소프트웨어 온라인 쇼핑... 액티브X 사라진다?
2015.03.23 13:15
내달 美아마존처럼 보안프로그램 필요없는 간편결제도
(서울=연합뉴스) 김태종 김동호 기자 = 이달 말부터 온라인 쇼핑시 신속한 결제의 걸림돌이 됐던 보안프로그램 액티브X(Active-X)가 완전히 없어진다.
또 내달 말부터는 미국 페이팔이나 아마존과 같은 방식으로 전자상거래에서 카드 결제를 할 경우에 보안프로그램이 아예 필요없는 간편결제를 할 수 있게 된다.
23일 카드업계 등에 따르면 신한·현대·롯데·삼성·하나카드 등 5개 전업계 카드사와 NH농협카드는 26일부터 액티브X를 없애고, 대체 프로그램을 론칭한다.
신한·현대·NH농협카드는 26일 'exe' 방식의 보안프로그램을 시행한다. 롯데카드는 28일, 삼성과 하나카드도 각각 30일 액티브X 대체 프로그램을 내놓는다.
작년 12월과 2월 BC카드와 롯데, 우리카드가 이를 우선 시행한 데 이어 이제 모든 전자상거래상에서 액티브X가 사라지게 됐다.
액티브X는 인터넷 익스플로러(IE)에서만 내려받을 수 있는 보안프로그램으로, IE를 많이 사용하는 국내에서만 유독 표준화돼 대표적인 규제로 꼽혀 왔다.
'exe' 방식의 프로그램은 한 번 내려받으면 인터넷 익스플로러 외에 크롬이나 사파리 등 다른 브라우저를 사용시 따로 보안프로그램을 내려받지 않아도 된다.
액티브X가 IE에서만 가능해 브라우저가 바뀔 때마다 보안프로그램을 내려받아야 하는 불편함이 없어지는 것이다.
또 이용자의 컴퓨터 운영체제(OS)가 윈도가 아니라 리눅스 등 다른 OS라고 하더라도 한 번만 다운로드를 받으면 된다.
카드사들은 액티브X 폐지에 이어 내달부터는 보안프로그램이 아예 필요없이 아이디(ID)와 패스워드(PW)만으로 결제 가능한 간편결제를 시작한다.
카드사들은 지난해 말부터 ID·PW만으로 신용카드 결제를 할 수 있는 서비스를 해오고 있는데, 여기에는 액티브X 등의 보안프로그램을 내려받아야 한다.
그러나 내달부터는 이 마저도 필요없게 되는 것이다.
이렇게 되면 미국의 페이팔이나 아마존과 같이 보안프로그램이 필요없는 똑같은 형태의 간편결제가 우리나라 쇼핑몰에서도 실현된다.
삼성카드는 오는 30일 액티브엑스 대체 보안프로그램 시행과 함께 삼성카드로 결제 가능한 모든 가맹점에서 이 프로그램조차도 필요없는 간편결제를 시작한다.
신한·KB국민·현대·롯데 등도 내달 중 서비스 개시를 위해 대형 가맹점을 중심으로 협의를 진행 중에 있다. .
업계 관계자는 "그동안 온라인 쇼핑몰을 이용할 때에 번거로웠던 액티브X가 사라지면서 외국의 쇼핑몰과 같이 결제가 가능하게 된다"며 "고객들이 한층 간편하고 안전하게 카드결제를 할 수 있도록 만반의 준비를 할 계획"이라고 말했다.
==========
대체 어디가 아마존을 따라한다는 건지..
댓글 [13]
-
himin 2015.03.23 13:38 -
오늘을사는자 2015.03.23 14:18
일단 없어 진다니 환영할만한 일이지만 보안 문제에 대해 잘 대처하기를... 한국하면 안전.보안은 늘 뒷 전이었던 ㅜㅜ
-
번개 2015.03.23 14:21
액티브 X 없애고, EXE 배포한다는데 어떤 대가리에서 저런 생각이 나온걸까요.... 입을 찢어버리고 싶네요
-
야크 2015.03.23 14:28
그렇군요... 이제 특정 엑티브X가 아닌 EXE 형태의 배포라..
