본문 바로가기

블로그 Network

액티브엑스 설치가 필요 없도록 2018년 법제도 개선 추진하는 이유는?

반응형

나는 액티브엑스(Active-X)입니다. 그동안 온 국민의 원성을 한몸에 받아온 지 십수년 째. ‘악(惡)티브엑스’라 부르는 사람도 있을 정도니 말 다했지요. 이제 정말 마지막 인사를 하려고 합니다. 후보 시절부터 나를 없애겠다고 공언한 대통령이 최근 청와대 수석·보좌관 회의에서 '공공웹사이트를 이용할 때 액티브엑스 설치가 필요 없도록 2018년 내 법제도 개선을 추진하라'며 다시 한 번 쐐기를 박았기 때문입니다. 당장 내년 1월부터 국세청 홈페이지를 통해 연말정산 서비스를 받을 때 액티브엑스를 설치하지 않아도 되게 만들어주겠다고 말입니다.





◇콘텐츠 보급 기여자에서 애물단지로 전락=마이크로소프트(MS)의 웹브라우저 인터넷익스플로러(IE)에 특화된 플러그인(plugin) 기술인 내가 대한민국 IT영토를 처음 밟은 것은 1996년. 플러그인이란, 웹브라우저에서 텍스트뿐 아니라 전자서명, 키보드 보안, 음악 재생 등을 이용할 수 있게 해주는 일을 합니다. 아는 사람들은 알겠지만 내가 처음부터 애물단지 취급을 당한 것은 아닙니다. 웹브라우저가 할 수 없는 다양한 일들을 해냈죠. 예컨대 특정 사이트에 로그인하기 위해서 보안 프로그램을 설치해야 할 때 그 일을 도맡았습니다. 사람들은 내가 깔아주는 응용프로그램을 통해 콘텐츠를 편리하게 이용할 수 있다는 사실을 알게 되면서 앞다퉈 나를 찾았습니다. 음악을 듣고 인터넷뱅킹을 이용하고 물건을 사는 일 등에 쓰였습니다. 대한민국은 다른 나라와 달리 MS 익스플로러 점유율이 90%가 넘는 곳이었기 때문에 개발자들도 나를 무척 좋아할 수밖에 없었고요.



공인인증서도 마찬가지입니다. 나는 공인인증서를 대중화시켰다는 점에서 보안업계에서 한때 '효자'라는 칭송까지 받았습니다. 하지만 결과적으로는 MS에 대한 종속 구조를 심화시켰고 이용자들의 선택권을 제한했다는 비난을 받게 됐습니다. 실제 내가 이 땅에 나타난 후 개발자들이 만든 사이트는 IE에서 작동하는 액티브엑스를 활용한 것들이 대부분이었습니다. 사람들은 인터넷뱅킹을 이용할 때마다 알지도 못하는 각종 플러그인을 우르르 다운받게 되면서 설치 오류나 악성코드 전염 등의 부작용에 시달린다는 호소를 하기 시작했고요. 파이어폭스나 구글 브라우저 이용자들은 금융거래나 전자민원 서비스를 이용하지 못하는 상황이 초래됐습니다. 원성은 날이 갈수록 높아졌죠.



제일 큰 문제는 안전성이었습니다. 악의적으로 나를 이용하려는 이들이 늘어나면서 보안 문제가 대두됐습니다. 각종 악성코드가 숨어들어 올 수 있는 경로로 악용된 것이죠. 액티브엑스를 이용해 PC에 악성코드를 심는 일이 비일비재해지면서 악성코드의 온상 취급을 당했습니다. '이 웹사이트에서 XXX에서 배포한 XXX 추가 기능을 설치하려고 합니다. 이 웹사이트와 추가 기능을 신뢰할 수 있고 설치를 원할 경우 여기를 클릭하십시오'와 같은 문구로 현혹하고서는 악성코드를 유포하는 해커들이 득세했습니다. 구글은 물론 MS조차 액티브엑스 지원을 끊게 된 이유입니다.




