2014년 초, 박근혜 대통령이‘천송이코트’를 언급하며 폐지하라고 지시했던 액티브X. 하지만 금융당국은 대통령 지시에 못 이겨 없애는 척했지만, ‘.exe’로 교묘히 변경했을 뿐, 액티브X는 여전히 전 국민을 괴롭히는 ‘암적 존재’로서 건재함을 과시하고 있다.
문재인 전 더불어민주당 대표가 2일 오후 서울 구로구 G-벨리컨벤션 센터에서 열릴 ‘ICT 현장 리더 간담회’에 참석, “공인인증서를 제거하고 정부가 관리하는 모든 사이트에서 액티브X를 없애겠다”고 밝혀 액티브X 폐지 가능성에 대한 관심이 높아지고 있다.
액티브X는 취약한 윈도 웹 브라우저를 보완하기 위해 MS가 내놓은 플러그인이다. 브라우저가 응용프로그램을 제대로 처리하지 못하자, 이를 해결하기 위해 추가 설치하는 확장 프로그램이 바로 액티브X다. ‘‘000에서 배포한 000추가기능을 설치하려고 합니다’라는 팝업창이 바로 플러그인이다.
문재인 전 대표는 이날 ‘공인인증서와 액티브X 폐지’를 골자로 하는 신산업 분야 공약을 제시하는 보도자료를 배포, “신산업 ICT 분야는 금지된 것 빼고는 다 할 수 있는 네거티브 규제를 도입할 것”이라고 밝혀 IT산업계의 높은 관심을 끌고 있다.
문 전 대표는 “불필요한 인증절차를 과감하게 없애 공인인증서 제거를 적극 추진하겠다”면서 “모든 인증서가 시장에서 차별 없이 경쟁할 수 있도록 하겠다”고 공식적으로 선언했다.
그는 정부가 관리하는 모든 사이트에서 액티브X를 없앨 것이라며 “모든 정부·공공사이트는 예외 없이 노플러그인(No-plugin) 정책을 펴겠다”고 약속했다.
문 전 대표는 우리나라의 인터넷·컴퓨터 보안 환경을 대폭 개선하고, 국내 ICT산업의 성장 잠재력을 높이겠다며 ICT분야에서 정부 주도보다는 민간이 주도하고 정부가 지원하는 모델이 정착되도록 하겠다고 포부를 밝혀 시선을 끌었다.
과연 가능할까? 어떻게 해야 액티브X를 이 땅에서 완벽하게 몰아낼 수 있을까
■ 차기 정권은 과연 액티브X를 없앨 수 있을까?
유력 대권후보인 문재인 전 대표의 이날 발언에도 불구하고 보안전문가 및 금융시스템 전문가들은 액티브X폐기 가능성에 대해 엇갈린 반응을 보이면서도 다소 부정적인 견해를 내놓고 있다.
전문가들은 문재인 전대표의 이날 공약에도 불구하고 액티브X 폐지가 만만찮은 이유에 대해 박근혜 정권 역시 정권초기인 2014년초, 대통령이 직접 지시했지만 실패한 점과 같은 맥락이라고 지적한다.
가장 큰 걸림돌은 액티브X를 폐기하기 위해서는 천문학적인 비용이 필요하다는 점이다. 즉 금융권 망은 둘째치고 행자부는 물론 교육부,복지부 등 전 정부부처의 민원서비스 전산망과 전자정부망 등 국가 기간망을 모두 뜯어내고 새로 시스템을 구축해야 하기 때문이다.
실제 기재부 등 누군가 총대를 메고 이에 대한 예산 확보는 물론, 수많은 법 개정을 통해 범 국가 차원의 국가 기간망 전체를 통째로 갈아엎어야만 액티브X를 걷어낼 수 있다. 이런 사실은 누군가 그간 수십조원대의 천문학적 국가 예산을 날린 정책실패에 대한 비난 여론을 책임져야 하는 매우 민감하고 복잡한 이슈가 공직사회에 던져진다는 점과 직결된다.
결국, 차기 정권 초기 법적 근거를 통해 대통령 직속의 특정 부서에서 수조원대 예산을 별도 확보, 액티브X 폐지만을 전담하는 업무를 추진하지 않는 이상, 액티브X를 한반도 전역에서 걷어내는 것은 현실적으로 실현하기 힘들 수도 있다는 의견이 지배적이다.
왜냐하면, 액티브X가 창궐한 직접적 배경이 정부정책에 있기 때문이다. 마이크로소프트 정책에 백기 투항한 정부의 정책이 사실 액티브X 대란을 만든 주범이다. 99년 당시, 한국리눅스협의회는 액티브X허용 시 보안이 극도로 취약해진다는 문제를 정부에 수도 없이 제기했지만, 정부는 콧방귀도 안 뀌었다.
