고 나중에 안심클릭창이 뜰때 이게 정말 카드사 안심클릭 창인지 확인하라고 만들어 둔겁니다. 카드사가 해킹되지 않은 이상, 본인이 카드사에 입력해둔 문장이 뜰리는 없으니까요. 만약 정말 그게 나왔는데 피싱이다 싶으면, 이땐 안심클릭 문제가 아니라 금융회사가 해킹당한 케이스니 정말 난리입니다만. 어찌됐던 이 또한 알려주는 회사가 없습니다. 그냥 치라고 하니 ‘아 이거 뭐야 짜증나게’ 하고 대충 대충 치고 넘어가지 않을 수가 없는겁니다. 더불어, 이 역시 확인하는 개인은 극히 소수에 불과하죠.
즉, 모든것을 요약하면, 안심클릭 보안이 문제가 아니라, 사용자가 바보같을 정도로 무자각하기 때문이며, 그를 일깨울 금융업체가 할 짓을 태만히 하고 있기 때문입니다. 언론은 뭐하는겁니까? 정말 돈먹은겁니까?
덧. 뉴스데스크를 보니 보안장치를 추가하겠다는군요. 또 뭘 할겁니까… 또 뚫린다니깐요. 아, 그리고 수사결과, 카드사 잘못이면 보상이 되지만 본인 취급소홀이면 보상 못받는데요. 인터넷 카드 결제 자유화, 할 수 있어! 에서 분명히 말했죠? 카드정보가 뚫릴지언데 비밀번호 ‘따위’가 노출 안될리가 없고, 그럴때는 카드사는 배째라 할거라고…
‘한밤 중 카드 결제 – 업체측 실수’ 이 기사를 보면 결제 업체가 고객의 카드 정보로 결제 시스템을 시험했는데 그 사실을 알리지 않아서 일어났다고 한다. 단순 실수로 묻어갈 공산이 크다. 그런데 나 혼자 그러는건지는 모르겠으나, 어째서 카드결제대행업체가 고객의 카드번호를 보관하는건가? 카드 정보는 엄연히 아주 중요한 개인정보로써 인터넷에서는 카드번호 자체를 결제대행업체에 알려주지 않는다(ISP의 경우 인증서 승인만, 안심클릭은 카드번호를 카드사 사이트에 입력한다).
기자는 중요한 포인트를 집지 못하고 있다. 카드를 실수로 긁은것도 큰 문제이지만 고객이 이전에 매장에서 카드를 긁어서 결제를 할때, 카드번호와 유효기간 등의 정보를 모아서 업체에서 보관을 했다가 임의로 사용했다는데 중요성이 있다. 카드결제대행업체의 역할은 카드사에 카드 정보를 전송해서 조회를 하고 조회값(승인번호)을 반환하는 것이다. 최근들어서는 자동이체전표라고 해서 가맹점의 편의를 위해서 매출표를 은행에 제출하지 않아도 자동으로 이체되는 전표가 있다지만, 그건 은행에서 할일이고… 솔직히 카드번호가 대행사에 저장되어야 할 이유를 못느끼겠다.
집 전화번호 하나 주소만 하더라도 제공하고 보관할때 개인정보처리방법이나 약관을 제공하고 동의를 구하는데 카드 정보를 동의도 고객에게 인지도 시키지 않은채 보관,이용한것은 커다란 문제가 있다. 실수였어도 고객의 실제 데이터를 사용한 것은 문제가 있는 것이며, 만약 과실로 인해 악의를 가진 제3자에 의한 부정 이용 가능성 또한 배제할 수 없는 만큼 매우 위험천만한 행위가 아닐 수 없다.
