[디지털라이프] 액티브X에 관한 X파일
- 기사입력 : 2014-04-08 11:00:00
-
공인인증서와 액티브엑스 논란이 뜨겁다. 발단은 지난달 20일 청와대에서 열린 ‘규제개혁 끝장토론’에서 이승철 전국경제인연합회 상근부회장이 ‘액티브엑스 (ActiveX)’를 온라인시장을 저해하는 암적인 규제로 거론하면서다. IT업계에서는 해묵은 액티브엑스·공인인증서 논란이 새삼 수면 위로 떠오른 것이다.
◆액티브엑스(ActiveX)란= 쇼핑몰이나 인터넷뱅킹을 이용할 때면 브라우저 하단의 안내 바에 “이 웹 페이지에서 xxx에서 배포한 xxx 추가 기능을 실행하려고 합니다”라는 팝업창이 뜬다. 브라우저를 통해서 어떤 소프트웨어를 설치할 수 있도록 통로와 같은 역할을 해주는 것이 액티브엑스다.
◆액티브엑스의 문제점= 액티브엑스는 브라우저를 통해 직접적으로 사용자의 컴퓨터를 컨트롤할 수 있다. 다운받아 설치하는 다른 프로그램들과 달리 백신으로 파일 검증도 되지 않는다. 또 이를 통해 사용자 컴퓨터의 데이터를 가져갈 수도 있다. 물론 액티브엑스를 통해 이러한 것을 설치할 때는 사용자의 승인을 받도록 돼있다. 하지만 여러 사이트들이 액티브엑스를 통한 보안프로그램이나 결제프로그램을 설치해야만 진행되도록 돼 있어 ‘YES’를 누를 수밖에 없다. 그래서 사용자들은 어떤 프로그램인지 확인도 하지 않고 YES를 누르곤 한다. 일부 사용자들은 이마저도 귀찮아 보안수준을 낮추기도 한다. 때문에 악성코드나 미허가 프로그램도 승인해 주거나 사용자 모르게 설치돼 대한민국 PC는 악성코드 지옥에 빠져 해킹 공격에 취약해졌다. 마이크로소프트사(MS)는 지난 2006년 익스플로러7을 발표하면서부터 액티브엑스의 사용을 경고했다. 보안에 문제점이 많이 발견되었기 때문이다. 이후 MS가 몇 차례 지원 중단을 발표할 때마다 정부와 기업들은 MS에 한국시장에만은 예외로 해달라고 요청을 했다. 액티브엑스는 공인인증서와 뗄 수 없는 관계이기 때문이다.
◆공인인증서는= 공인인증서는 전자상거래에서 신원 확인, 문서의 위조 및 변조, 거래사실 증명을 위해 사용하는 사이버상의 ‘인감도장’이다. 이 안에는 발행기관 식별정보, 가입자의 성명 및 식별정보, 전자서명 검증키, 인증서 일련번호, 유효기간 등이 포함돼 있다. 인터넷쇼핑, 인터넷뱅킹, 서류 발급, 납부 등 다양한 분야에서 활용된다. 공인인증서는 개인 키와 공개 키로 구성된 비대칭 키 암호화 시스템을 사용한다. 비대칭 키 암호화란 데이터를 암호로 만들 때와 풀 때 각각 다른 키를 사용하는 방식이다.
◆공인인증서의 문제점= 먼저 개인 키 보관이 허술하다. 하드디스크에 저장했다면, C:Program FilesNPKI나 %UserProfile%AppDataLocalLowNPKI에 있다. 이 때문에 누구나 간단하게 복사할 수 있다. 모든 운영체제가 표준보안방식에 따른 암호화된 키 보관 장소를 제공하지만 따르지 않고 있다.
위치가 정해져 있는 공인인증서는 악성코드가 깔리면 해커들이 노리기 좋은 먹잇감이 된다. USB에 저장돼 있더라도 악성코드에 감염된 컴퓨터에 USB를 꽂으면 해커에게 전송될 위험이 있다.