결국, 정부는 MS정책에 굴복했고 이후 액티브X는 순식간에 나라 전체를 뒤덮으며 작금의 국가 전체 시스템 효율을 떨어뜨리는 암적 존재가 되고 있는 것이다. 실제 한국은 전 세계에서 유일하게 액티브X와 공인인증서가 거의 모든 인터넷 서비스에 파고든 전무후무한 국가다.
MS조차 이런 보안상의 취약성을 인식해 2014년 ‘익스플로러 11’을 공개하면서 액티브X를 설치할 수 없도록 하자 거꾸로 한국은 대혼란에 빠졌다. 액티브X를 설치할 수 없어 인터넷뱅킹을 할 수 없다며 난리가 났고, 은행∙관공서 등에서 집단 반발하고 나서자, MS는 급기야 전 세계에서 유일하게 한국시장에서만 익스플로러11 데스크톱 버전에 액티브X를 설치토록 허용하는 조치를 단행한 바 있다.
보안의 취약성 때문에 없앴는데, 한국에만 다시 액티브X를 넣어준 꼴이다. 이는 한국시장의 경우 공공, 민간부문 할 것 없이 보안을 한층 강화한 새로운 글로벌 표준이 나와도 이를 적용할 수 없는 기형적 구조를 가졌고, 이런 고질적 구조는 단기간 내 고칠 수 없다는 사실을 만천하에 확인해준 셈이다.
■ 공인인증서는 어떻게 없앨 것인가?
공인인증서에 대한 논란은 윈도에만 동작하고 리눅스 등 다른 OS에서는 사용할 수 없다는 점 때문이다. 물론 공인인증서 자체를 없애자는 강경파도 있지만, 전문가그룹은 공인인증서의 경우 순기능도 있는 점을 감안, 현재 정부주도의 강제적 규제보다는 모든 인증수단을 자유롭게 쓸 수 있도록 인증제도 자율화가 더 시급하다고 주장한다.
즉 다양한 인증서를 쓰도록 하면 관련 기술력과 서비스가 발전하는 것은 물론 굳이 윈도에서만 공인인증서가 작동하는 폐단을 줄이는 동시에 이용자 편의를 증대시킬 수 있다는 분석이다. 전문가들은 전화인증은 물론 얼굴 인식, 지문 인식, 아이핀 등 다양한 인증방식을 모두 허용해 민간에서 자율적으로 사용할 수 있도록 인증제도 자율화를 적극 검토해야 할 것이라고 입을 모으고 있다.
다만 다양한 인터넷서비스와 공공부문 민원서비스를 제시하는 주체에서 더욱더 높은 수준의 보안기술을 확보, 이용자가 인증서 자체를 사용하지 않고 아이디와 패스워드만으로 모든 서비스를 이용하는 게 가장 바람직하다는 의견이 지배적이다.
■ 액티브X를 없애는 방법
① 액티브X폐지후 어떻게 할 것인가? 대안을 먼저 찾아야 한다
현정권에 이어 문재인 전 대표가 오늘 액티브X를 전면 폐지하겠다고 선언함에 따라 과연 액티브X를 어떻게 없앨지에 관심이 쏠리고 있다.
액티브X폐지와 관련해 가장 큰 이슈는 액티브X를 없앨 경우 대안이 있느냐 하는 문제다. 수많은 공공부문 민원서비스는 물론 인터넷뱅킹 등 금융서비스, 온라인주문결제 등등 당장 액티브X를 어느 시점에 폐지할 경우 어떤 대안으로 혼란을 수습할 것인 가하는 문제가 액티브X를 걷어내는 문제와 관련해 가장 중요한 사안이다.
많은 전문가들이 제시하는 가장 바람직한 방안은 아마존처럼 아이디와 패스워드만 입력하면 곧바로 결제가 가능한 단순화한 인터넷서비스 패턴이다. 결국 우리도 아마존의 결제방식처럼 액티브X를 폐지한 후 ‘아이디와 패스워드’만으로 간편결제 등 모든 인터넷서비스를 이용할 수 있는 환경을 하루빨리 구축해야 한다는 것.
이를 위해 단순한 결제단계로 인해 발생할 수 있는 보안사고, 즉 피해나 해킹으로 인한 잘못된 결제나 송금 등의 사고를 미리 방지할 수 있는 암호 등 보안기술이 뒷받침돼야 한다는 점이다.
즉 공공기관 및 민간업체에서 자체 보안기술을 대폭 높여야 한다는 지적이다. 액티브X 폐지와 관련해 또 다른 시급한 과제는 바로 보안이 뚫려 사고발생 시 피해보상에 대한 제도적 장치를 매우 디테일하게 마련해야 한다는 점이다.
이를테면 서비스제공 주체들이 각종 보험상품을 통해 이러한 사고발생 시 피해를 보상할 수 있는 정책적 대안이 마련돼야 하고, 정부 차원에서 이러한 피해보상정책을 심도있게 개발해야 할 것으로 분석된다.
