상단영역

본문영역

박근혜 정부가 액티브X를 해체하는 방법

  • 허완
  • 입력 2015.03.24 13:18
  • 수정 2015.03.25 05:20

이번 달 말부터 ‘액티브X 없는 온라인 결제’ 시대가 본격적으로 시작된다는 소식이다. 대신, 우리는 앞으로 .exe 파일을 설치해야 한다. ‘세상에 이런 일이’ 같은 곳에서나 나올 법한 일이 현실이 됐다.

23일 카드업계 등에 따르면 신한·현대·롯데·삼성·하나카드 등 5개 전업계 카드사와 NH농협카드는 26일부터 액티브X를 없애고, 대체 프로그램을 론칭한다.

신한·현대·롯데·NH농협카드는 26일 'exe' 방식의 보안프로그램을 시행한다. 삼성과 하나카드도 각각 30일 액티브X 대체 프로그램을 내놓는다.

작년 12월과 2월 BC카드와 KB국민, 우리카드가 이를 우선 시행한 데 이어 이제 모든 전자상거래상에서 액티브X가 사라지게 됐다. (연합뉴스 3월23일)

이게 무슨 액티브X 새로고침 하는 소리일까? 허핑턴포스트는 대체 뭐가 어떻게 잘못된 건지 하나씩 따져보기로 했다.

1. 액티브X를 해체하겠습니다!

그동안 우리가 인터넷쇼핑을 할 때 주먹을 불끈 쥐면서도 할 수 없이 액티브X를 설치해야 했던 건 크게 두 가지 때문이었다.

A. 공인인증서

B. 보안프로그램 3종세트(방화벽, 키보드보안, 백신)

더 구체적으로 정리하면 이런 이유들 때문이었다.

문제점

인터넷쇼핑몰에서 결제를 하려면 관련 법·규정에 따라 A·B를 의무적으로 설치해야 함.

A·B는 모두 액티브X 방식으로 작동함.

⇒ 어쩔 수 없이 액티브X를 설치해야 함.

사진은 지난해 5월19일, 세월호참사 대국민담화문을 발표하는 박근혜 대통령의 모습. 박 대통령은 이날 "고심 끝에 해경을 해체하기로 결론내렸다"고 발표했다. ⓒ한겨레

박근혜 대통령이 ‘천송이 코트’를 언급하며 개선을 지시한 건 그러니까 지난해 이맘때쯤의 일이다. 그 후 정부는 부랴부랴 대책들을 쏟아냈다. 이런 것들이다.

해결책

인터넷쇼핑을 할 때 A·B를 의무적으로 설치하도록 했던 규정을 폐지함.

‘액티브X 없는 A·B’를 제작(하도록 함)(...?)

⇒ 액티브X 폐지!(...???)

  • 2014년 3월 : 박근혜 대통령, ‘천송이 코트’ 언급하며 액티브X, 공인인증서 폐지 주문
  • 2014년 5월 : 금융위원회·금융감독원, 인터넷쇼핑 공인인증서 의무사용 폐지
  • 2014년 7월 : 미래창조과학부, ‘액티브X 없는 공인인증서 보급 추진’ 발표
  • 2014년 9월 : 금융위원회, 인터넷쇼핑 ‘액티브X 추방’ 계획 발표
  • 2014년 10월 : 금융위원회, 보안프로그램 설치의무 폐지 추진 발표
  • 2014년 12월 : 금융위원회·미래부, 업계에 ‘액티브X 대신 .exe 방식 보안프로그램 개발 지시’
  • 2015년 1월 : 금융위원회, 보안프로그램 3종세트 설치 의무 조항 폐지

2. 액티브X만 없애면 된다?

액티브X 대신 ‘.exe 파일’을 설치하도록 한 건 위에서 살펴본 해결책-②에 해당한다고 볼 수 있다.

지난해 12월말, 머니투데이의 단독보도로 알려진 것처럼, 정부는 관련 업체들을 소집해 ‘연말까지 액티브X를 없애라’고 지시했다. 더 정확하게는 ‘일단 액티브X만 아니면 된다’에 가까웠다.

