해외에서는 보안성, 호환성 때문에 ‘액티브X’ 사용 거의 사라져국내 금융계, 보안성보다 비용 의식해 여전히 ‘액티브X’ 사용

  • 현대캐피탈 해킹사건으로 제2금융권의 보안 수준이 너무 낮다는 비판이 많다. 하지만 실은 우리나라 금융계 전반의 보안이 문제다. 지금도 ‘값싼’ 액티브X 기반의 보안 프로그램을 고집하기 때문이다.

    국내 90% 이상의 금융기관이 사용하는 ‘액티브X’

    ‘액티브X 컨트롤 프로그램(이하 액티브X)’은 마이크로소프트社가 ‘자바(Java) 프로그램’에 대응해 만든, 웹과 프로그램을 구현해주는 기술이다. 국내에서는 인터넷으로 금융기관 또는 쇼핑몰에 접속하면 이 ‘액티브X’ 보안 프로그램을 설치하라는 메시지가 여러 번 뜬다. 웹하드-P2P 사이트, 동영상 전문 사이트, 블로그 등에서도 이 ‘액티브X’를 설치해야 한다는 메시지를 자주 볼 수 있다.

    반면 다른 나라에서는 취약한 보안성, 호환성 때문에 이 ‘액티브X’를 거의 사용하지 않는다. 실제 최근까지 ‘가짜 백신’, 웹하드-P2P 업체가 ‘끼워팔기’를 하는 ‘불법 툴바(Toolbar) 프로그램’ 등의 악성코드가 대부분 액티브X 설치를 통해 전파된다. DDoS공격에 사용되는 ‘좀비PC’ 또한 이 액티브X를 통해 전염된다. 액티브X로 구현되는 웹페이지는 다른 브라우저로는 볼 수도 없다. 하지만 우리나라에서는 인터넷 브라우저 중 마이크로소프트의 ‘익스플로러’가 차지하는 비율이 98%인 탓에 그동안 별 문제가 안 되었다.

    이것이 문제가 된 것은 스마트폰 시장이 커지면서부터다. 액티브X는 스마트폰에서 사용할 수 없다. 이에 스마트폰 사용고객을 놓치기 싫었던 금융계는 ‘스마트폰용 프로그램’을 만들어 배포했다. 하지만 지금도 인터넷 뱅킹 등은 여전히 액티브X 기반이다. 방송통신위원회와 전자통신기술연구원(이하 ETRI) 등에서는 액티브X 대신 새로운 형태의 본인인증기법과 보안기술을 확산해야 한다고 권고해 왔다. 

    방통위, ETRI의 스마트 사인, 새로운 웹 언어 HTML 5에 기대

    방송통신위원회(위원장 최시중, 이하 방통위)는 액티브X 의 문제점 등을 지적하며 스마트사인, HTML5 등 새로운 기술을 적용해야 한다고 주장하고 있다. 방통위는 ‘웹 호환성과 보안에 문제가 있는’ 액티브X 대신 ETRI 등이 개발한 스마트 사인을 보급하는 한편 새로운 웹 언어인 ‘HTML 5’ 보급에도 나설 계획이다.

    방통위 측은 언론과의 접촉에서도 “정부는 액티브X 대체기술에 대한 가이드라인 제시와 웹 표준 기술교육 등을 통해 민간이 자발적으로 참여해 웹 사이트를 개선하도록 할 것”이라고 여러 차례 밝혔다.

    방통위가 보급하려는 스마트 사인은 액티브X 프로그램처럼 공인인증서를 불러오도록 하는 기술이다. 익스플로러에서만 사용할 수 있는 액티브X와는 달리 파이어폭스, 구글 크롬 등에서도 사용할 수 있다. 방통위는 2014년까지 국내 100대 주요 사이트에 이 스마트 사인 기술을 적용할 예정이다.

    방통위는 또한 최신 웹 언어인 ‘HTML 5’에도 기대를 걸고 있다. 방통위는 국내 인터넷 전문가들과 함께 HTML5 기반 기술을 개발, 지원, 소개할 계획을 갖고 있다. 방통위는 이 외에도 CSS3, SSL(Secure Sockets Layer), HTTPS 등도 대안이 될 것으로 보고 있다. 하지만 방통위가 이렇게 애써도 강제규정이 아니라 한계가 있다.

    방통위 나서도 기업들에 강제규정 두기 어려워

    한편 금융계는 당국이 권고하는 ‘보안예산 5%’도 지키지 않고 있다. 새로운 웹 보안표준을 도입하는 데에도 소극적이다. 때문에 아직도 액티브X를 설치 안 하면 인터넷 뱅킹을 할 수가 없다. 이것이 문제가 될 것이라고 보는 금융기관도 안 보인다.

    입법조사처가 2010년 발표한 자료에 따르면 2009년 말 기준으로 인터넷뱅킹 고객 수는 5,921만 명에 달한다. 인터넷뱅킹 이용 건수는 일 2,800만 건, 금액은 29조4,577억 원에 달한다. 전체 은행거래 중 인터넷뱅킹(37.4%)이 CD/ATM 거래(36.7%)를 넘어선다. 이런 인터넷뱅킹 전체가 액티브X 기반으로 구성되어 있다니 IT에 관심이 있는 국민들 입장에서는 DDoS 대란을 보며 불안할 수 밖에 없다.

    언론들은 이번 현대캐피탈 해킹을 보도하며 이 문제가 제2금융권의 관행문제인 양 보도하고 있다. 하지만 액티브X에 대한 IT전문가들의 우려를 들어보면 우리나라 금융계 전체의 문제인 것을 알게 될 것이다.