안철수 의원이 2012년 대통령선거 후보로 출마를 선언했을 때 액티브X를 반드시 퇴출시키겠다고 공약했다. 액티브X를 이용해 악질적인 악성코드를 배포하거나 광고성 프로그램을 설치하는 등 액티브X 악용한 공격이 전 사회적인 문제로 발전하고 있기 때문이다.
액티브X 퇴출은 몇년 전 부터 논의돼 온 것이지만, 언제나 말의 성찬만 이어질 뿐 실제로 변하는 것은 없었다. 이번에는 진짜 액티브X 퇴출이 가능할까? 사회적으로 영향력이 높은 안철수 의원이 대통령 후보시절 공약을 발표하자마자 즉시 새누리당이 이를 따라 액티브X 퇴출을 공약했으며, 새로 출범된 미래창조과학부와 한국인터넷진흥원에서도 액티브X 퇴출과 HTML5 활용 확산을 적극 지원하고 있다.
5월 민주당 의원 주도로 공인인증제도를 폐지하는 법안이 발의됐다. 이종걸 의원이 발의한 ‘전자금융거래법 개정 법률안’은 21조 3항의 공인인증서 사용 근거 규정을 고치는 내용으로, 금융위원회가 인증기술 및 보안 기술의 공정한 경쟁을 저해하거나 특정 기술, 서비스 사용을 강제해서는 안된다는 내용을 담고있다. 이 중 특정 기술과 서비스 사용을 강제해서는 안된다는 내용이 액티브X 퇴출과 관련된 것이다.
최재천 의원 주도로 발의된 ‘전자서명법 전부 개정안’에는 ‘공인인증서’의 ‘공인’이라는 단어를 빼고, 정부가 인증기관을 지정하지 않으며, 인증기관이 준수해야 할 업무수행 기준 핵심요건 4개를 법에서 규정한 다음, 나머지 세부적인 사항은 민간 자율에 맡기는 것이다. 핵심 요건은 독립적인 기관일 것, 전문적인 제 3자의 검증을 받을 것, 충분한 수준의 암호화 알고리즘을 사용할 것, 개인정보보호법을 준수할 것 등이다.
법안을 발의한 의원들과 이에 참여한 김기창 오픈넷 이사 등은 액티브X와 공인인증서 취약점 문제는 전 사회적인 공감대를 얻고 있으며, 새누리당에서도 대통령 선거 당시 공약으로 내세운 만큼, 이번에는 확실히 개선시킬 수 있다고 자신한다. 그러나 회의적인 시각이 있는 것도 부정할 수 없다. 우리나라 국회의 기능을 믿는다 해도 액티브X를 퇴출시키고, 공인인증제도를 폐기하면 안전하고 깨끗한 웹 환경을 만들 수 있을지 의심하지 않을 수 없기 때문이다.
액티브X와 공인인증제도가 갖고 있는 문제는 단순히 기술적인 한계 때문이 아니라 이를 제도화하고 집행하는 과정, 그리고 그 과정이 갖고 있는 철학의 문제기도 하다. 액티브X·공인인증서를 둘러싼 논쟁을 3가지 주제로 나눠 시리즈로 살펴본다.
액티브X는 억울하다?
액티브X 퇴출을 주장하는 사람들이 말하는 것 처럼 액티브X는 반드시 퇴출돼야 할 나쁜 기술인가? 액티브X가 갖고 있는 보안 취약점은 분명히 있다. MS도 인정하는 액티브X의 보안 취약점은 시스템 관리자 권한으로 프로그램을 설치한다는 것이다.
시스템 관리자 권한은 드라이버를 설치하는 등 하드웨어에 대한 전문적인 지식을 필요로 한다. 플러그인을 사용해 프로그램을 설치하는 정도의 변경이면 사용자 권한으로도 충분하다.
김기영 안랩 융합제품개발실장은 “관리자 권한을 갖고 시스템을 수정하는 액티브X의 성격을 이용해 악성코드를 시스템 권한으로 동작할 수 있도록 설계할 수 있다. 그러나 꼭 그것만이 아니라 일반 브라우저도 취약점 기반의 드라이브바이 공격으로 동일한 결과가 나고 최근의 동향도 이러한 방법을 더 많이 사용하기 때문에 액티브X의 보안 이슈가 문제의 핵심은 아니다”고 설명했다.
이러한 문제를 해결하기 위해 MS는 윈도우 비스타 부터 ‘비 관리자 액티브X’ 기능을 추가했지만, 우리나라에서는 잘 사용되지 않고 있으며, 계속 사용하던대로 관리자 권한의 액티브X를 이용해 프로그램을 내려받도록 한다.
