“북한 해커들이 좋아하는 액티브엑스, 감싸면 종북 좌빨.”

Scroll this

“우리 회사는 관리자의 허가 없이는 컴퓨터에 어떤 프로그램도 못 깔게 돼 있어요. 액티브엑스도 물론 마찬가지고요. 그래서 회사에서는 인터넷 뱅킹은 물론이고 카드 결제도 못합니다. 연말 정산 때면 액티브엑스를 깔 수 있는 공용 컴퓨터를 한 대 로비에 두는데 며칠 지나서 보면 온갖 악성코드로 범벅이 돼 있곤 하죠. 아찔하다는 생각이 듭니다.” 한 외국계 정보기술 업체 관계자의 이야기다.

“저는 몇 년 전부터 인터넷 뱅킹이나 카드 결제를 하지 않습니다. 계좌이체를 하려면 은행에 직접 가서 하고 뭐 살 게 있으면 오프라인 매장에 가서 카드 결제를 합니다. 불편하긴 하지만 제 생각에는 그게 더 스트레스를 안 받는 길입니다. 꼭 온라인 쇼핑을 해야 할 일이 있으면 직장 동료에게 돈을 주고 사달라고 합니다. 어차피 그 컴퓨터는 액티브엑스로 떡칠이 돼 있으니까요.” 오픈넷 한창민 사무국장의 이야기다.

만약 마이크로소프트가 인터넷 익스플로러 새 버전을 내놓으면서 액티브엑스를 지원하지 않겠다고 발표하는 상황을 생각해 보자. 충분히 있을 수 있는 일이지만 온 나라가 난리가 날 게 뻔하다. 생각 없이 업데이트한 사람들은 갑자기 인터넷 뱅킹이나 카드 결제가 안 된다며 당황해 할 것이고 웹 사이트 관리자들은 임시 방편으로 웹 브라우저를 다운그레이드하라는 공지를 띄울 것이다. 부랴부랴 대책 마련에 나서겠지만 엄청난 혼란이 불가피할 것이다.

마이크로소프트 윈도우즈와 인터넷 익스플로러만 쓰는 사람들에게는 충격적인 상황이겠지만 맥이나 리눅스 같은 다른 운영체제와 파이어폭스나 크롬, 사파리 등 다른 웹 브라우저를 쓰는 사람들에게는 날마다 겪는 일상적인 불편함이다. 실제로 취재 과정에서 금융 거래 전용으로 별도의 컴퓨터를 두고 쓴다는 사람들도 여럿 만났다. 모두 액티브엑스를 벌레만큼이나 싫어하는 사람들이었다.

마이크로소프트가 액티브엑스라는 응용 프로그램 플러그인을 처음 내놓았을 때가 1996년, 인터넷 익스플로러 버전 3.0 시절이었다. 그때만 해도 혁신적인 기술이었지만 이제는 마이크로소프트도 사용을 자제해 달라고 말하는 낡은 기술이 됐다. 악성코드를 배포하는 온상이기도 하고 무엇보다도 웹 표준에 어긋나는 데다 마이크로소프트 인터넷 익스플로러 이외의 운영체제나 웹 브라우저 이용자들을 배제하는 문제가 크다.

최근 알라딘의 액티브엑스 없는 간편결제 시스템이 카드사들의 집단 왕따로 퇴출되고 금융위원회가 애플에 (액티브엑스 기반의) 공인인증서 없이 30만원 이상 결제를 해서는 안 된다는 시정명령을 내리는 등 일련의 사건을 보면 우리나라에서 액티브엑스 중독이 얼마나 심각한 상황인지 다시 돌아보게 된다. 액티브엑스 중독이 마이크로소프트 독점을 강화하고 이런 독점 상황이 액티브엑스 중독을 강화하는 악순환에 빠져 있다고 볼 수 있다.

대안은 뭘까. 알라딘에 결제 시스템을 공급했던 페이게이트는 금융위 인증방법 평가위원회에서 공식 인증을 받았는데도 퇴출됐다. 카드사들의 요구 조건을 다 들어줬는데도 계속해서 트집을 잡았다. 금융위 관계자들은 액티브엑스를 강요하지 않는다고 말한다. 공인인증서보다 더 안전한 방법이 있으면 가져오라고 말한다. 그런데 정작 그런 걸 가져와도 온갖 이유를 들어 왕따를 시킨다.

법을 바꾸면 된다고? 국회에는 전자서명법 개정안과 전자금융거래법 개정안이 올라와 있다. 그러나 전문가들 가운데 상당수는 법 조항 몇 개 바꾼다고 해결될 문제가 아니라는데 인식을 같이 했다. 법을 다 지켜도 문제를 삼고 법에도 없는 걸 막무가내로 강요하는 상황이다. 그래서 김기창 고려대 법학전문대학원 교수 같은 사람은 “금융위와 보안업체들의 액티브엑스+액티브엑스 카르텔을 끊는 게 우선”이라고 강조한다.