아마존이 아이디와 패스워드로 결제가 가능한 배경은 자체의 뛰어난 보안기술과 함께 사고발생 시에 대비한 보험 및 후속 조치들이 다양하게 준비돼 있기 때문이다. 이를 통해 고객은 덕지덕지 플러그인 프로그램을 깔거나 인증과정을 거치는 번거로움 없이 아이디와 패스워드 입력만으로 바로 결제가 가능한 것이다.
② 모든 금융사고는 금융회사가 책임지도록 하면 된다.
액티브X의 폐해는 공공, 민간할 것 없이 인터넷서비스망, 국가인프라망의 성장동력과 활력을 떨어뜨리고, 이로 인해 엄청난 기회비용을 허공에 날린다는 점 때문이다. 오늘도 전 국민은 정부 민원서비스 접속 시 수개에서 스무 개 넘게 다운받아야 하고, 인터넷뱅킹 등 민간분야 역시 덕지덕지 다운받아야 하는 액티브X ‘암 덩어리’에 짓눌려 살고 있다.
나라 전체가 들썩이는 악성코드와 바이러스피해, 각종 해킹으로 인한 금융피해 등 사회적 손실과 국민피해가 천문학적인 수준에 이른다. 대한민국의 경우 액티브X때문에 GDP의 수%가 흔적도 없이 사라질 정도라는 평가가 나올 정도다.
전문가들은 액티브X와 보안인증서가 남발되는 대한민국 인터넷서비스망의 폐해가 서비스를 제공하는 공급자가 아닌 이용자, 소비자가 보안책임을 져야 하는 잘못된 제도적 관행에서 출발하고 있다고 지적한다.
이를테면 지금도 금융 소비자가 아이디와 패스워드를 도용당해, 본인이 전혀 모르는 사이에 통장에서 수백만원, 수천만원이 빠져나가도, 모든 책임은 이용자가 져야 한다. 전문가들은 이런 제도적 관행을 바꿔야 한다고 주장한다. 보안의 취약성 때문에 발생하는 모든 금융피해를 금융회사가 지도록 해야 한다는 것.
“미국처럼 은행이 모든 책임을 지도록 해보세요. 은행이 자발적으로 나서서 액티브X 걷어낼 겁니다. 지금은 모든 금융권이 정부 가이드라인대로 플러그인 정책을 지켰다는 점을 내세워 소비자에게 피해를 떠넘기고 있거든요. 이게 다 보안회사와 금융권의 담합으로 벌어진 입니다. 보안회사들도 이젠 정직하게 사업을 해야 합니다. 금융피해를 은행이 지도록 하면 다 해결됩니다”
또 다른 보안 전문가는 “미국 아마존 등 해외 유명 사이트들이 결제과정이 단순한 것은 보안문제는 아마존이 모두 책임지기 때문입니다. 고객에게 보안에 필요한 조치를 강요하지 않는 거죠. 국내처럼 소비자가 보안을 위해 뭘 다운받아서 깔고 하는 식으로 고객에게 보안을 맡기지 않고 아마존이 모든 보안을 직접 책임진다”라며 “고객은 1,2단계만에 바로 결제를 하고 모든 금융보안 사고 피해는 회사가 책임지기 때문에 자체 보안기술이 엄청나게 발전하는 것”이라고 지적했다.
반면 국내는 금융회사들이 정부 정책을 지켰다는 이유만으로 피해보상을 고객에게 미루고 보안회사들은 그 틈바구니에서 덕지덕지 액티브X를 강요하는 보안시스템 구축에만 열을 올리고 있는 형국이라는 지적이다.
결국 모든 인터넷서비스 이용 시 보안으로 인해 발생하는 소비자피해를 서비스제공업체가 책임지도록 법적으로 제도화하는 게 시급하다는 지적이다. 개인정보 유출, 금융사기 피해 등이 속출해 천문학적인 소송과 손해배상이 잇따르면 서비스 제공업체들이 앞다퉈 보안에 가장 취약한 액티브X를 가장 먼저 걷어내고 보안을 강화할 것이란 지적이다.
큐브피아 권석철 대표는 “인증서와 액티브X 모두 장단점이 있다”면서 “시장 자율에 맡기면서 서서히 대안을 찾는 게 무엇보다 중요하고 액티브X폐지 이후 보안사고 발생시 이를 커버하는 보험 등 후속 조치가 무엇보다 중요하다”고 지적했다.
관련기사 = [김광일 칼럼] 박근혜 정권은 절대 액티브X를 뿌리 뽑지 못한다
관련기사 = 미래부∙KISA,정보통신업체에 통보“보안인증 수수료 2000만원씩 내세요”준조세 비판여론 확산
관련기사 = [김광일의후폭풍]핵심못짚는 규제개혁,청와대와 대통령이 규제개혁의 ‘갈라파고스’
관련기사 = [금융위 해체론-①]금융위는 핀테크혁신 가로막는 손톱밑가시의 몸통,대놓고 대못질