(조세금융신문=김필주 기자) 인터넷에서 은행·증권사 등 금융기관이나 대법원 · 국세청 등 정부기관에 접속해 업무를 보거나 홈쇼핑 · 온라인몰 등에서 전자상거래를 할 때 누구나 한 번쯤은 ‘○○○에서 배포한 ○○○추가기능을 설치하려 합니다’라는 팝업창을 경험했을 것이다.

해당 팝업창에서 ‘예(Yes)’ 버튼을 누르는 순간 정체를 알 수 없는 프로그램들이 설치되기 시작하는데 이러한 추가 프로그램이 액티브엑스(ActiveX)다.

20대 대선이 얼마 안 남은 시점 야당 대통령 후보들은 액티브엑스 폐지를 주요 공약으로 발표했다. 지난 2012년 대선 때도 야당 후보들은 액티브엑스 폐지를 공약으로 내세운 바 있다.

특히 한 후보는 “불필요한 인증절차를 과감하게 없애겠다. 정부가 관리하는 모든 사이트에서 액티브엑스를 없애고 새로 제작하는 정부 · 공공사이트는 예외 없이 노플러그인(No-plugin) 정책을 실시하겠다”고 약속했다.

또 지난 2014년 3월경 박근혜 전 대통령은 중국 내에서 한류 열풍을 일으켰던 드라마 여주인공이 극중에서 입었던 ‘천송이 코트’를 중국 소비자들이 사고 싶어도 못산다고 언급하며 액티브엑스 기반의 공인인증서 폐지를 주문하기도 했다.

‘액티브엑스’의 정의와 장 · 단점은?

액티브엑스는 마이크로소프트 윈도우(Microsoft Windows) 환경에서 인터넷을 통해 다운 받은 내용을 쉽게 이용할 수 있도록 마이크로소프트사에서 개발한 소프트웨어 프레임워크로 인터넷 익스플로러(Internet Explorer 이하 ‘IE’) 브라우저를 위해 고안됐다.

IE 추가프로그램인 엑티브엑스를 설치하면 기존의 응용 프로그램으로 작성된 문서 등을 웹과 연결시켜 사용할 수 있다. 일반적으로 액티브엑스가 필요한 페이지에 접속하면 자동으로 다운로드돼 설치된다.

액티브엑스의 가장 큰 장점은 서비스 제공자의 편의성이 매우 높다는 것이다. 액티브엑스가 설치되면 사용자 PC에서 이를 실행하는 것만으로 손쉽게 웹사이트와 기능이 연동되며, 웹사이트 쪽에서 사용자 컴퓨터 기능을 쉽게 제어할 수 있다.

또한 여러 가지 액티브엑스를 통해 웹사이트 기능을 거의 제한 없이 확장할 수 있다. 각종 다운로드 서비스, 게임 실행, 음악 재생 등 다양한 서비스 · 프로그램을 사용자의 인지 없이 웹페이지 접속만으로 실행할 수 있다.

전문가들은 인터넷 활성기인 1990년대에 액티브엑스가 없었다면 이처럼 다양한 서비스는 제공될 수 없었을 것이라는데 공감하고 있다. 다른 프로그램인 자바애플릿이 존재하기는 했지만 자바애플릿의 경우 다운로드 등 서비스 실행 속도가 너무 느려 엑티브엑스와의 경쟁에서 밀려났다.

그렇다면 우리나라를 일약 인터넷 강국으로 떠오르게 한 엑티브엑스가 지금에 와서 골칫거리로 전락한 까닭은 무엇일까?

먼저 사용자 컴퓨터에 직접 설치되는 액티브엑스 특징을 악용해 악성코드를 심거나 개인정보를 유출할 수 있는 등 보안허점이 많다는 게 가장 큰 단점이다. 일단 설치되면 사용자 컴퓨터를 마음대로 주무를 수 있고 설치 시 악성코드 · 바이러스 등이 포함돼 있을 경우에는 인터넷 접속만으로도 온갖 악성프로그램들이 실행되기 때문이다.

신뢰할 수 있는 곳(은행 사이트나 정부 기관 등)에서 만든 액티브엑스라면 악성코드가 나올 가능성이 거의 희박하나, 제작자 · 제작사가 불명이거나 검증되지 않은 액티브엑스도 신뢰할 만한 곳에서 제작한 것처럼 위장 배포된다는 점이 문제다.

