공공 웹사이트 액티브X 퇴출..'대체기술 EXE'는 남겨둔다?

국정위 "2020년까지 순차적 제거"..반쪽짜리 정책 지적도

3년 내 모든 공공 웹사이트에서 액티브X(Active X)가 제거 된다. 하지만 보안프로그램 설치가 불가피한 경우 대체기술(EXE 설치)을 적용할 수 있다며 여지를 남겨 반쪽 정책이라는 지적이 나오고 있다.

국정기획자문위원회는 2020년까지 공공분야 웹사이트에서 액티브X를 모두 제거하겠다고 6일 밝혔다. 정부는 공공분야 웹사이트 액티브X 사용 현황에 대한 실태 조사를 시작해 이르면 연내부터 단계적으로 제거할 계획이다.

◇ '적폐' 액티브X 공공부문 2020년까지 제거…대안으로 EXE 사용?

액티브X는 마이크로소프트(MS)의 웹브라우저 '인터넷 익스플로어'(IE)에 특화된 비표준 플러그인(Plug-In)으로 웹서비스를 이용하는데 필요한 응용프로그램을 PC에 자동으로 설치해주는 기술이다. 행정자치부와 한국인터넷진흥원(KISA) 조사에 따르면 공공기관의 34%가 액티브X를 사용하고 있고, 민간부문 100대 웹사이트는 평균 16.54개의 액티브X를 사용하는 것으로 나타났다.

액티브X 의존도가 높은 것은 한국 웹 환경에서만 보이는 특이한 구조로 MS 종속 논란이 끊이지 않았다. 특히 글로벌 웹표준과 동떨어진 비표준 플러그인 방식은 설치·인증 과정이 불편하고 보안에 취약하다는 비판이 지속적으로 제기됐지만 사업자·기관 등 관리자 입장에서 편리하다는 이유로 대체 보안기술 개발에는 소홀히 해왔다. 이때문에 글로벌 시장이 모바일 플랫폼으로 빠르게 이동하면서 모바일 웹 트래픽(50%)이 PC 웹 트래픽(45%)을 추월했지만 여전히 국내 PC웹의 보안 플러그인 사용 비중은 높은 편이다.

스탯카운터 집계에 따르면 2016년 전세계 데스크톱/모바일 브라우저 점유율은 크롬이 51.06%로 앞도적인 가운데 사파리(14.02%)가 뒤를 이었고, IE는 4.44%에 불과했다. 한국의 경우 데스크톱 브라우저 점유율은 크롬이 47.53%로 IE의 44.15%를 앞지른 것으로 나타났다. 2015년까지 국내 PC 브라우저 점유율 1위였던 IE는 2016년 들어 크롬에 역전을 허용했고, 데스크톱/모바일 브라우저 전체 기준에서는 모바일 이용자가 크게 증가하면서 크롬은 52.8%인데 반해 IE는 22.06%로 하락세가 지속되고 있다.

◇ EX가 액티브X 대체기술?…"기술 보편성 확보를 위한 단계적 대안일뿐"

문재인 대통령은 지난 3월 대선 공약으로 이같은 글로벌 시장 환경에 역행하는 공인인증서 완전 폐지, MS도 사용하지 않는 액티브X를 공공 웹사이트에서 퇴출시키는 '노 플러그인'(No-plugin) 정책을 추진하겠다고 밝힌 바 있다.

하지만 국정위가 "보안 프로그램 설치가 불가피한 경우 대체기술(EXE·실행파일)을 적용할 수 있다"며 논란 여지를 남겼다.

EXE는 파일 확장자다. 컴퓨터 프로그램의 실행파일을 가리키는 것으로 사실상 MS 윈도 운영체제(OS)에서 사용할 수 있다. 공인인증서나 액티브X 모두 EXE 설치 방식과 유사하고 크롬이나 사파리와 같은 IE 외 브라우저에서도 작동하지만 PC에 파일을 설치해 사용 환경에 크고 작은 영향을 준다. 설치하는 동안 PC의 보안 기능을 일시적으로 해제하기 때문에 보안 문제로부터 자유로울 수 없다.

이때문에 업계와 사용자들 사이에서는 "도둑이 제집 드나들 듯 집이 허술한데 도둑 다녀갈때마다 대문에 수십개씩 덕지덕지 열쇠만 채우면 뭐하냐"는 비아냥 섞인 지적도 나오고 있다.

공공기관도 문제지만 더 시급하고 규모가 큰 민간시장의 전환을 강제하기 어렵기 때문에 근본적인 대안을 내놓기보다 옛날방식의 보안 시스템을 고수하라는 '도로묵 정책'이라는 비판도 나온다.

한 업계 관계자는 "액티브X와 EXE 실행파일이 좋고 나쁨을 떠나 과거 환경에서는 잘 활용하면 이만큼 쉽고 편리하게 활용할 수 있는 툴도 없었다"며 "그것은 이제 옛말이다. 글로벌 보안기술은 이미 블록체인이나 인공지능(AI)과 같은 첨단 기술을 적용하는 수준으로 바뀌었는데 EXE를 '대체기술'이라고 할 수 있을 지 의문"이라고 말했다.