“문제가 많다는 건 다 압니다. 보안 개발자들 만나보면 어디선가 계속 지시가 내려온다고 합니다. 별별 사소한 걸 다 코치하려고 든다는 건데요. 제가 보기에는 그냥 힘을 행사하고 싶은 것 아닐까 하는 생각이 들 정도입니다. 알라딘 페이게이트 문제도 카드사들이 뺄 이유가 없습니다. 금융감독원이 빼라고 압박을 했겠죠. 금감원이 왜 이런 일까지 하는지 모르겠는데 금감원을 해체하지 않고는 대안이 의미가 없습니다.” 한 보안업체 관계자의 이야기다.

김기창 교수는 이런 주제로 토론회에 참석할 때마다 “공인인증서를 무작정 없애라는 게 아니라 공인이라는 말만 떼자는 것”이라고 거듭 강조한다. “공인인증서를 없애도 여전히 쓰는 은행들이 많겠지만 핵심은 정부가 국민들에게 획일적인 보안 시스템을 강요해서는 안 된다는 것”이라는 주장이다. 규제할 수 없는 걸 규제하려 해서는 안 된다는 이야기다. “시대착오적인 관제 보안이 한국 인터넷을 갈라파고스화하고 있다”는 비판도 계속되고 있다.

한상기 소셜컴퓨팅연구소 대표는 “액티브엑스와 공인인증서 문제를 구분해서 논의할 필요가 있다”고 지적하기도 했다. 공인인증서 문제는 보안과 인증, 부인방지 등의 복잡한 문제가 얽혀 있으니 차라리 액티브엑스를 걷어내는 작업을 먼저 시작하자는 이야기다. 일단 웹 접근성 차원에서 모든 운영체제와 웹 브라우저에서 접근이 가능하다면 액티브엑스 없이 공인인증서를 하든 뭘 하든 그건 그때 가서 논의할 문제라는 지적이다.

실제로 액티브엑스 기반의 공인인증서 덕분에 우리나라 금융 결제가 더 편리한 측면도 없지 않다. 외국에서는 절차를 간소화하는 대신 실시간 계좌이체를 지원하지 않는 은행도 많고 보안토큰과 1회용 비밀번호 생성기를 조합한 복잡한 보안절차를 두는 곳도 있다. 문제는 공인인증서 방식이 결코 더 안전하지 않으며 일단 깔고 보는 문화가 오히려 더 큰 보안 위험을 낳는다는 데 있다.

스미싱이나 파밍 피해의 대부분이 액티브엑스 형태의 악성코드로 확산된다. 북한 해커들이 디도스 공격에 활용했다는 좀비 컴퓨터도 역시 액티브엑스가 원인이다. 문제는 이런 악성코드가 바이러스가 아니기 때문에 백신도 잡아내지 못한다는 데 있다. 한상기 대표는 “차라리 액티브엑스는 북한 해커들을 도와주는 친북적 기술이고 이를 지지하는 자들은 종북주의자들이라 하면 정부가 나서서 다 걷어낼지도 모른다”는 우스갯소리를 하기도 했다.

한 보안업체 관계자는 “아마존이나 이베이 같은 데서도 결제 사고가 숱하게 많이 일어나지만 결제가 쉬우면 거래 규모가 늘어나기 때문에 그런 피해를 다 보상해줘도 남는 장사”라면서 “그래서 보안 위험을 감수하고도 최대한 결제 과정을 간소화하려는 것”이라고 설명했다. 이 관계자는 “말로만 창조경제를 떠들 게 아니라 액티브엑스를 없애는 게 진짜 창조경제”라고 강조했다.

전문가들은 액티브엑스와 공인인증서 문제가 기술의 문제가 아니라 제도의 문제고 문화의 문제라는데 의견을 모았다. 그렇다면 논의의 핵심은 결국 누가 제도를 바꾸고 문화를 바꿀 것이냐다. 법을 바꾸는 것도 중요하지만 그 것만으로는 부족하다. 금감원 해체는 현실적으로 쉽지 않다. 지난 대선에서 안철수 무소속 후보는 액티브엑스를 걷어내겠다는 공약을 내걸었다. 농담처럼 말했지만 결국 대통령을 바꾸는 게 가장 확실하고 유일한 해법인지도 모른다.

취재 과정에서 내린 결론은 누구나 동등하게 웹에 접근할 수 있어야 한다는 것이다. 다른 거 다 떠나서 정부에서 제공하는 서비스에 유료 운영체제를 설치해야만 접근할 수 있다는 건 심각한 차별이다. 세계는 개방형·반응형 웹, HTML5 기반으로 가고 있는데 우리는 아직도 17년 전의 낡은 기술에 웹을 가두고 있다. 액티브엑스를 이제는 걷어낼 때가 됐다. 대통령을 움직이지 못한다면 대통령을 바꿔야 하고 그러려면 이용자들이 나서야 한다.

Submit a comment