전문지식이 없는 대부분 일반인들은 액티브엑스 설치가 필요하다는 안내문구가 나오면 그냥 무의식적으로 ‘예’ 버튼을 눌러 설치한다. 이처럼 무분별한 설치가 악성코드 감염의 첫걸음이다. 습관적으로 설치 버튼을 누르기 전 자신이 신뢰할 수 있는 곳에서 배포한 건지 판단해야 하는데 IT 관련 전문지식이 없는 사용자는 구분하기가 사실상 어렵다.

액티브엑스 자체가 웹을 통해 배포되는 프로그램인 만큼 배포 서버가 바이러스, 해킹 등으로 뚫릴 경우 해당 서비스를 사용하는 PC들에 직접 악성코드를 전파할 수 있다는 구조적인 문제점도 존재한다.

지난 2013년 3월 20일 문화방송, 한국방송공사, YTN 등 주요 방송사와 은행, 카드회사 등의 전산망 마비사태가 이러한 맹점을 잘 이용한 사례다.

액티브엑스는 윈도우와 IE에서만 지원하며 맥, 리눅스 등 타 운영체제나 사파리, 오페라, 크롬 등과 같은 다른 인터넷 브라우저에서는 사용할 수 없다는 것도 단점으로 꼽힌다. 물론 이들 기타 인터넷 브라우저에서도 추가 확장프로그램을 설치하면 사용할 수 있지만 기본적으로는 사용할 수 없도록 돼 있다. 액티브엑스를 주로 사용하는 대한민국 정부 사이트들의 경우 이런 이유로 대부분 IE 외엔 다른 인터넷 브라우저 사용이 불가능하다.

IE라도 해당 버전에 따라 서로 호환이 되지 않고 충돌을 일으키기도 한다. IE의 버전이 높을수록 액티브엑스의 능력을 확장시키기는 커녕 보안 문제와 속도 문제로 오히려 능력은 제한되기 때문에 IE 버전 간 호환성 관련 문제가 발생되고 있다.

예를 들면 인터넷상에서 “Internet Explorer 8(IE8)은 오래된 브라우저입니다. Internet Explorer 10을 설치하세요!” 와 같은 메시지를 보고 IE10을 설치한 후 은행 등 타 사이트를 방문했더니 먹통이 되는 사례가 대표적이다.

또 액티브엑스는 IE에 별도의 프로그램을 추가하는 플러그인(plug-in) 기술이다 보니 많이 설치될 경우 브라우저가 느려진다. 이는 파이어폭스 등 다른 인터넷 브라우저에서 부가기능을 많이 설치할 경우 느려지는 현상과 같다.

문제는 파이어폭스 등 다른 인터넷 브라우저에서는 부가기능 설치가 필수는 아니지만 IE는 국내 웹 환경상 사용을 강요하는 일이 많기 때문에 이것저것 액티브엑스가 설치되고 나면 IE의 속도를 떨어뜨려 사용자들에게 불편함을 제공하는 일이 다반사다.

대한민국 액티브엑스 사용실태

은행 등에서 금융거래시 법적으로 사용하도록 돼있는 공인인증서의 경우 기존에는 무조건 액티브엑스가 사용됐으나 최근 법 개정 등으로 공인인증서 사용 의무화가 폐지돼 그나마 액티브엑스 사용이 조금 감소했다.

공인인증서가 아니더라도 우리나라의 경우 온라인쇼핑몰, 은행, 정부기관 등의 홈페이지에서 아직까지도 액티브엑스를 사용하고 있다. 그나마 대기업이나 거대 은행사이트의 경우 액티브엑스 사용을 줄여나가고 있지만 대다수 중소업체 사이트나 정부기관 등은 아직도 사용 중인 곳이 대다수다.

특히 정부기관들은 여전히 액티브엑스를 많이 사용하고 있다. 지난 3월 16일 국무조정실은 미래창조과학부, 행정자치부와 함께 지난 1월 기준 공공기관사이트를 대상으로 액티브엑스 사용현황 조사 결과를 발표했다.

조사 결과 건강보험공단은 22개, 국세청 홈택스는 19개, 인터넷 우체국은 12개, 민원24는 7개의 액티브엑스를 이용 중인 것으로 파악됐다.