앞으로 온라인 쇼핑몰을 이용하려면 액티브-X(Active-X)가 아닌 다른 종류의 보안프로그램을 설치해야 한다. 최근 미래창조과학부와 금융위원회가 온라인쇼핑몰 업체들을 소집해 연말까지 액티브-X 시스템을 모두 없애라며 요구한 조건이다. 일단 액티브-X만 아니면 된다는 것이어서 '눈 가리고 아웅'식 정책에 업계의 불만이 속출하고 있다.

28일 관계부처와 업계에 따르면 미래부와 금융위는 최근 온라인 쇼핑몰 업체들과 회의를 열고 이달 31일까지 액티브-X를 모두 없애라고 업체측에 통보했다. 대신 내년부터 온라인 쇼핑몰 이용자는 액티브-X 대신 확장자 이름이 ‘.exe’인 새로운 방화벽 프로그램을 설치해야 한다. (머니투데이 2014년 12월29일)

허핑턴포스트코리아 뿐만 아니라 이미 많은 사람들이 지적했던 것처럼, ‘.exe 파일’이 대책이 될 수 없는 이유는 너무나 명백하다. 근본적인 문제들은 단 하나도 해결된 게 없기 때문이다.

① 웹표준과는 (여전히) 거리가 멀다

유튜브를 떠올려보자. 유튜브에서 동영상을 감상할 때 우리는 액티브X니 뭐니 그 어떤 것도 전혀 설치할 필요가 없다. 윈도우, 맥, 리눅스 등 운영체제와 상관없이, 혹은 인터넷 익스플로러나 크롬, 파이어폭스, 사파리, 오페라 등 어떤 종류의 웹브라우저에서도 마찬가지다.

인터넷쇼핑 결제도 그렇게 만들어야 한다는 얘기다. 액티브X는 처음부터 ‘웹표준을 지키지 않는 국내 인터넷 결제시스템’을 대표하는 하나의 상징일 뿐이었다. 무조건 액티브X만 없앤다고 끝나는 게 아니라는 얘기다. 그런데도 정부는 ‘액티브X만 아니면 된다’는 식이다.

연합뉴스는 “‘exe’ 방식의 프로그램은 한 번 내려받으면 인터넷 익스플로러 외에 크롬이나 사파리 등 다른 브라우저를 사용시 따로 보안프로그램을 내려받지 않아도 된다”며 마치 대단한 변화가 있는 것처럼 보도했지만, .exe 파일은 여전히 웹표준과 아무런 관련이 없다.

마이크로소프트의 윈도를 제외한 다른 OS, 즉 맥(Mac)이나 리눅스(Linux)에서는 .exe 파일을 설치조차 할 수 없다. 대책은? 연합뉴스에 따르면 맥이나 리눅스 사용자들에게는 “확장자만 다른, 같은 형태의 프로그램이 제공”된다. 이게 과연 바람직한 방법일까?

액티브X...

② 보안책임을 (여전히) 이용자에게 떠넘긴다

아마존이나 페이팔 같은 해외 서비스를 이용해 결제를 해 본 사람은 안다. 키보드보안이니 해킹방지프로그램이니 하는 것들을 PC에 잔뜩 설치하지 않고도 아무런 문제없이 결제를 할 수 있다는 사실을.

이유는 간단하다. 보안에 필요한 조치들을 이용자 PC에 프로그램을 설치하는 방식으로 떠넘기는 게 아니라, 인증서버 같은 결제시스템 내부에 마련해두기 때문이다. 평소와 다른 유형의 거래가 발생하면 이를 즉각 탐지해 경고하는 식의 ‘부정거래방지시스템’(FDS)이 대표적이다.

