인증서 없이 결제 범위 초과... 금감원, 애플스토어 조사

먼저 원본 주소를 링크해 둡니다.

http://www.hankyung.com/news/app/newsview.php?aid=2013100841801&meun=&nid=realtime

이제 해당 기사의 본문입니다.

금융감독원이 애플스토어 등의 전자금융감독규정 위반 실태를 파악하고 대응 방안을 검토 중이다. 해당 회사의 웹사이트가 공인인증서 없이 30만원 이상 전자결제를 허용해온 게 현행 규정을 위반하는 내용이기 때문이다. 

8일 금감원에 따르면 한국애플스토어, 한국마이크로소프트스토어, 한국철도공사의 ‘코레일톡’ 애플리케이션 등은 전자금융 결제 시 공인인증서 없이 30만원 이상 결제를 허용하고 있다. 이는 현행 전자금융감독규정 시행세칙 제4조 위반이다. 

실제 한국애플스토어는 인터넷익스플로러에서는 공인인증서에 기반한 안전결제 시스템을 갖추고 있지만 구글 크롬이나 사파리, 맥 컴퓨터 OS에서는 신용카드번호와 카드유효기간 비밀번호 등의 정보만 입력하면 결제가 된다. 이 밖에 한국마이크로소프트스토어나 한국어도비스토어, 코레일톡은 공인인증서 없이 얼마든지 결제가 가능한 상황이다. 

송현 금감원 IT감독국장은 “해당 회사들의 위반 현황을 파악 중이고 어떻게 대응할지는 검토하고 있다”고 말했다. 

관건은 금감원이 이번 위반 상황에 대해 규정의 잣대를 어디까지 확대하느냐다. 현행법상 규정을 위반한 당사자는 전자금융 결제대행사인 KG이니시스 등이다. 하지만 이 같은 규정 위반 사실을 알고도 해당 사이트를 운영한 애플코리아 등 해당 회사와 공인인증서 없이 30만원 이상의 결제를 허용한 카드사에도 책임을 물어야 한다는 지적이 제기된다.

허란 기자 why@hankyung.com 

국내에 애플 제품에 대한 소요가 많이 증가한 모양입니다.

지금까지 손대지 않던 애플스토어를 조사한다니요?

제가 보기에는 "이제 애플도 돈되니까 뜯어먹어야 할 때가 온 것 같다"로 보이는 군요.

사실 국내에서 남발하고 있는 공인인증서는 웹표준에서 인식이 불가능한 시스템입니다.

웹표준의 기술이 부족해서 인식이 부족한 것이 아니라, 웹표준을 따르지 않고 한국식으로 개발된 시스템이기 때문이죠.

엑티브엑스와 젝큐어웹 같은 개인 PC의 보안을 위협하는 각종 프로그램을 설치한 후에서야 공인인증서는 웹브라우저에서 인식을 하게 됩니다.

사실 웹표준을 따랐다면 덕지덕지 설치할 프로그램이 없죠.

엑티브엑스와 젝큐어웹이 왜 개인 PC 보안에 악영향을 미친다는 거냐?

저 프로그램들은 PC의 기본 보안등급을 낮추어야만 비로소 설치가 가능하다는 점, 가상메모리가 아닌 실질적으로 PC를 통제할 권리를 주어야 한다는 점에서 이미 개인 PC는 시작부터 보안에서 벗어나게 됩니다.

안드로이드 계열 스마트폰에서도 저런 앱이 있다는 군요.

은행앱으로 기억하는 데, 설치하려면 스마트폰의 보안등급을 해제하라는 권유가 나옵니다.

보안 프로그램 설치를 위해서 자신의 보안을 해제한다?

앞뒤가 전혀 맞지 않죠. 해커나 불순한 의도를 지닌 사람이 엑티브엑스와 젝큐어웹에 악성코드를 심어놓으면 무방비한 개인 PC에 아주 쉽게 침투하기 쉬워지는 것입니다.

오히려 이런 국내 시스템을 사용하지 않고, 웹표준을 지키는 업체에게 상을 주어야 맞는 것 아닌가요?

개인 PC를 좀비 PC로 전염시킬 수 있는 아주 위험한 시스템을 법으로 정당화 시키고, 어길 시 조사 들어가는 게 말이 될까요?

애플코리아 공식홈페이지에서 제품을 구입해보면 2013년 3월부터 카드사 무이자 결제가 되지 않는다고 뜹니다.

이것은 국내에서 법으로 규정하고 있는 공인인증 시스템을 사용하지 않기 때문에 나오는 것으로, 해당 회사 "고립시키기"로 구매자들에게 부담을 주어 해당 제품을 구매하지 못하도록 이끄는 음모론으로도 볼 수 있습니다.

금감원은 공인인증서 사용을 강요하고 위반 업체를 벌하기에 앞서, 엑티브엑스와 젝큐어웹 같은 불량 프로그램 설치 없이 웹브라우저가 국내 공인인증서를 인식할 수 있도록 바꾸어야 할 것입니다.

참고하실 수 있는 글 1: http://minix.tistory.com/429 (젝큐어웹, XecureWeb과 초토화된 한국 보안)

참고하실 수 있는 글 2: http://noactivex.net (엑티브엑스 폐지 서명 운동)