묻지도 따지지도 않고 설치하는 ‘액티브X’
액티브X가 자체적으로 갖고 있는 보안 취약점도 있다. 소프트웨어 개발 도중 발생하는 버그나 장애, 오류 등이 있으며, 시큐어코딩을 적용하고, 패치 업데이트를 해도 좀처럼 해결할 수 없다. 이 문제는 모든 소프트웨어가 가진 문제이므로, 단지 이 점 때문에 액티브X를 퇴출해야 한다고 말하는 것은 무리가 있다.
액티브X 퇴출과 공인인증제 폐지를 강력하게 주장하는 대표인사가 김기창 고려대학교 법학과 교수다. 오픈넷 이사인 김 교수는 오래 전 부터 마이크로소프트에 지나치게 의존하는 폐쇄적인 웹 환경과 특정 기술을 강요하는 정부 정책을 맹렬히 비판해왔다. 이종걸·최재천 의원이 발의한 법안에도 참여해 중요한 역할을 했다.
김 교수의 주장은 정부가 보안 정책을 수립하면서 마이크로소프트라는 특정 기업의 기술만을 강요해 시장의 건전한 성장을 저해하고, 보안 취약성을 높였으며, 국민이 자유롭게 웹 환경을 선택할 자유를 해쳤다는 것이다. 또한 MS에만 의존하는 IT 기업을 기형적으로 성장시켜 IT 산업이 MS에만 종속된다는 문제도 제기해왔다.
우리나라 국민들이 사용하는 컴퓨터 OS의 90%가 윈도우를 기반으로 하고 있으며, 인터넷에 연결하는 브라우저도 인터넷 익스플로러(IE)를 사용한다. 문서작성을 위한 오피스 프로그램 역시 MS 오피스를 사용한다. MS가 없으면 컴퓨터를 이용한 어떠한 일도 할 수 없게 됐다.
웹을 기반으로 하는 서비스가 다양해지면서 윈도우 종속성을 더욱 높아졌다. 초기 웹은 텍스트가 주를 이뤘으며, 작은 용량의 이미지와 링크된 관련 정보를 보는 정도 수준이었다. 초고속 네트워크가 가정마다 설치되는 등 네트워크 속도의 비약적인 발전이 이뤄지면서 다양한 멀티미디어가 웹에서 구현됐다. 이를 위한 별도의 프로그램이 웹 브라우저에 플러그인 방식으로 설치됐으며, 액티브X는 IE에서 구동되는 플러그인 기술이다.
다른 웹브라우저의 플러그인 기술도 보안 취약점이 있지만, 유독 액티브X만 비난을 받는 것은 우리나라 웹 기술이 거의 대부분 IE 기반으로 구현돼 기술 종속성이 높기 때문이다. 즉 액티브X 자체를 비난한다기보다 액티브X만 이용하도록 하는 상황에 대한 비판이라고 봐야 한다.
우리나라처럼 액티브X를 광범위하게 사용하는 나라가 없는데, 우리나라는 정부가 인터넷 사용환경을 빠르게 확산시키기 위해 IE 기반 기술을 적극 장려했으며, 다양한 기술이 IE에 탑재되기 위해 액티브X를 사용했다. 액티브X로 배포되는 소프트웨어가 범람했으며, 다른 브라우저를 지원하는 플러그인은 찾아보기 어려웠다.
김기창 교수는 “정부가 특정 기술을 강제하는 결과를 낳은 것이 가장 큰 패착이다. 정부는 큰 틀의 가이드라이만 주고, 세부 기술은 기업/기관이 직접 선택하도록 해야 한다”고 강조했다.
인터넷뱅킹 이용하려면 무조건 ‘설치’
액티브X를 이용해 웹브라우저가 구현하지 못하는 기능을 내려받도록 하다보니 사용자들이 습관적으로 액티브X의 프로그램 설치 동의 여부를 알리는 팝업창의 ‘설치’를 클릭했으며, 이러한 습관을 악용한 부작용이 진짜 문제가 됐다.
예를 들어 2000년대 초·중반 반 수많은 안티바이러스 프로그램이 생겨났을 때, 제품을 개발한 기업들이 많은 사용자를 확보하기 위해 액티브X를 이용해 바이러스를 유포시킨 후 자사 제품을 이용해 무료로 바이러스 검사를 하도록 한다. 그리고 엄청난 숫자의 바이러스를 찾아낸 다음 유료 버전을 구입하도록 유도했다.
이러한 부작용이 심각해지면서 액티브X 팝업창이 나타났을 때 어떤 프로그램이 사용되는지 정확하게 확인하고 설치하거나 거부하도록 하는 캠페인이 잠시 일어났지만, 무조건 ‘설치’를 누르는 사람들의 습관은 좀처럼 개선되지 않았다.
