크롬 신한카드 결제 플러그인의 화상 키보드가 너무 불편함

최근에 금융권이 전체적으로 액티브X를 없앤다고 떠들어 대더니, 그 대신 기존에 액티브X로 되어 있던 플러그인이 모두 윈도우 실행파일(exe 파일)로 바뀐 채로 다 재설치되었다.

구글 크롬 브라우저를 통해서 옥션에서 물건을 구매하려고 신한카드 결제를 선택했더니, 역시나 키보드 보안 프로그램이 설치가 되었다. 그런데 공인인증서 비밀번호를 입력하려고 보니 사용자 PC의 물리적 키보드를 쓰지 못하게 막아 버리고, 자신들의 화상 키보드 프로그램을 통해서만 비밀번호 입력이 가능하게 만들어 놓았다. 아래 화면처럼 바뀌었다:

(공인인증서 비밀번호 입력 시 물리적 키보드를 막아 버리고,

반드시 화상 키보드만 쓰도록 강제하는 화면)

위의 화상 키보드 프로그램은 종료할 수도 없고, 반드시 마우스로 하나씩 클릭해야만 입력되며, 크기도 작아서 누르기도 힘들다. 쉬프트(Shift) 키는 한번 누르면 끝까지 눌러져 있어서 대소문자가 섞인 비밀번호를 입력할 때에는 보통 성가신 일이 아니다.

나는 진심으로 저런 키보드 보안 프로그램이 쓰기 싫은데, 옵션으로 켜고 끄지도 못하고 강제로 화상 키보드로만 입력하게 해 놓았다. 이제 앞으로는 공인인증서를 쓸 때마다 저 불편하고 조잡한 화상 키보드만 쓰게 생겼다.

이런 것들을 덕지덕지 설치한다고 진정 보안이 더 나아지는지 의심스럽다. 오히려 화면 위에 마우스 포인터로 일일이 비밀번호를 한개씩 누르는 동안 뒤에 서 있는 사람이 내 비밀번호를 알아낼 확률만 더 높아졌다. 극단적인 상황으로 갈 경우, 컴퓨터 화면 영상을 캡처하는 해킹 툴이 내가 마우스로 한 글자씩 꾹꾹 클릭하는 장면을 지켜보면서 비밀번호를 알아낼 가능성도 생겼다.

오히려 금융기관 서버 자체가 해킹 피해를 당해서 대규모 개인정보가 유출되는 사고가 훨씬 더 위험하기 때문에 각 금융기관 서버의 보안 시스템을 철저하게 할 필요가 있는데, 국민/롯데/농협의 대규모 개인정보 유출 사태, 농협 해킹 사건이 최근에 계속 일어나는 것을 보면 자기네들 서버도 제대로 신경쓰지 못하는 것 같다.

결국 자기네들 안방도 제대로 지키지 못하면서, 고객들의 PC에서 일어나는 보안사고를 방지한다는 명목으로 별 도움도 안되고 불편하기 짝이 없는 플러그인을 덕지덕지 설치하는 오지랖을 피우는 꼴이다. 미국/유럽의 잘 나가는 은행이나 결제 업체, 카드사, 쇼핑몰은 기술력이 없거나 바보라서 저런 플러그인을 안 쓰는 줄 아는가?

이번에 액티브X 플러그인을 모두 실행파일로 바꾸면서 애플 iOS, 리눅스 계열에서도 쓸 수 있게 만든 그 수고에 대해서는, 오직 그 엄청난 포팅 작업을 감당해야 했던 개발자들에게만 위로할 거리가 될 뿐이다. 이런 온갖 플러그인을 없애면 안된다는 강박관념에 사로잡힌 정부의 결단이 아쉬울 따름이다.

그 이면에는 어쩌면 금융 결제와 관련된 모듈을 제공하는 업체들의 협박에 가까운 광고(이런 것들 안 써서 보안사고가 발생할 경우에 대해 설명하면서, 위와 같이 조악한 온갖 모듈들을 걷어내지 못하도록 잘 모르는 정부 고위 관계자들에게 강요할 것이다)가 정부에 영향을 미쳤을 지도 모르겠다.

다시 한번 말하지만, 세계적으로 잘 나가는 페이팔(PayPal) 같은 회사는 왜 키보드 보안 모듈, 화상 키보드 따위를 쓰지 않고도 보안사고로 인해 무너지기는 커녕 엄청나게 성장하고 있는지 금융감독원, 금융결제원, 미래부에서는 조사해 보고 생각해 봤으면 좋겠다.

만약 국내 법에 문제가 있다면 고객의 PC에서 일어나는 해킹 사고에 대한 책임소재를 명확하게 정의하는 방향으로 해결해야 한다고 생각한다. 고객의 PC에서 일어나는 보안사고에 대해서는 고객이 책임을 지되, 웹페이지에 입력되고 난 정보가 네트워크를 통해서 전송되는 시점부터는 금융기관이 책임을 지도록 하면 된다. 고객의 PC에는 어차피 자체 백신과 방화벽을 통해서 PC를 보호하지 않으면 위의 조잡한 플러그인 100개를 설치한다고 해도 다 쓸데없는 짓이라는 사실을 알아야 한다.

작년에 자주 언급되던 "천송이 코트" 문제의 본질을 해결하고 싶으면 보안을 해주는 척 하지만 실상은 큰 도움이 안되고 불편하기 짝이 없는 플러그인들을 걷어 내고, HTML5를 비롯한 표준을 활용한 클라이언트 보안과 함께 서버의 보안 수준을 높이는 데 역량을 집중했으면 좋겠다.