EXE 형태의 설치라면 FAKE 결제 프로그램이 판을 칠 수 있겠네요
-
DarknessAngel 2015.03.23 15:25
진작에 없에야하는데 망할넘들이 인증서 장사할려고 죽어라고 고집하고, 금융기관들에게도 강요해서 이꼴이죠 (...) (쓸떄없는 보안 프로그램 강요하고, 인증서 강요해봤자 이득보는건 이넘들이랑 보안 프로그램 제작사밖에 없음)
애초에 따지고보면 단순히 SSL로 처리해두는게 공인인증서 쓰는거보다 보안적으로 더 낫습니다 (보안 강도 어차피 동일하고, 최저한도로 인증서 탈취는 못하니까요) (랄까 발급된 공인인증서 파일 보면 강도 그렇게 강하게 설정되어있지도 않음)
-
방법은포맷 2015.03.23 16:03
그냥 병신같은 뻘짓거리이자 어느놈 주머니에 떡고물 넣어주기이니 관심끄는게 좋..
-
빠른PC 2015.03.23 23:04
exe 프로그램이라는 것은 일반 응용프로그램이란 뜻입니다.
따라서 그것은 웹브라우져를 통한 통신이 아니라, 게임처럼 별도의 클라이언트가 서버에 접속하는 형태가 될 것 같습니다.
어짜피 게임도 패치가 되듯이, 결제프로그램도 계속 패치가 될 겁니다.
그리고 패치될때마다 번거롭게 [확인] 버튼을 눌러야 겠죠.
한국은 왜 이런식인가 하면, 기술력이 딸리기 때문입니다.
웹브라우져만으로 보안이 충분한 통신을 할 기술이 없습니다.
-
메리아 2015.03.24 13:26
뭔가 잘못알고 계신거 같네요.
딱히 기술력이 딸려서가 아니라 오히려 '쓸데없이(?) 고도화' 되어있기 때문입니다.
'구식'은 액티브X이지, 거기서 작성하는 프로그램 자체의 내용은 상당히 고도의 보안입니다.
전 세계에서도 2048비트 인증보안 하는 곳은 많지 않습니다.
그런걸 억지로 우겨넣으려다보니 이런 사단이 난거죠.
정확하게는 한국에서는 일찌기 정부정책으로 IMF조기탈출과 경제 활성화의 대안 중 하나로 IT활성화를 시도했는데,
당시 SSL도 태동기였고, 당장 믿을만한 보안방법이 없었기에,
당시에는 흔한 기술이었던, 액티브X를 이용한 공인인증서를 개발하게 된겁니다.
문제는 여기서 끝냈으면 되는데,
진짜 솔직하게 까고 말해서 '미개한 한국인'들이
'ㅅㅂ 닥치고 다 책임져라. 무조건 정부 은행 니들이 다 책임져라.'는 풍토가 정착되기 시작한게 진짜 악수였습니다.
일단 공인인증서로만 끝냈으면, 지금쯤 액티브X는 확실하게 버리고 외국식으로 갔을지도 모릅니다.
왜 '정부와 은행과 쇼핑몰이 다 책임져라'는 말이 나쁜거냐면,
'그래, 책임질게. 대신 우리가 시키는 대로 해라.' 이런식이 되기 때문입니다.
그놈의 '책임'을 지기 위해서 각종 보안프로그램을 집어넣은겁니다.
솔직히 입장바꿔 생각해보면,
사용자가 엉뚱한데서 바이러스 걸려서 지가 개인정보 비밀번호 털리고,
그걸로 도둑놈들이 돈을 빼갔으면, 그게 누구 책임인가요?
사용자 책임인게 당연한거 아닌가요?
비밀번호를 사용자가 바이러스걸려서 털렸는데, 왜 그걸 은행이 책임져야하나요?
하지만 십수 년 전 한국에서는 그걸 은행더러 책임지라고 난리칠 상황이었습니다.
새로 도입하는 IT 시스템인데 엉뚱하게도 서버가 취약한게 아니라, 사용자가 취약한게 문제라,
각종 보안사고로 골머리 앓을 상황이었습니다.
그래서 AX 사용에 있어 '이왕 이런 기술 쓰는김에 보안프로그램도 깔아버리자'는 생각들을 하게 되었고,
그대로 시행되어 지금에 이른겁니다.
