[김관용,김국배기자] '액티브엑스(Active X)에 종속된 인터넷 환경을 바꿔야 한다'
액티브엑스 폐지 목소리가 높아지는 가운데 최문기 미래창조과학부 장관이 지난 18일 대통령 업무보고에서 "편리한 인터넷 환경을 조성하기 위해 주요 웹사이트에서 액티브엑스를 퇴출시키겠다"는 입장을 밝히는 등 공인인증체계 개선 움직임이 가시화될 것으로 보여 주목된다.
미래부는 액티브엑스 사용 실태를 조사하고 오는 5월 금융, 오픈마켓, 포털, 게임 등 분야별 특성에 맞는 대체 기술 적용 컨설팅을 추진하며 주요 웹사이트에서 액티브엑스를 단계적으로 퇴출시키고 HTML5 확산에 주력하겠다는 입장이다.
액티브엑스 폐지 움직임은 이달 초 '액티브엑스를 걷어내고 사용자 중심의 인터넷 환경을 만들자'는 서명운동 사이트가 개설된 것을 기점으로 빠르게 확산되는 추세며 인터넷 1세대라 할 허진호 크레이지피쉬 대표와 이찬진 드림위즈 대표,슬로우뉴스, 오픈넷 등의 단체들까지 동참한 상태다.
액티브엑스 반대 서명운동 사이트는 개설 3주가 못된 20일 현재 4천800여 명의 서명을 받아냈으며 '공인인증서, 이제 좀 그만!' 페이지 역시 "액티브엑스가 사용자의 편의성을 저해할 뿐 아니라 보안 취약점으로 인해 해킹 사고의 원인이 되고 있다"며 공인인증제의 체계 개선을 촉구하고 있다.
◆ 정부 "단계적으로 액티브엑스 철폐"
최문기 미래창조과학부 장관이 지난 18일 대통령 업무 보고에서 액티브엑스 퇴출 입장을 밝힌 데 이어 미래부는 액티브엑스 사용 실태를 조사하고 오는 5월 금융, 오픈마켓, 포털, 게임 등 분야별 특성에 맞는 대체 기술 적용 컨설팅을 추진할 예정이다.
정부는 특히 내년까지 웹 표준 기반 인증기술을 개발해 현행 공인인증서 외에 다양한 인증방식을 도입하고 글로벌 표준에 부합하는 공인인증 환경을 조성한다는 계획이다.
이를 위해 정부가 꺼내든 카드는 HTML5이다.HTML5의 최종 표준화는 W3C(world wide web consortium)에서 오는 2014년 확정될 예정이나 정부는 이에 대한 국제표준화 작업에도 적극 참여한다는 방침이다.
HTML5는 차세대 웹문서 표준으로 텍스트와 하이퍼 링크만 표시하던 기존 HTML에 오디오·비디오 및 그래픽 등 다양한 응용 프로그램까지 웹 자체로 구현할 수 있도록 진화한 버전으로 액티브엑스 등과 같은 별도의 프로그램 설치가 필요없고 운영체제(OS), 플랫폼, 기기에 상관 없이 콘텐츠를 제공하거나 이용할 수 있게 한다.
이밖에 정부는 중소·영세 웹사이트의 HTML5 전환 지원과 기술 지원, 정보 제공을 위한 HTML5 온라인지원센터 구축 등도 추진할 예정이다.
◆액티브엑스 폐지 운동 왜?
액티브엑스는 마이크로소프트(MS)의 인터넷 익스플로러(IE)에서만 동작되는 기술로 사용자가 웹서비스를 이용하는데 필요한 응용 프로그램을 PC에 자동 설치할 수 있도록 한다.우리나라 대부분의 웹사이트는 공인인증과 전자결재, 보안 기능들을 추가로 구현하기 위해 액티브엑스를 사용하고 있다.
하지만 액티브엑스는 그동안 사용자의 선택권을 제한하고 보안에 취약하다는 점이 꾸준히 문제로 지적돼 왔다. 실제로 은행 거래를 하거나 온라인 쇼핑몰을 이용하는 사용자는 3~4개의 액티브엑스를 기본적으로 설치해야 하나 크롬이나 파이어폭스 등에서는 이를 이용할 수 없는 실정이다.