인증 부분을 살펴보자. 해외에서 사용하는 인증은 사용자의 행동 패턴을 분석하는 형태로 발전했다. 예를 들면, A라는 사용자가 평소에 어떤 상품을 주로 구매하고, 언제 주로 접속하는지, 평소 구매하는 금액은 얼마나 되는지, 주로 이용하는 기기는 무엇인지, 접속한 지역은 어디인지 등 다양한 정보를 모두 분석한다. 이를 통해 A 사용자의 평소 행동 패턴을 분석하고, 만약 평소와 다른 행동 패턴을 보일 시 추가로 확인 절차를 거친다. 주로 주말에 10만 원 내외의 의류 상품을 집에서 PC로 접속해 구매하는 여성 구매자가 갑자기 평일 오전에 100만 원 상당의 등산 용품을 이동하고 있는 버스 안에서 스마트폰으로 구매한다면, '정말 구매자가 맞는가?'라고 되묻는 형태다. (IT동아 1월27일)

.exe 파일은 이런 면에서 액티브X와 크게 다를 바가 없다. 가짜 사이트에서 악성코드를 파일에 심어 이용자 PC에 설치할 수도 있고, 제대로 된 .exe 파일을 다운 받았다 하더라도 해킹 등에 의해 파일이 변조될 가능성도 있다. 액티브X보다 더 위험하다는 지적도 나온다.

3. 누가 .exe를 강요했나

일이 이렇게 된 데에는 처음부터 끝까지 정부의 책임이 크다고 볼 수밖에 없다. 국내 금융회사들은 이제야 FDS 시스템 구축을 시작한 상태다. 일례로 결제대행사(PG사)들에게 의무적으로 자체 FDS를 구축하도록 하는 방안은 올해 7월1일부터나 시행된다.

그동안은 정부가 A·B, 즉 공인인증서와 보안프로그램 3종세트를 의무적으로 쓰라고 법으로 강제해왔던 탓에, 금융회사들은 그 지침만 따르면 됐다. 이용자의 불편이나 안전성 같은 건 굳이 신경 쓸 필요가 없었다.

정부가 뒤늦게나마 ‘해결책-①(인터넷쇼핑을 할 때 공인인증서·보안프로그램 3종세트를 의무적으로 설치하도록 했던 규정을 폐지)’을 꺼내든 건 그런 면에서 긍정적인 변화다. 이제는 금융회사들이 자율적으로 보안수단을 선택하고, 그에 따른 책임도 부담하도록 한 것.

문제는 시간이 걸릴 수밖에 없다는 사실이다. 공인인증서·보안프로그램 설치 의무를 폐지해도 당장 눈에 띄는 변화가 나타날 수는 없다. 아직 대체수단도 충분히 마련되어 있지 않고, 사고가 발생할 경우 누가 얼마나 책임을 져야 하는지에 대한 합의도 없는 상태다.

관련기사 :

이런 상황에서 박근혜 대통령은 반복해서 ‘액티브X 폐지’를 주문했다. 올해 초 신년 기자회견까지 포함해 공개적으로 언급한 것만 세 번이다. 정부는 부랴부랴 ‘일단 액티브X만 아니면 된다’며 관련 업계들을 압박한 다음 ‘눈 가리고 아웅’ 식의 대책을 내놓고 있다.

온라인 커뮤니티 클리앙에 올라온 관련 글에는 아래와 같은 댓글이 달려 있다. (일부 문구는 편집했습니다.)

솔직히 말해 이거 이럴 수밖에 없는 현실도 있습니다.

정부 부처에서는 대통령의 한 마디를 지키는척 하기 위해서 특정 기한 내에 무조건 "ActiveX"를 빼라는 공문을 자꾸 내리고 압박을 줍니다. 본질은 필요 없습니다. 그냥 ActiveX만 아니면 되는 겁니다.

그럼 업체에서는 다른 방법이 없어요. 눈 가리고 아웅이라는 걸 알면서도 이런 짓을 할 수 밖에 없는 겁니다.

제가보기엔 이건 특정 업체의 문제가 아니라 상명하복식, 보여주기식 관료행정이 낳은 병폐입니다.

액티브X만 없애면 다 된다고 믿는 건 대체 누구일까? '액티브X 폐지'는 대체 누구를 위한 걸까?

관련기사 :

저작권자 © 허프포스트코리아 무단전재 및 재배포 금지
이 기사를 공유합니다