아무리 은행이 잘해도 사용자가 비번을 유출시키면 은행은 방법이 없습니다. 그래서 보안카드 OTP까지 따로 제공하는겁니다.
근데 보안카드를 스캔해서 저장해두었다가 털리는 우스운 일도 발생하죠. 그러지 말라고 따로 만들어준건데... ㅡㅡ;;
문제는 그 보안프로그램 까는게 갈수록 살이붙고 많아지고 이해관계가 얽히고 섥히고 하다보니,
'미개한 사용자'는 AX만 보면 무작정 Yes 눌러대는 통에 안전이 확보되지 않는 사이트에서도 'Yes맨'이 되어,
거꾸로 바이러스와 악성코드를 손쉽게 불러들이게 되었고,
그럴수록 보안프로그램은 더 늘어나며 악순환이 계속 되어 온겁니다. 물론 공인인증서도 계속 비트수 올려가며 고도화 됐죠.
AX를 욕하는게 그냥 구식이어서가 아니라,
그 exe파일을 손쉽게 실행할 수 있는게 문제인겁니다.
이건 장점이기도 합니다. 온라인게임사이트 가면 로그인하고 거기서 시작버튼만 클릭하면 게임이 실행되는게 AX덕분이죠.
당연히 바이러스와 악성코드가 난무하기도 좋은 단점이기도 하구요.
'외국은 SSL로 잘만 하는데 왜 우리만 이러냐'고 쏘아대는게 바보같은 소리인게 이런 이유입니다.
이미 한국도 SSL은 쓰고 있고, 공인인증서가 추가로 쓰입니다.
근데 이 SSL이건 공인인증서 프로그램이건 이것들이 하는 역할은 '패킷을 가로채는' 공격을 막는 용도로만 쓰입니다.
비유하자면 이것들은 '은행현금수송차량'에 해당되는겁니다.
'수송중에' 내용물을 보호할뿐, 그걸 은행에서 주기전에 혹은 받은 후에 관리 못하면 무용지물인겁니다.
중요한건 바로 '사용자의 ID,비번,개인정보'를 입력하는 순간입니다.
이 순간을 스스로 지키지 못하면, SSL이고 공인인증서고 전혀 관계가 없습니다.
한국에서는 이걸 털리지 말라고 보안프로그램을 깔아주는겁니다. 털리고 나서 사용자가 난리칠게 뻔하고 소송으로 몸살을 앓게 되니까요.
어떤 사람들은 공인인증서,보안프로그램이 사용자에게 책임을 떠넘기기 위해(?) 있는거라고 욕하는데,
애초에 사용자의 책임인데 떠넘기고 자시고 할것도 없습니다.
그래서 외국에서는 '그건 니 책임 ㅋ' 이라는 게 기본마인드입니다....만, 거기서도 '미개한' 인간은 많아서 책임지라고 난리치는 인간은 많죠.
하지만 위에서도 말했듯 사용자가 털렸는데 왜 물어주냐?는게 논리적으로도 당연하고 명백한 상황이기에, 보통은 묵살됩니다.
다만, 역시 외국에서도 송사는 귀찮은 노릇이기에 '규모의 경제' 개념으로 보상해주는 일도 많습니다.
아마존이나 외국 쇼핑몰에서 배송못받았다고 하면 같은걸 통크게 다시 배송해주는걸 악용해서 받아놓고 못받았다고 우겨 더 받아내는 한국인들 때문에, 한국을 블랙리스트 먹였다는 기사 보셨죠? 그것도 규모의 경제 개념입니다.
그런것 때문에 외국에서는 큰 문제가 안되는거지,
은행측의 서버가 털린게 입증되지 않은 이상은 기본적으로 배상,보상 책임은 없습니다. 사실 그게 너무 당연한거구요.
소송으로 가면 거의 사용자가 집니다. 논리적으로 은행측 과실을 입증할 수가 없는게 당연하거든요.
한국에서도 은행에서 털린게 입증된 사례는 거의 없습니다.
은행이 깡패라 그런게 아니라, 실제로 공인인증서나 보안카드 관리 소홀로 털린게 대부분이라는거죠.
물론 그게 없으면 털릴일도 없지 않느냐 싶지만,
그럼 남은건 '비밀번호'밖에 없습니다.
그 비밀번호가 털리면? 그냥 그대로 끝장나는거죠. 매일같이 수만건이상은 유출사고가 발생할겁니다.