두 번째로 ‘인감도장’인데도 너무 자주 사용된다. 인터넷뱅킹에 로그인할 때, 이체할 때, 전자상거래에서 결제할 때마다 공인인증서를 요구한다.
공인인증서는 전자상거래에서 ‘내가 승인했다’라고 증명해주는 효력이 있다. 이것을 ‘부인 방지’라고 한다. 하지만 이 부인방지 효력 때문에 해킹으로 금융사고가 발생해도 보상받기 어렵다.
◆공인인증서와 ActiveX는 무슨 사이= 공인인증서가 사용하는 보안방식은 국제표준 보안방식이 아니다. 그래서 인터넷 브라우저에서 기본적으로 지원하지 못한다. 때문에 필요했던 것이 액티브엑스다.
액티브엑스를 통해 보안모듈을 컴퓨터에 설치하고, 공인인증서 암호를 보호하기 위해 키보드보안 프로그램과 백신프로그램 등이 설치된다.
액티브엑스를 지원하지 않는 크롬·파이어폭스·사파리 등에서 공인인증서를 사용할 수 없는 이유이다. 이들 브라우저에서 공인인증서를 사용하려면 보안프로그램을 다운받아서 설치하거나, 액티브엑스가 아닌 NPAPI 플러그인을 사용해서 설치가 되도록 하는 곳도 있다.
◆해외는 어떻게 할까= 웹서핑을 하다 보면 URL창에서 Https://라는 것을 본 적이 있을 것이다. 평소 우리가 사용하는 Http와 Https의 차이는 SSL이라는 표준 보안 프로토콜의 사용 여부이다. 이 외에도 다양한 보안방식이 사용되지만 사용자들에게 무엇을 설치하라는 요구를 하지 않는다. 인터넷뱅킹과 인터넷쇼핑을 할 때도 ID와 비밀번호·카드번호 정도만 있으면 어디서든 가능하다.
가장 유명한 지불방법으로는 페이팔이 있다. 처음 한 번만 카드정보를 입력하고 나면 이후로는 ID와 비밀번호를 입력하는 것으로 결제를 완료할 수 있다. 아마존의 원클릭도 편하고 빠른 결제방법으로 유명하다.
◆국내는= 국내 소비자들은 그동안 대부분의 온라인 쇼핑몰에서 결제를 하려면 액티브엑스를 통해 ISP나 안심클릭 등 PG(전자지금결제대행사)가 요청하는 보안모듈을 설치해야만 했다. 물론 아닌 곳도 있다. 예를 들면 애플스토어와 인터넷 서점 알라딘 등은 국내 PG사인 페이게이트의 ‘간편결제’를 사용한다. 간편결제는 웹 표준기술 기반으로 신용카드 결제 서비스로 개발됐다. 그것도 2005년도에 말이다. 웹 표준을 기반으로 했기 때문에 보안모듈 설치를 요구하지 않는다. 그리고 모바일 웹에서도 앱을 깔지 않아도 신용카드 결제가 가능하다.
◆정부 대책은= 내달부터는 30만원 이상 전자상거래 때 의무적으로 공인인증서를 사용하게 한 규제가 폐지되고, 공인인증서가 없어도 거래가 가능하도록 됐다. 또 해외 소비자를 위해 액티브엑스를 통한 공인인증서나 보안프로그램이 필요없는 쇼핑몰을 구축하기로 했다.
공인인증서 사용 여부는 카드사와 PG사의 자율에 맡겨졌지만 당장 액티브엑스 없는 인터넷쇼핑은 어려울 것으로 예상된다. 결제 모듈·인증방식·부정사용자 식별 등 시스템 개선이 필요할 것이다. 길은 열렸지만 준비되지 않았거나 비용 문제가 발생하기 때문이다.
한편 쇼핑몰에 대한 규제는 풀렸지만 금융권·관공서에서의 공인인증서 사용은 여전하다. 전자 서명법 개정안이 통과되기까지는 좀 더 시간이 필요할 것 같다.
박진욱 기자 jinux@knnews.co.kr- 박진욱 기자의 다른기사 검색