급기야 지금 세상의 인터넷 환경과도 어울리지 않는다는 비난이 터졌습니다. 3년 전 '천송이 코트' 논란을 기억할 겁니다. 해외 소비자들이 국내 온라인 쇼핑몰에서 결제할 때 액티브엑스로 만든 보안 프로그램을 설치해야 하는 경우가 많아 불편을 호소했다는 얘기로 촉발된 이 논란은 액티브엑스가 국내 기업들의 수출 길까지 막는다는 비난으로 확대됐습니다. 실제 아마존이나 이베이 등 웹 표준 암호화 방식을 따른 해외 쇼핑사이트는 액티브엑스 없이 아이디와 카드번호 등만 있으면 누구든 결제를 할 수 있습니다. 콘텐츠의 확산을 위해 태어났던 나는 결국 콘텐츠의 소비를 방해하는 악의 축으로 전락했습니다.



천송이 코트 논란으로 2014년 8월 금융위원회는 전자상거래 시 30만원 이상 카드로 결제할 경우 공인인증서 의무사용을 폐지한다는 결정을 내렸습니다. 특정 운영체제에 종속되지 않게 하기 위해 액티브엑스 플러그인 방식으로 제공하던 공인인증서 발급 및 이용을 웹 표준 방식으로 개선키로 의견을 모았죠. 이후 2015년 3월 인터넷뱅킹 공인인증서 의무사용이 폐지됐고 2016년 말 시중은행권이 웹 표준 방식의 공인인증서를 채택하기 시작했습니다. 대한민국 정부는 액티브엑스 없이 공인인증서를 사용할 수 있도록 웹 표준(HTML5) 방식을 확산해 나가면서 2020년까지 공공분야의 모든 웹사이트에서 나를 퇴출하겠다는 목표를 세웠습니다.



◇갈 길은 멀지만 대세는 웹 표준==액티브엑스 철퇴 목소리가 높아지면서 함께 거론되는 기술인 EXE 역시 나와 운명을 함께 할 것으로 보입니다. 이번 정부는 액티브엑스나 EXE 등 어떤 것도 PC에 깔리지 않는 노 플러그인(No Plug-in) 환경을 만들겠다고 약속했기 때문인데요. EXE 실행파일은 IE뿐 아니라 크롬, 사파리 등 다양한 종류의 브라우저에서 작동합니다. 이 방식은 이전 정부에서 액티브X의 대체기술로 추진돼왔지만, PC에 파일을 따로 설치해야 한다는 불편함과 보안에 대한 취약성 등이 액티브엑스와 다를 게 없죠. 사이버 공격자들이 유사 실행파일 형태로 악성 프로그램을 만들어 배포할 경우 속수무책으로 당할 수밖에 없다는 점도 나와 공통점입니다.


결국 웹 표준 규격인 HTML5 방식으로 가는 것 외에 대안이 없습니다. 웹 표준 방식은 액티브엑스나 EXE 실행파일 방식과 달리 이용자가 별도 파일을 설치할 필요가 없어 편리하고 보안성 면에서도 상대적으로 뛰어납니다. IE는 물론 크롬, 파이어폭스 등 다양한 웹브라우저에서 구동되죠. 하지만 아직 이 방식만 쓰기에는 무리가 있다는 것이 전문가들의 조언입니다. 우리가 단순히 홈페이지를 열람하는 것은 문제가 없지만 '보안 3종 세트'라 불리는 백신, 키보드 보안, 방화벽을 구동할 때 실행파일 방식을 통하지 않고서는 보안 측면에서 불안감이 존재한다는 것이죠.



하지만 대세를 거스르기는 쉽지 않을 겁니다. 우리의 삶을 파고드는 것은 PC가 아닌 모바일이 된 지 오래입니다. 그리고 점차 액티브엑스를 대체해 보안의 역할을 할 수 있는 기술들이 속속 나오고 있습니다. 생체인증 기술이 대표적입니다. 제 모습도 서서히 사라져가고 있습니다. 한국인터넷진흥원(KISA)에 따르면 민간 100대 웹사이트 기준 액티브엑스 개수는 2014년 1644개에서 2016년 358개로 78%가량 제거된 상태라고 합니다. 혹자는 나의 생애를 통해 한 가지 크게 배운 점이 있다고 말합니다. 정부가 특정 기술을 가이드할 때의 위험성에 대해 말입니다. 나를 활용해 공인인증서를 전파할 당시 획일화된 방법이 아닌 자율적인 판단에 따른 선택권을 민간에 줬다면 지금의 상황은 달라지지 않았을까라는 생각도 든다고 말이죠.

반응형