“한달뒤에 청구되니까 고객에게 실질적인 피해는 없다” 라는데, 고객 정보를 함부로 다룬것 자체가 고객에게는 실질적인 피해다. 해외에서는 카드번호와 유효기간만 있으면 결제를 할 수 있고 카드복제 피해만 하더라도 조그마한 마그네틱 더미 리더기에 카드를 쓱 긁는것으로 완료되는 것이다. 이번건만 해도 이전에 카드를 긁은 데이터만으로 결제가 이뤄졌다. 그 정보를 악용하지 못하리란 법이 없다. 도대체 카드정보를 몰래 저장해서 긁은 복제범 일당과 몰래 카드정보를 보관하다 실수로 카드를 긁은 업체와 차이는 무엇인가? 악의만 없으면 범죄가 아닌건가? 아, 악의가 없는 실수군요. 악의 없이 물건 훔친게 무슨 죄겠어요? 이런건가? 참, 한국이란 나라는 개인정보가 껌값도 안되는 나라란 생각이 든다.
요즈음은 신용카드를 조회기에 긋고 즉시 한도를 조회함과 동시에 승인을 받고 전표도 가맹사별로 모아서 낼 필요 없이 자동으로 전표가 제출되어 매월 정산되는 편리한 세상입니다. 그래도 변함이 없는것은 결제를 한 다음 사인하는 것인데요(몇몇 카드사와 가맹점은 특약에 따라 소액 결제의 서명을 면제한다는데…).
그런데 요즈음 들어서 전자 사인 패드를 사용하는 곳이 늘었더군요. 처음에는 할인점이나 백화점 같이 큰곳에서 하더니 이젠 규모가 작은 곳에서도 크기가 작은 전자 사인 패드를 들여놓는 곳이 많더군요. 아무래도 종이를 뽑고 싸인하고 그것보다는 편리한가봅니다(뭐 크게 편리한건지 모르겠지만).
근데 보통은 사인을 하는 경우, 보통 NCR 지(보통 신용카드 조회기에서 사용하는, 양쪽에 구멍이 뚫린 종이, 먹지 없이도 여러장에 부본을 얻을 수 있어 사용)를 사용하는 경우에는 가맹점용/은행용/회원용 3매가 겹쳐져 있어서 금액을 확인 한 후, 서명을 한뒤 가맹점은 회원용을 떼어 주는 식으로, 그리고 열전사프린터(마트 등에서 사용하는 프린터, 로또 프린터 생각하세요)로 인쇄하는 경우에는 가맹점용과 은행용 두군데에 서명하거나 가맹점용만 서명하기도 하죠.
어찌되었던 그게 좀 귀찮은 일이라 제 주변의 어떤 분은 그냥 대충 성쓰고 동그라미 그리기도 하고. 아버지도 간단한 서명을 만드셔서 능숙하게 휘갈기시곤 하시죠. 하지만 저는 제 이름을 정자로 또박또박 씁니다. 자연스레 시간은 좀 더 걸리죠. 확실히 좀 드문 일입니다만, 여지껏 카드를 쓰면서 딱 한 번을 제외하고는 항상 지켜 왔습니다.
왜 사인을 하는 것일까요? 일단, 신용카드에서 사인은 두가지 의미가 있습니다. 카드를 사용한 사람이 나 자신이라는 것을 증명하는 것입니다. 두번째는 회원인 나는 그 금액을 나에게 청구하는 것에 동의한다는 뜻입니다.
약관상, 회원은 회사에 등록한 서명을 카드 뒷면에도 해야하고, 그리고 사용시에 금액 지불에 동의하는 경우에 동일한 서명을 하게끔 정해져 있는것이 보통입니다. 카드사에서는 카드 뒷면의 서명란에 서명이 되어 있지 않은 경우, 부정사용에 따른 보상을 해주지 않는다고 밝히고 있습니다. 거의 사문화[footnote]사고수표인 경우 한푼도 현금화 할 수 없어 철저하게 본인도 확인하고 번호도 조회하는 수표와는 달리 일단 긁고 서명하면 입금이 되기 때문에[/footnote] 되어 있습니다만 사실 카드 가맹점은 1) 카드 플레이트 상에 각인된 카드 소지자 본인인지 2) 카드 서명란의 서명과 영수증 상의 서명이 일치하는지를 확인해야만 합니다. 그러므로 서명이 없으면 확인할 수 없기 때문에 보상해주지 않는겁니다.
