방통위, '액티브 엑스' 퇴출 시동 건다

[머니투데이 신혜선기자][공공기관 홈페이지 개편 추진중...조만간 웹표준 등 대체 가이드라인 발표 예정]

정부가 악성코드 유포의 근원지로 사용되고 있는 '액티브 엑스(ActiveX)' 퇴출에 본격 시동을 건다. 액티브 엑스 기반으로 개발된 공공기관 홈페이지를 다른 방식을 적용해 개편하고 있으며, 민간 사이트로 확대될 수 있도록 독려한다는 계획이다.

방송통신위원회는 액티브 엑스 대체 가이드라인을 마련한 뒤 이르면 이달 중 발표한다고 7일 밝혔다.

액티브 엑스는 마이크로소프트(MS)의 인터넷 익스플로러(IE)에서 동작하는 프로그램. 인터넷 사이트에 접속하면 서비스 이용에 필요한 프로그램을 자동으로 설치해주는 기능으로 MS IE 기반으로 개발된 국내 인터넷 사이트 대다수가 액티브 엑스를 사용한다. 하지만, 해커들이 악성코드를 심을 때 '액티브 엑스 설치를 권장하는' 방법을 사용하고 있어 악성코드 유포 주범으로 꼽히고 있다.

방통위가 준비하는 가이드라인은 액티브 엑스를 사용하지 않고 일반 웹 표준을 사용해 서비스를 구현할 수 있는 내용을 담고 있다.

방통위는 "분산서비스거부(DDoS)공격과 무관하게 지난해부터 액티브 엑스 의존도를 낮춰보자는 취지로 실태조사와 더불어 대체 방안을 준비해왔다"고 설명했다.

이미 금융감독원이 지난해 6월 30일 공인인증서를 비 액티브 엑스 방식으로 개발할 수 있도록 관련 규정을 개정한 것도 이 일환이다.

방통위는 "금감원 외에도 공공기관을 중심으로 비 액티브 엑스 방식을 이용한 홈페이지 개선 작업을 진행하고 있다"며 "액티브 엑스를 못 쓰도록 강제할 수는 없으나 민간 사이트에서도 액티브 엑스 일변도의 개발 환경에 문제의식을 가질 때"라고 밝혔다. 특히, DDoS 공격처럼 보안에 취약한 액티브 엑스 사용이 절대적으로 많다는 것은 문제라는 지적이다.

이번에 발생한 3.4 DDoS 공격에서 40개 사이트를 공격한 악성코드 역시 파일공유 사이트에서 액티브 엑스를 통해 유포된 것으로 확인됐다.

국내에는 공인인증서나 금융사이트의 각종 보안 프로그램, 전자정부 사이트의 민원 프로그램, 쇼핑몰 사이트의 신용카드 결제 프로그램 대부분에 액티브 엑스가 사용된다. 해당 사이트에서는 액티브 엑스 프로그램 설치를 필수로 요구하고, 이를 설치하지 않을 경우 서비스 이용이 불가능한 경우도 많다. 때문에 프로그램 설치를 통해 악성코드가 PC에 유포되는 문제점이 제기돼 왔다.

황철증 네트워크정책국장은 "무분별한 액티브 엑스 사용에 따른 악성코드 감염 문제가 심각하다"며 "금감원 및 공공기관에서 우선 액티브 엑스 의존도를 낮추고 있으니 민간 사이트로 확대될 것으로 기대한다"고 밝혔다.

머니투데이 신혜선기자 shinhs@