사람들이 이처럼 나쁜 습관을 갖도록 한 일등공신이 인터넷뱅킹이다. 인터넷뱅킹을 위해서는 우선 IE에서 액티브X를 이용해 공인인증서를 발급받아야 하고, 키보드 보안, 개인 방화벽, 가상 키패드 등 여러가지 보안 프로그램을 추가로 받아야 한다. 보안 프로그램을 설치해야 인터넷 뱅킹을 사용할 수 있다는 안내를 받아온 사람들은 자신의 컴퓨터에 어떠한 프로그램이 설치되는지 알지 못한채 그저 무심코 ‘설치’ 버튼을 클릭하게 돼 있다.
은행 인터넷 사이트나 정부 공공기관 민원사이트 등에서도 고객센터 Q&A 게시판에는 “액티브X 창이 나타나면 전부 ‘예’ 혹은 ‘설치’를 선택해야 한다”고 답변하고 있어 사람들은 액티브X 사용이 당연한 것으로 인식하고 있다.
MS는 윈도우 비스타 이후 윈도우는 관리자 권한으로 설정을 변경하려는 시도가 있거나 설치하려는 소프트웨어가 신뢰할 수 있는 기관에서 개발된 것으로 확인되지 않을 때 다시 한 번 확인하는 절차를 추가했다. 그러나 우리나라에서 개발되는 소프트웨어는 대부분 공신력있는 기관으로부터 인증을 받지 않기 때문에 신뢰할 수 있는 배포자로 등록돼 있지 않다. 또한 관리자 권한으로 프로그램을 설치하는 액티브X를 사용하기 때문에 MS의 이러한 확인절차는 무용지물이다.
HTML5는 만병통치약이 아니다
액티브X 팝업창이 뜨면 자동으로 설치 버튼을 클릭하도록 하는 습관은 심각한 보안사고를 일으킬 수 있다. 3·20 전산망 마비사고에 사용된 악성코드가 액티브X로 설치된 것으로 보고되고 있으며, 액티브X로 설치되는 어도비 플래시 플레이어를 위장한 악성코드도 나타났다.
이스트소프트가 4월 발표한 보고서에 따르면 액티브X는 사용자에게 설치 동의를 요구하기 때문에 윈도우 보안 업데이트로 막기 어려우며, 한번 설치된 액티브X 프로그램은 다시 작동할 때 추가 동의를 받지 않아 공격자가 언제든 새로운 악성코드를 지속적으로 배포할 수 있다.
액티브X가 매우 심각한 보안위협으로 떠오르고, 전국민적인 퇴출 움직임이 나타나자 정부와 정치권이 이번에는 진짜 의지를 갖고 액티브X를 퇴출시키겠다고 공언하고, HTML5로의 전환을 독려하고 있다. HTML5는 웹 개발 언어의 차세대 버전으로, 기존의 웹 브라우저가 지원하지 못했던 다양한 기능을 지원하고 차세대 개발환경을 구현할 수 있어 플러그인 없이 웹 서비스를 제공할 수 있을 것으로 기대한다.
김기영 안랩 실장은 “앞으로 브라우저는 OS 독립적이고, 추가 프로그램 설치 없이 웹을 사용할 수 있어야 하며, 사용자 편의성과 가용성이 높아야 한다. HTML5는 미래의 화려한 웹과 강력한 보안을 제공할 수 있는 방향으로 제안될 것”이라고 말했다.
HTML5를 적극 지지하는 분야에서는 이 기술이 OS를 대체할 수 있을 것이라고 기대하면서 현재 웹 생태계를 완전히 혁신할 것이라고 주장한다. 확실히 HTML5는 현재 웹 환경의 문제를 상당부분 해소할 것이다. OS 독립적이고, 플러그인 없이 현재 서비스되는 다채로운 웹 서비스를 이용할 수 있을 것이며, 단말 환경에도 제약을 받지 않도록 최대한 노력할 것이다.
그러나 하나의 기술이 발전하면 다른 기술도 발전하게 마련이다. HTML5가 기본으로 제공할 수 있는 기능이 많아지면 이보다 더 유려한 기술이 추가될 것이다. 새로운 공격도 늘어날 것이며, 또 다른 복잡성이 나타날 것이다.
홍승창 소프트포럼 전무는 “HTML5에서 논의되고 있는 주제들은 매우 긍정적인 것으로 평가한다. 우리 정부와 연구기관도 표준제정과 사용환경 확산에 많은 노력을 기울이고 있는 것으로 안다”며 “그러나 HTML5는 아직 사용되고 있지 않으며, 정부도 5년 마스터플랜을 수립한 상태로, 지금 당장 HTML5로 옮겨가는 것이 아니다. 기존의 보안위협은 낮출 수 있는 기능을 갖췄겠지만, 또 어떤 새로운 공격이 나타날 지 모른다”고 지적했다.