물론 외국도 같은 조건이지만, 위에서 말했듯 책임은 사용자에게 있는거고,
외국은 주로 OTP 개념으로 갑니다.
우리가 쓰는 OTP도 있구요, 초보적이지만 쓸만한 OTP도 있습니다.
비밀번호가 123456789 라면 *□□□**□□* 의 빈칸을 채우라는 식이죠.
사실 보안카드에서도 이런개념의 초보 OTP가 정착된 상황이구요.
(근데 말했다시피 보안카드 스캔해서 저장하면 무용지물... ㅡㅡ;;)
근데 이런것도 키로거바이러스 같은거에 걸려있으면,
아무소용없습니다. 입력되는거 모두 조합하다보면, 원래 비번이 나올수밖에 없죠.
그러니 아예 따로 쓰는 기계 OTP 정도 말고는 답이 없는셈이 되죠.
아니면 반드시 '마우스입력'을 사용하거나요.
결국 조심하고 책임져야할 건 '사용자 본인' 이라는 결론으로 회귀하게 되는겁니다.
정부는 방식을 바꾸면서 이것에 대한 계몽과 홍보에 주력해야합니다.
사용자가 조심하지 않는 이상은 결코 답이 나오지 않습니다.
지금도 무조건 정부와 은행에게만 성토하고 있는데,
바이러스와 악성코드의 온상은 정부와 은행이 아니라
사용자들이 악성사이트에 방문하고 다운받은 파일들입니다.
우리 사용자들이 스스로 이런것에 대한 보안을 책임지자는 여론을 만들지 못하면,
이 문제는 영원히 해결되지 않습니다.
-
빠른PC 2015.03.24 18:27
'결국 조심하고 책임져야할 건 '사용자 본인' 이라는 결론으로 회귀하게 되는겁니다.
정부는 방식을 바꾸면서 이것에 대한 계몽과 홍보에 주력해야합니다.
사용자가 조심하지 않는 이상은 결코 답이 나오지 않습니다.'
=>문제의 본질을 흐리지 마세요.
님이 한 이야기는 책임에 관한 문제인데, 응용프로그램이든 웹프로그램이든 어짜피 그 문제는 피할 수 없습니다.
피할 수 없는 문제라면 굳이 응용프로그램을 깔 필요가 없습니다.
응용프로그램을 깐다고 해결되는 문제가 아니니까요.
결론은 기술력이 부족한 것입니다.
-
기승전결 2015.07.15 10:18
누나컴에 바이러스나, 액티브 찌거기가... 득실한데 설치된 것들 지우면 또 귀찮게 설치 해야된다고 짜증냄 그래서 늘 불안함요...
백신이 바이러스 사이트니깐 위험하다는데 친히 백신을 끄고 들어간 경우도 많음...진짜 정부에서 계몽과 홍보가 절실함...전단지라도 각 가정에 뿌리거나 다운받아서 볼 수 있게 잘 설명된 있는 문서 내려 받게 했으면...
그리고... 사십중반 ~칠십대 분들은 설명해도 ㅠ 보이스피싱에 노출되는건 필연적이고...-_- 젊은 사람들 부터라도 지금 이라도 바로 알려야 된다고 봄
-
슈퍼맨 2015.03.24 04:09
기자맘대로 대충쓴것같네요.. 통합적으로 설치가 단순화 되긴하겠네요 엑티브엑스보다 그냥 덜 꼬이는정도로 만족해야죠머
-
RURUTEAM 2015.03.24 11:58
전 정말 이해가 안되는게 설치... 보안... 또 설치... 그리고 보안... 이짓을 하면 뭐 합니까.
제 주민등록번호는 수십번 털렸는데...
쇼핑몰보다 더 헬게이트는 관공서... 관세청 홈피 들어가서 가입하고 뭐하니 엑티브만 8개 정도 설치 한것 같더군요.
-
쥐띠 2015.03.24 12:24
뭐 더 이상 털릴 것도 없는데 바꾸고 자시고... 뭘 또 설치하려는지 의도 자체가 의심스러워지는 현실이 슬프네요.
설치프로그램을 다운받아야 한다는거 자체가 이미 아마존과는 다른 방식이라는걸.. 왜 모를까요..