(조세금융신문=고승주 기자) 연말정산 등 국세청 홈택스만 사용했다 하면 느려지는 내 컴퓨터. 크롬, 사파리, 파이어폭스 등에서는 홈택스를 사용할 수 없었고 각종 보안프로그램 설치도 많았다.

 

원인은 홈택스 내 17종의 액티브 엑스. 국세청은 이같은 문제를 개선하기 위해 지난해 8월 22억원을 들여  ‘2017년 홈택스 비표준기술(Active-X) 교체 사업’을 추진했다.

 

하지만, 사용자 부담은 여전하다는 지적이다.

 

홈택스 기능을 사용하려면, 여전히 인터넷 익스플로러와 엣지를 반강제적으로 써야 해 ‘반쪽짜리 호환’이란 비판도 나오고 있다.

 

‘2017년 홈택스 비표준기술(Active-X) 교체 사업’ 결과 액티브 엑스가 철거된 것은 연말정산 간소화 서비스뿐이다. 홈택스는 여전히 액티브 엑스가 사용되고 있다.

 

액티브 엑스 대신 자리를 잡은 것이 윈도우 범용실행파일(이하 EXE)이란 점도 지적대상이다.

 

EXE 형식의 보안프로그램은 하드디스크에 직접 설치를 해야 하며, 웹브라우저를 사용하지 않은 경우에도 계속 메모리에 상주하며, 컴퓨터 자원을 사용한다. 리눅스 등 타 운영체계에서는 구동되지 않는다.

 

이들 보안 프로그램은 컴퓨터 내 각종 활동에 개입하기 때문에 액티브 엑스 못지 않게 컴퓨터 속도 저하 및 프로그램 간 충돌을 야기할 수 있다.

 

 

설치해야 하는 EXE 프로그램의 숫자도 많다. 가짓수로는 8개지만, 모듈 관리 프로그램 등 관련 프로그램이 동시에 설치되기에 실제 구동 프로세스는 십여개 이상이 된다.

 

연말정산 간소화 서비스 역시 최저 2개 이상(통합설치 프로그램, 출력 관련 보안 프로그램)의 EXE 프로그램을 설치해야 하며, 출력 등을 다른 서비스를 이용하려면 추가 설치가 필요하다.

 

보안 이유로 외면된 브라우저 호환성 

 

국세청이 그간 홈택스 사용자 환경 개선에 소홀했던 것이 아니냐는 비판도 나온다.

 

국세청은 지난 2015년 2월 차세대 국세행정시스템을 조기개통하며, 이에 발맞춰 각종 민원서비스를 통합한 홈택스를 출범했다.

 

차세대 국세행정시스템 개통 직전인 2014년 범정부 차원에서 액티브 엑스 철폐가 추진되고 있었지만, 국세청은 이미 개발 막바지라는 이유로 기존의 보안모듈 구성을 밀어붙였고, 그 결과 홈택스 사용을 위해 깔아야 했던 프로그램은 15개에 달했다.

 

 

여론의 비판이 빗발치자 국세청은 15개 보안프로그램 중 필수설치 프로그램 6개 중 3개를 선택으로 전환했다. 하지만 3개로는 홈택스 접속 정도가 가능했을 뿐 전자신고를 하려면 15개 전부를 설치해야 했다.

 

2015년 6월 행정안전부 주도의 범정부 액티브 엑스 제거 계획이 발표된 후에도 국세청은 학자금 상환 등 일부 영역에서만 액티브 엑스를 철거했을 뿐 홈택스 내에는 여전히 17종의 액티브 엑스 프로그램이 남아 있었다.

 

문재인 정부가 지난해 7월 재차 범정부 차원에서 액티브 엑스 철폐를 추진하자 그제야 국세청은 사업비를 반영해 부랴부랴 액티브 엑스 철거에 나섰다.

 

국세청에서는 당시 국내 환경이 인터넷 익스플로러 중심으로 구축돼 있기에 액티브 엑스 도입이 불가피했다고 밝혔다.

 

실제 글로벌 통계 사이트 스탯카운터에 따르면, 2015년 2월 기준 국내 익스플로러 점유율은 50.01%에 달했다.

 

하지만 크롬 점유율도 34.56%로 무시할 수 없었으며, 사파리(5.48%)까지 합치면 40%가 넘었다.

 

또, 익스플로러의 점유율 중에는 홈택스 등 공공서비스를 쓰기 위해 강제로 익스플로러 사용을 해야 했던 비중을 감안할 필요도 있다.

 

2018년 2월 기준 엣지와 익스플로러의 점유율(데스크톱·모바일 합계)은 각각 15.28%, 1.35%에 불과하다. 반면 크롬은 55.69%, 사파리 13.43% 등 홈택스를 쓸 수 없는 브라우저의 점유율은 과반을 훌쩍 뛰어넘는다.

 

국세청은 “올해 연말까지 홈택스 내 액티브 엑스를 모두 철거해 주요 브라우저 환경에서 사용할 수 있도록 개선하겠다”고 밝혔지만, 크롬의 성장세에 대비하지 않았다는 비판을 피할 수 없는 상황이다.

 

 

기술 못 따라가는 법제도

 

국세청도 입장이 난처한 부분은 있다. 공공기관은 법제도 상 사용자 환경 구성이 극히 제한적이기 때문이다.

 

공공기관 보안환경은 최저환경을 기준으로 구성된다. 때문에 신기술보다 얼마나 검증됐느냐를 더 중요하게 본다.

 

한 정부 관계자는 “이용자 중에는 윈도우 XP 운영체계를 사용할 수밖에 없는 사람이 있고, 이를 정부가 바꾸라고 할 수 없다”며 “공공기관은 최저 환경에 맞춰 사용자 환경을 구성해야 한다”라고 전했다.

 

공공기관에 납품되는 모든 보안 관련 소프트웨어는 국가정보원의 보안적합성을 통과한 제품이어야 하며, 필수적으로 ARIA·SEED 알고리즘(보안체계)을 적용해야 한다.

 

SEED 알고리즘은 액티브 엑스 환경에서 구현됐는데, 웹표준기술(HTML5)은 기술적으로 이 기능을 똑같이 구현할 수 없다. 액티브 엑스 체계 자체가 익스플로러 환경 내에서 제한적으로 운용되는 체계인 탓에 범용성 중심의 웹표준기술과 근본적으로 상충되기 때문이다.

 

정부 관계자들은 액티브 엑스를 사용하지 않으면서도 기능만 완전히 따오려면, 윈도우 운영체계 기반의 EXE 프로그램으로 바꾸는 것 외에 방법이 없다고 토로한다.

 

일부 보안 전문가들은 사용자 인증 관련 특정 인증서나 보안토큰이 아닌 ARS와 일회성 비밀번호 발급 등 다른 형태로 풀어가는 방법을 제시한다.

 

또한, 공공데이터법에서처럼 보안담당자에게 중대한 과실 등이 없을 경우 면책할 수 있는 조항을 두어 담당기관이 새기술을 도입할 수 있는 여지를 넓혀야 한다고도 조언한다.

 

정부 관계자는 “공공기관들은 행정안전부와 과학기술정보통신부가 정한 보안제도에 따라야 하는 한계가 있다”라며 “이 두 부처에서 새로운 해법을 만들어주지 않으면, 다른 기관들은 기존의 체계를 따라야 한다”고 전했다.

 

이 관계자는 “아무리 좋은 신기술이 나와도 공공기관은 기능보다 검증을 더 우선시한다”라며 “권한이 있는 부처가 주도적으로 새로운 기술과 보안수단 등을 모색해줄 필요가 있다”라고 전했다.

 

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]