그는 "결국 대체기술 개발·도입에 비용이 부담된다고 타협한 것 아니냐"며 "보안만큼은 타협해서는 안된다"고 강조했다.

또다른 업계 관계자는 "대부분 시스템을 설계하고 구축하면서 최종 단계에 보안 솔루션을 덧붙이는 경우가 대부분인데, 설계 초기 단계부터 보안 이슈를 포함시켜야 시스템 구축시 발생할 보안 문제에 적극 대응할 수 있다"며 "확장자 설치파일도 결국 윈도와 연결된다. 랜섬웨어 사례에서처럼 윈도10만 하더라도 보안패치만 자주 업데이트 해줘도 해킹으로부터 안전하다"고 말했다.

한편, 정부 자문위원으로 활동하고 있는 고려대 정보보호대학원 김승주 교수는 "정부가 밝힌 EXE 대체 활용은 단계적 대안이지 최종적인 대안은 아니라"고 선을 그었다.

김 교수는 "정부가 공인인증서와 액티브X 사용을 최소한의 영역으로 줄인다는 것이 방침인 것으로 알고 있다"며 "일시에 폐지하거나 바꿀 경우 준비 안 된 웹사이트 경우의 큰 혼란이 발생할 수 있어 공인인증서와 액티브X 폐지를 연착륙 시키겠다는 의도"라고 말했다.

액티브X는 공인인증서의 경우 주로 PC나 USB에 보관되지만 쉽게 해킹 당할 수 있어 이른바 플러그인 '보안 3종세트'를 설치하도록 요구하고 있다. 이용자 보호가 목적이지만 '천송이 코트' 논란처럼 한국인만 사용할 수 있고 적용 솔루션도 제각각이어서 번거로운 설치작업과 잦은 업데이트, 에러가 발생한다는 문제가 제기 되어 왔다.

김 교수는 "국내 보안 솔루션 시장은 확산이 빠르고 비용이 적게 드는 프로그램설치 방식의 소프트웨어 중심으로 성장해왔기 때문"이라고 분석했다.

◇ 애플 터치ID 같은 하드웨어 보안 시스템 접목…보안 사고시 징벌적 책임 물어야

김 교수는 또 "아이폰의 터치ID 지문인식 기술은 앱이나 서버에 저장되는 것이 아니라 사용자 아이폰내 칩셋의 보안 영역에 암호화되어 저장(종단간암호화) 되기 때문에 물리적 공격을 가하지 않는 이상 해킹이 어렵다"면서 "글로벌 보안 환경이 이런 스마트폰 하드웨어와 같은 물리적 보안 영역으로 가고 있지만 주로 최신형 스마트폰에서 지원되기 때문에 바로 확산시키는데는 보편성의 문제가 따른다"고 말했다.

모든 휴대전화 사용자가 이같은 기술을 지원하는 스마트폰을 사용하는 것이 아니기 때문에 보편적으로 활용되는데 더 시간이 필요하다는 설명이다.

김 교수는 "보안 전문가들은 최근 보안 침해 사례가 늘어나면서 우리나라도 표준기술 위주의 하드웨어 기반으로 전환할 것을 제안하고 있다"며 "사용자 편의성을 극대화 하면서도 높은 보안수준을 가져가야 한다"고 강조했다.

민간시장에 대한 정부의 적극적인 개입에 대해서는 김 교수는 회의적이라며 자율에 맡겨야 한다고 말했다.

김 교수는 "공인인증서 의무사용이 법제화 되며 보안을 강화하기 위해 액티브X 의존도가 높아진 것은 사실"이라며 "시장이 문제로 지적하는 여러 금융 규제를 풀어내는 대신 보안 문제와 같은 주요 영역은 징벌적 배상이나 형사처벌 등의 책임을 강화하는 것이 필요하다"고 말했다.

금융 시장은 해킹시 대규모 피해가 발생할 수 있기 때문에 정부가 보험 시스템을 보완해 기업이 해킹 피해 발생에 대한 대응을 할 수 있도록 사이버 보안 관련 책임보험에 의무가입해 적절한 피해자 구제가 이루어지도록 개선해야 한다고 강조한 김 교수는 "소비자단체는 미국 컨슈머리포트처럼 이들 기업에 대해 보안과 서비스에 대한 엄격한 평가자료를 내놓고 이용자는 불리한 서비스를 회피함으로써 시장 스스로 경쟁력을 강화하는 노력이 뒷받침 되어야 한다"며 "인터넷전문은행이 이 문제에 있어서는 가장 앞서갈 것으로 기대된다"고 덧붙였다.

[CBS노컷뉴스 김민수 기자] maxpress@cbs.co.kr