[이런! IT강국]② 이름만 바꾼 액티브X..공공기관, 못말리는 익스플로러 사랑

윤민혁 기자 입력 2019. 5. 1. 06:02 수정 2019. 5. 2. 17:00
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

애플 맥북을 사용하는 대학원생 박승훈(29)씨는 장학금 때문에 곤란한 상황을 겪었다. 미 취업자임을 증명하기 위해 고용보험 사이트에 접속했지만, "서비스 가능한 OS(운영체제)는 윈도"라며 보안 프로그램이 설치되지 않았다. 4대사회보험 웹페이지는 "인터넷익스플로러에서만 사용 가능하다"는 안내와 함께 접속조차 되지 않았다. 박씨는 "학부 시절엔 한국장학재단 홈페이지 접속도 안 돼 매번 곤란했었다"며 "매번 정부가 공공기관 웹 환경을 개선한다 말하지만, 나아지는 게 없는 것 같다"고 말했다.

맥북에서 사파리를 사용해 접속한 4대보험 정보연계센터 홈페이지. 인터넷익스플로러를 제외한 브라우저에선 정상적인 접속이 불가능하다며 접속을 원천 차단한다. /4대사회보험 정보연계센터 홈페이지 캡처

문재인 정부가 "공인인증서를 완전 폐지하고, 정부가 관리하던 모든 사이트에서 액티브액스는 물론 일체의 플러그인을 모두 제거하겠다"는 공약을 내걸로 웹표준화를 진행 중이지만, 아직 한국 웹 환경은 ‘갈라파고스’를 벗어나지 못하고 있다.

수많은 보안 문제를 일으키던 액티브X는 사라지고 있지만, 국정기획자문위원회가 "불가피한 경우 실행파일을 설치할 수 있도록 한다"는 단서를 달아 결국 그 자리를 보안 프로그램 설치파일(EXE)가 대체하고 있는 꼴이다. 그 사이 윈도 중심 사용 환경 또한 걷어내지 못하고 있는 게 현실이다. 보안프로그램·공인인증서·윈도우·IE 라는 ‘한국적 환경’ 속에서 글로벌 수준 웹표준화는 먼 이야기라는 지적이 나온다.

◇ 액티브X 없애겠다지만… 보안 플러그인은 여전해

직업상 맥북을 사용하는 디자이너 곽민수(30)씨는 관공서 사이트를 이용할 때마다 골치다. 곽씨는 최근 이사를 앞두고 대법원 인터넷 등기소에서 부동산 등기를 떼 보려 했지만, ‘보안프로그램을 설치하라’는 페이지를 넘어갈 수 없었다. 곽씨는 "보안프로그램을 설치해도 맥OS에서는 이를 인식하지 못하는 곳이 태반"이라고 말했다.

공공기관·은행 등 웹사이트에 접속할 때마다 설치해야 하는 수많은 보안 플러그인은 윈도우 사용자들에게도 골치거리다. 정부도 손을 놓고 있는 것은 아니다. 과학기술정보통신부는 지난해 11월 기준, 민간 500대 웹사이트 중 액티브X가 전년 대비 37% 줄었고 플러그인은 전체적으로 64.7% 감소했다고 밝혔다. 그러나 228개 웹사이트는 여전히 액티브X를 사용하고 있는 실정이었다. 행정안전부는 오는 6월까지 정부24, 건강보험, 국민연금 등에서 플러그인을 제거하겠다고 밝히기도 했다.

그러나 완전한 ‘플러그인 프리’ 웹환경은 멀기만 하다. 앞서 올해부터 액티브X를 제거했다는 국세청 홈택스에 접속해봤다. 액티브X는 찾아볼 수 없지만, 베라포트(Veraport), 공인인증서(Magic-PKI) 등 8개 프로그램을 설치해야만 했다. 국세청 관계자는 "일반적인 사용환경에선 모든 프로그램을 다 설치할 필요는 없고, 공인인증서 같은 경우 구조상 플러그인 설치가 필수적"이라고 해명했다. 그러나 이런 플러그인들은 기관 사이트 접속을 해제해도 사용자 컴퓨터에 상주해 성능을 잡아먹고 충돌을 일으키기도 한다.

액티브X를 제거했다는 국세청 홈택스 홈페이지는 여전히 수많은 플러그인 설치를 요구하고 있었다. /홈택스 캡처

때문에 민간에선 액티브X와 보안프로그램을 제거해주는 ‘구라제거기’라는 프로그램이 인기를 끌고 있기도 하다. 기자의 PC에서 구라제거기를 실행해봤다. 3년여간 업무용으로만 사용해왔지만, 안랩 세이프 트랜잭션(AhnLab Safe Transaction), 애니사인(AnySign4PC), 엔프로텍트(nProtect), 터치엔(TouchEn), 페라포트(Veraport) 등 11개 파일 목록이 나왔다. 공공기관에 접속해본 시민이라면 누구에게나 익숙한 이름들이다.

◇ ‘습관성 설치’ 길들여진 사용자 해킹에 취약… 웹표준 통해 보안 강화해야

보안 플러그인이 지닌 진정한 문제는 사용자를 ‘예스맨’으로 만든다는 데 있다. 웹사이트 이용을 위해선 설치에 필수적으로 동의해야 한다. 때문에 IT 지식이 부족한 사용자들은 파일을 설치하는 데 길들여져, 피싱 사이트가 해킹 플러그인 설치를 요구하더라도 이를 순순히 받아들이게 된다. 이는 모바일 환경에선 더 큰 문제를 일으킬 수 있다. 피싱 문자 등으로 보내온 해킹 파일을 습관적으로 설치할 수도 있기 때문이다.

전문가들은 액티브X와 플러그인이 퇴출되고 있지만, 여전히 개선할 점이 많다고 지적한다. 웹표준인 HTML5과 TLS(구 SSL) 등이 충분한 암호화를 지원하는 만큼, 브라우저와 웹사이트 단에서 보안을 강화해가야 한다는 것이다.

박춘식 서울여대 정보보호학과 교수는 "현재의 EXE 설치 방식은 그 자체로 보안 위협을 주던 액티브X보다는 발전한 방식이지만, HTML5·TLS 활용을 늘려야 할 필요가 있다"며 "금융기관은 이상금융거래탐지시스템(FDS)을 발전시키고 공인인증서 외 생체인증 등 인증 방식을 다양화해 사용자 편의성을 개선해야 한다"고 지적했다.

- Copyright ⓒ 조선비즈 & Chosun.com -

Copyright© 조선비즈. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?