‘액티브X 사라져도 불편함 남는다’…EXE·공인인증서도 논란

‘액티브X 사라져도 불편함 남는다’…EXE·공인인증서도 논란

입력 2017-07-09 13:37
수정 2017-07-09 13:37
  • 기사 읽어주기
    다시듣기
  • 글씨 크기 조절
  • 댓글
    0

실행파일 역시 해커침투 위험 상존·고객 불편 해소 못해

#회사원 A 씨는 주거래 은행 사이트를 들어갈 때마다 한숨이 나온다. 주거래라는 말이 무색하게 해당 은행이 개인정보 암호화, 키보드 보안 등 온갖 보안 프로그램의 설치를 요구하기 때문이다. 이미 설치한 프로그램도 기간 만료가 돌아왔다는 이유로 다시 설치해야 한다.

정부의 전자민원사이트 민원24나 국세청의 홈택스 사이트도 사정은 크게 다르지 않다.

은행만큼 자주 이용하는 사이트가 아니다 보니 이용자의 번거로움은 더욱 크다. 어쩌다 한번 접속하는데 적어도 3~4개의 프로그램을 깔아야 한다.

◇ 액티브X 폐기 추진…EXE 실행 파일 대체 논란

이용자를 짜증 나게 하는 주범은 액티브엑스(ActiveX)와 EXE로 대표되는 실행 프로그램들이다. 이들은 주로 공인인증서와 각종 보안 기능을 구동하기 위해 활용된다.

액티브X는 MS 웹브라우저인 인터넷 익스플로러에서만 사용할 수 있고, 자동설치 방식 등 취약점으로 인해 악성코드의 전파 경로로 악용돼왔다.

정부는 이른바 ‘천송이 코트’ 논란을 계기로 지난 2014년부터 액티브X 폐기 정책을 펴왔다.

행정자치부에 따르면 2015년 공공분야 홈페이지 1만2천13개가 9천129개의 액티브X를 쓰고 있었다. 정부의 폐기 정책으로 지난해 말 액티브X를 사용하는 웹사이트는 2천71개로 83% 감소했고, 액티브X도 3천787개로 줄었다.

국정기획자문위원회는 지난 6일 2020년까지 공공분야의 모든 웹사이트에서 액티브X를 없애겠다고 밝혔다.

민간 부문을 담당하는 미래창조과학부와 한국인터넷진흥원(KISA)도 연말까지 이용자가 많은 100대 민간 사이트의 액티브X를 폐기할 방침이다.

정부는 액티브X 폐기가 어려울 경우 EXE 등 실행 프로그램을 대신 적용하기로 했다.

EXE는 윈도 응용 프로그램으로, 크롬과 파이어폭스 등 다른 웹브라우저에서도 사용할 수 있다. 하지만 역시 별도의 설치가 필요하다는 점에서 한계가 있다.

지난 정부 때에도 액티브X 폐기 정책 이후 EXE 프로그램이 우후죽순 생겨나 이용자의 불편은 여전했다.

액티브X와 마찬가지로 해커들의 침투 경로가 될 위험도 있다.

보안업체 하우리 최상명 실장은 “해커들이 실행코드로 둔갑한 악성코드를 유포할 가능성이 있다”며 “실행파일의 보안을 담보할 방법을 모색해야 한다”고 말했다.

현 방식의 액티브X 폐기 정책은 대통령 공약인 ‘노플러그인(No-plugin)’ 정책과도 거리가 있다.

문재인 대통령은 대선 후보 당시 “정부가 관리하는 모든 사이트에서 액티브엑스는 물론 일체의 플러그인을 모두 제거하겠다”고 약속했다.

노플러그인 실현을 위한 방안으로는 별도 프로그램 설치가 필요 없는 웹표준 구축이 꼽힌다.

아마존이나 이베이 등 해외 대형 쇼핑몰이 아이디, 카드번호, 비밀번호를 입력하는 것만으로 결제가 가능한 이유는 웹사이트 자체가 국제 웹표준의 암호화 방식을 따르기 때문이다.

하지만 국내 웹사이트 가운데 절반가량이 현행 웹표준(HTML5)을 따르지 않고, 웹표준 역시 문서 위변조 방지 등 국내에 특화한 일부 보안 기능을 지원하지 않아 한계로 지적된다.

◇ 공인인증서 여전히 활용도 높아…“면책 관행 바뀌어야”

정부의 액티브X 폐기 방침으로 공인인증서도 다시 도마 위에 올랐다.

공인인증서는 애초 계약 성사를 확인하는 전자서명 용도로 만들어졌지만, 본인 확인용으로 활용하는 경우가 많다.

이 때문에 공인인증서 없이 웹사이트를 이용하려면 불편함이 컸다.

지난 정부는 액티브X와 함께 공인인증서 폐기를 추진했다. 2015년 전자금융거래법을 개정해 금융업계의 공인인증서 의무사용 규정을 폐기했지만, 여전히 많은 공공 및 금융기관들이 공인인증서를 요구하고 있다.

공인인증서는 해외에서도 통용되는 공개키(PKI) 기반의 전자서명 방식으로, 자체 보안성이 뛰어나나 파일 형태로 컴퓨터에 저장돼 해커의 먹잇감이 될 위험이 있다.

정부 주도의 현 관리 방식이 민간 영역의 인증기술 경쟁력을 제한한다는 비판도 있다. 현재 공인인증서는 정부(한국인터넷진흥원)의 관리 아래 한국정보인증·코스콤·금융결제원 등 5개 기관이 발급한다.

공인인증서 폐지보다는 기업의 면책 수단으로 활용되는 관행 개선이 우선이라는 지적도 제기된다.

전자금융거래법 9조 2항은 ‘이용자 피해가 발생한 경우 금융사나 전자금융업자가 사고를 방지하기 위해 보안절차를 수립하고, 철저히 준수하는 등 충분한 주의를 다했다면 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다’고 규정한다.

이 조항을 이용해 금융사는 고객에게 공인인증서 및 보안 프로그램 설치를 요구하고, 미설치 시 이용을 제한한다. 고객의 공인인증서가 해킹돼 금융 사고가 발생한 경우 관리 소홀의 책임은 고객에게 돌아가 사실상 금융사는 책임을 피하게 된다.

한국인터넷진흥원 백기승 원장은 “문제는 공인인증서가 아닌 보안을 고객에게 떠넘기는 관행”이라며 “금융권이 사고의 책임을 지는 방향으로 가도록 권한과 책임을 정리할 필요가 있다”고 말했다.

연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
close button
많이 본 뉴스
1 / 3
광고삭제
광고삭제
위로