다시 말하면, 실제 카드 사용시의 ‘패스워드’라고 볼 수 있습니다. 해외에서는 카드 뒷면과 여권 서명, 그리고 실제 본인 서명을 유심히 비교하는 경우가 있습니다. 하지만 국내에서는 그렇지가 않은데, 그렇더라도 서명은 중요한 이유가 있습니다. 만일 도난 혹은 분실 후 3자에 의해 부정사용 되어 신고하였을때, 그것이 허위가 아닌지 확인할 수 있는 방법은 여러가지가 있지만, 일단 매출전표 상의 서명도 중요한 참고 정보가 됩니다. 앞서 저는 거의 항시 비슷한 글씨체로 서명한다고 말씀드렸습니다만, 미묘하게 조금씩 다르긴 해도, 거의 비슷합니다. 눈으로도 기존의 전표들과 비교해 쉽게 알수 있고, 그래도 못믿겠다면 필적감정이라도 받을 수 있겠죠.
하지만 이 전자 사인패드, 특히 소규모 점포에서 사용하는 녀석들은 해상도가 매우 열악하기 그지 없어서, 글씨가 뭉게지고, 또 그게 또 매우 열악한 해상도의 도트나 써멀프린터로 인쇄됩니다. 그나마 기존 양식(NCR)을 사용하는 녀석은 크기도 쥐꼬리 만해서, 내 글씨가 맞나? 라고 생각하는 경우가 있습니다. 물론 좀 규모가 있는 곳의 패드는 큼지막하고 해상도가 높아 그제서야 좀 잉크 틱해지더군요. 그런건 소수고, 대개는 정말 조악합니다. 그냥 서명받아놨다라는 요식행위에 지나지 않는것 같습니다.
또한 한가지 더, 카드 매출전표에 서명하는 것은 금액의 내역 일체를 확인하고 나서 그를 승낙한다는 뜻인데, 보통의 전자 사인 패드는 서명을 먼저하면 그제서야 영수증이 나오죠. 물론 금액이 표시됩니다만. 영 미덥지 않더군요.
저는 그러한 까닭에 디지털 서명 패드를 싫어합니다..
첨언. 저는 한글 이름을 서명으로 쓰고 있습니다. 어디선가 보니 한글이 한국은 물론 외국에서도 쉽게 모사하기 쉽지 않다더군요. 또 서명 자체가 이름을 쓴다는 뜻으로, 서명 문화권인 서양에서는 자국어로 자기 이름을 쓰는 것이 보통이기 때문에… 어떤 심볼이나 이니셜을 쓰는 것보다는 낫겠다 싶었습니다. 보통 여권의 서명이 해외에서는 매우 중요하게 여겨지는데(수표를 사용하거나 은행거래를 하거나, 입출국을 하거나 등등에 사용), 일본 여권에는 우리나라처럼 자국어 이름과 서명란이 별도로 있지 않고, 자기 호적상 이름을 자필로 기재받아 여권에 소유자의 서명란에 전사하고 있습니다.
이게 뭐냐면 바로 사이트인증서 표시입니다. Verisign이라는 서버 인증서 회사가 ‘이 사이트는 이 회사의 사이트가 맞습니다’라고 인증해주는거죠. 다시 말씀드리지만, 이걸 하는 국내금융기관은 현 시점에서 발견하기로는 HSBC은행 뿐입니다(캡처한 사이트는 HSBC 은행 인터넷 뱅킹입니다). 이런 안전장치가 IE7 이후 버전을 비롯한 최신 브라우저에 기본으로 내장되어 있습니다. 물론 IE6에는 없습니다. 사실 그 버전이 나올때는 피싱 이라는 단어 자체가 존재도 안하던 시절입니다. No IE6를 개발자만 편하자고 외치는게 아닙니다. 제발 새 버전 까세요.