이중 민원24는 무분별한 액티브엑스 설치를 막는 인터넷 브라우저 자체 기능인 액티브엑스 필터링을 해제 조치하라고 안내하고 있어 사실상 설치를 강요하고 있다. 국세청 홈페이지의 경우 환급금 조회나 연말정산 등의 서비스를 이용하기 위해서는 수십 개의 프로그램이 들어있는 통합 액티브엑스를 설치해야 하는 불편함이 존재한다.

이뿐만 아니라 거대 포털사이트·온라인쇼핑몰·게임회사 사이트 등에서는 ▲음악·동영상재생을 위한 멀티미디어 재생 액티브엑스 ▲보안메일 암호화 액티브엑스 ▲다운로드·파일업로드 기능을 갖춘 액티브엑스 ▲전자결제 관련 액티브엑스 ▲게임 설치·실행 액티브엑스 등이 여전히 쓰이고 있는 형편이다.

갈 길이 먼 액티브엑스 폐지…해결 방안은?

지난 2014년 박 전 대통령이 ‘천송이코트’를 언급하며 액티브엑스 폐지를 주문하자 주무기관인 금융위원회는 2015년 2월 액티브엑스를 이용해 설치하던 각종 보안프로그램 의무사용 규정을 폐지했고 같은 해 3월에는 인터넷뱅킹 시 공인인증서 사용의무도 없앴다.

이후 정부는 액티브엑스 대신 ‘exe’라는 새로운 방식을 도입했지만 두 방식은 보안프로그램 등의 설치 시 액티브엑스를 통해 설치하느냐, 직접 다운로드 받아 설치하느냐에서 차이가 날 뿐이다.

한마디로 일일이 설치여부를 묻는 게 아니라 직접 파일을 다운로드받아 사용자 PC에 설치토록 한 것이다. 이 경우 보안문제는 더욱 심각하다는 것이 전문가들 의견이다. 액티브엑스는 설치 시 최소한 인증서 체크라도 하는데 exe방식은 이런 절차 없이 직접 다운로드 받아 설치하므로 제작자들이 프로그램안에 광고성 애드웨어나 바이러스 등을 더욱 쉽게 포함시킬 수 있기 때문이다.

액티브엑스나 exe파일을 설치해야 하는 우리나라와 달리 외국의 아마존, 이베이 등의 쇼핑사이트 이용할 경우에는 간단하게 카드번호와 비밀번호만 입력하면 모든 결제가 완료된다. 추가로 설치해야할 프로그램도 없다.

이 같은 차이는 이들 해외 유명사이트들이 국제적으로 정한 웹 표준 방식을 따르기 때문이다. 카드번호, 계좌번호 등과 같은 정보는 인터넷상에서 암호화시켜야 한다. 이때 사용되는 SSL, HTML5 등과 같은 국제적 표준방식이 있다. 이런 웹 표준 방식들은 최신형 브라우저인 구글 크롬, MS 엣지· IE, 사파리, 파이어폭스 등에는 모두 자체 포함돼 있다.

IT업계는 우리나라의 경우 국제 웹 표준 방식을 따르지 않고 정부가 액티브엑스 등을 통해 자체 제작한 프로그램들을 설치토록 해 문제가 복잡해졌다는 반응이다. 전 세계 IT기업들이 표준방식을 따르는데 비해 우리나라만 자체 고유 방식을 강조하고 관련 법령도 미비해 현재와 같은 상황에 이르렀다는 분석이다.

미국 등 주요 선진국들처럼 모든 보안사고에 대한 책임은 금융기관 등 서비스업체가 물도록 해야 액티브엑스가 사라진다는 의견도 있다. 전문가들은 액티브엑스와 보안인증서가 남발되는 우리나라 인터넷 환경은 서비스를 제공하는 공급자가 아닌 소비자가 보안책임을 져야 하는 잘못된 제도적 관행에서 비롯됐다는 지적도 나온다. 공인인증서 아이디와 패스워드를 도용당해 통장에서 돈이 빠져나가도 모든 책임은 소비자의 몫인 것이다.

반면 아마존 등 해외 유명 서비스 업체들은 고객들에게 액티브엑스 설치 등 보안상 필요한 조치를 강요하지 않고 1~2단계 만에 바로 결제가 가능한 시스템을 구축하고 있다. 모든 보안 관련 사고피해는 이들 서비스 업체가 책임진다. 당연히 자체 보안기술이 엄청나게 발전할 수밖에 없다.