액티브엑스는 특히 스마트폰과 태블릿PC 등 모바일기기에 최적화돼 있지 않은데다 해킹 사고의 원인으로도 지목되고 있다.액티브엑스 환경에 익숙해진 사용자들은 PC에 별도 프로그램을 설치하는데 관대해져 각종 다운로드를 무심코 진행하는 '묻지마 클릭' 습관을 갖게 됐고 이 허점을 악용해 해커가 악성코드를 심기도 한다는 이유에서다.
한국인터넷진흥원(KISA) 관계자는 "액티브엑스를 다운로드하는 습관때문에 이용자들이 디도스(DDoS) 등 악성코드 감염에 대한 고려를 잘 하지 않는다"면서 "차세대 인터넷 언어인 HTML5의 국제표준화를 통해 액티브엑스 남용으로 발생하는 문제를 근본적으로 없애야 한다"고 지적했다.
◆액티브엑스 종속 원인 한국형 공인인증체계
액티브엑스의 이같은 문제점이 쉽게 개선되지 않는 주된 이유로는 '아직도 과거에 머물러 있는' 우리나라의 공인인증체계가 지목되고 있다.
국내에서는 공인인증기관이 발급한 공인인증서가 있어야 온라인상에서 전자결제를 할 수 있고 이를 활용하려면 일반 인터넷 브라우저와 응용프로그램을 연결하는 플러그인 기술이 필요하나 플러그인 방식을 활용한 공인인증체계는 지난 1999년 개발된 기술이다.
당시 정보통신부와 한국전자통신연구원(ETRI)은 금융과 전자상거래 등 민감한 정보의 거래를 위해 고강도의 암호화 기술이 필요하다고 보고 128비트(bit) 길이의 키를 사용한 대칭 암호화 알고리즘(SEED)을 개발했다.
당시에는 인터넷 브라우저에서는 암호화 기술의 보안성이 높지 않았던 터라 플러그인 방식이 간명한 해법으로 여겨졌으나 문제는 인터넷 브라우저 자체에 128비트 암호화 교신 기능을 탑재하는게 가능해진 현재에는 이 방식이 적절치 못하다는 게 액티브엑스 반대론자들의 주장이다.
◆공인인증체계 개선 어떻게?
액티브엑스 반대론자들은 공인인증체계를 개선하기 위해서는 단일 공인인증 방식을 탈피해 이용자가 선택할 수 있는 환경이 마련돼야 한다고 주장하고 있다.다양한 서비스가 허용되면 시장 경쟁도 활성화돼 여러 종류의 보안 기술이 출현하게 되고 소비자와 사업자는 자연스럽게 우수한 서비스를 선택할 것이라는 이유에서다.
이찬진 드림위즈 대표는 페이스북을 통해 "공인인증서를 없애자는 것이 아니라 의무화를 해제해서 이해당사자들이 각자 알아서 선택할 수 있게 하자"는 것이라며 "어떤 것이 더 좋은 것이었는지는 시간이 지나면 알게 될 것"이라고 피력했다.
또한 공인인증서 저장 위치를 현재의 NPKI 폴더가 아닌 인터넷 브라우저가 바로 인식할 수 있도록 키 저장소(keystore)를 사용해야 한다는 의견도 있다. 웹브라우저가 인식할 수 있는 위치와 방법으로 인증서를 저장해 부가적인 프로그램 설치 없이 공인인증서를 이용하도록 하자는 것이다.
공인인증서는 사용자 PC에 NPKI라는 이름의 폴더에 저장되는데 인터넷 브라우저는 이 공인인증서를 인식할 수 없도록 돼 있어 액티브엑스를 통해 부가 프로그램을 설치해야만 이용할 수 있다.
김기창 고려대 법학전문대학원 교수는 "공인인증서 로그인도 이용자가 원할 경우에 선택할 수 있도록 옵션(option)으로 제공해야 한다"며 "인증서를 이용자의 아이디 확인 정도의 용도로만 활용하고 계좌 조회나 이체 등에는 일회용 비밀번호가 사용돼야 한다"고 조언했다.
김관용기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기