해외와 달리 국내 금융회사 등 서비스 업체들은 이용자에게 보안프로그램을 설치토록 한 정부 정책을 지켰다는 이유만으로 피해보상을 고객에게 미루고 있고 보안회사들의 경우 정부 · 금융회사 사이에서 액티브엑스를 강요하는 보안시스템 구축에만 열을 올리는 형국이다.

이에 따라 허술한 보안으로 인해 발생하는 이용자 피해를 금융회사 등 서비스 제공업체가 책임지게 하는 법적 제도화가 필요하다는 주장이 제기되고 있다. 개인정보 유출, 금융사기 피해 등이 속출해 막대한 소송비용과 손해배상이 줄줄이 발생하면 금융회사 등 서비스 제공업체들이 알아서 보안에 취약한 액티브엑스를 가장 먼저 없애고 보안 강화에 투자를 강화할 것이라는 논리다.

액티브엑스 폐지 노력과 나아가야 할 방향

그동안 유독 우리나라에서만 액티브엑스 사용이 직 · 간접적으로 강요돼 온 것과는 달리 해외 IT업체들은 HTML5, SSL 등 웹 표준방식을 기반으로 보안기술을 개발해 인터넷 강국으로 도약하고 있다.

이러한 가운데 정부도 우리나라 인터넷 환경을 웹 표준에 따르려는 노력을 작게나마 실시하고 있다.

지난 4월 21일 미래창조과학부(이하 ‘미래창조부)와 KISA(한국인터넷진흥연구원)는 ‘액티브엑스-Free’ 환경 구축을 위한 ‘웹 표준 전환 및 웹 선도 기술 · 서비스 개발 지원사업’ 설명회를 가졌다.

이 사업을 통해 국내 중소기업 · 스타트업 기업 웹 사이트 내 잔존 액티브엑스 제거, 실행파일 최소화 추진 등을 지원해 이용자 편의성 위주로 국내 인터넷 환경을 개선해나간다는 계획이다.

KISA 관계자는 “이번 지원사업은 정확히 4가지 지원이 이뤄진다”며 “첫 번째는 웹 표준기술을 개발하는 중소기업 및 스타트업체에 대한 지원이다. 두 번째로는 이러한 웹 표준기술을 바탕으로 4차 산업 등 새로운 사업 분야를 실시하려는 업체들에 대한 지원이 이뤄진다. 이들 업체들이 제안서를 내면 KISA와 미래창조부가 이를 검토해 지원 규모를 결정한다”고 설명했다.

이어 이 관계자는 “세 번째는 IT부문에서 이미 액티브엑스를 사용 중인 중소기업이나 스타트업체들이 이를 웹 표준 방식으로 개선하고자 할 때 이를 지원해주는 것이다. 마지막으로는 액티브엑스 중심의 솔루션 제작 회사들이 웹 표준방식 중심으로 솔루션 소프트웨어를 제작할 경우 이들의 제안서를 검토해 지원한다”고 전했다.

또한 관계자는 액티브엑스 폐지에 대해서는 “우선 가장 큰 문제는 예전 소스를 그대로 사용하고 있는 중소업체들이 많다는 점이다. 이들 업체들의 인터넷 환경을 웹 표준 방식으로 일일이 고칠 경우 들어가는 비용과 소요되는 시간이 만만치 않은 것이 가장 큰 걸림돌이다”라고 말했다.

계속해서 그는 “당장 인터넷 사용 환경을 개선하기엔 무리가 있다. 대기업을 제외하곤 국내 IT기업들의 기술력에도 한계가 있어 중장기적 검토를 통해 웹 표준방식으로 점차 개선해 나가야 할 것”이라고 덧붙였다.

IT업계는 엑티브엑스 폐지 등을 공약으로 내세운 야당 후보들 중 대통령이 나올 경우 액티브엑스 폐지뿐만 아닌 인공지능, 사물인터넷 강화 등 4차 산업에서 큰 변화가 있을 것으로 전망하고 있다.

한 IT업체 전문가는 “누가 대통령이 되더라도 차기정부의 IT정책은 현 정부가 시행했던 액티브엑스 폐지 후 exe방식 도입처럼 단순히 다른 프로그램으로 대체하는 ‘수박 겉 핥기’ 식이 아닌 해외 사례를 참조해 이용자 편의 위주로 마련해야 한다”고 강조했다.

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]