"굿바이 액티브X" 15년 악연 끝내나

글로벌 표준에 부합하는 공인인증 환경 조성

[아시아경제 조유진 기자] 미래창조과학부가 28일 액티브X가 필요 없는 공인인증서 보급을 추진하겠다고 밝힘에 따라 15년 넘게 이어져 온 액티브X 폐지 논의가 현실화될 전망이다.

액티브X란 마이크로소프트(MS)의 인터넷익스플로러(IE)에서만 구동되는 기술로, 결제 및 본인 확인 등을 위해 개인PC에 설치되는 프로그램을 말한다. 액티브X에 대한 의존도가 높은 국내 웹 사용환경이 해킹 등 보안 위험을 높인다는 지적이 있어 왔다.

액티브X 환경에 익숙한 사용자들은 PC에 별도 프로그램을 설치하는 데 관대해져 악성 소프트웨어까지 무심코 클릭하는 습관을 갖게 됐고 이 허점을 악용해 해커가 악성코드를 심기도 한다는 이유에서다.

이 같은 상황은 공인인증서가 액티브X 방식으로만 제공되는 전자서명법에 기인한다. 액티브X를 중심으로 하는 공인인증제는 1999년 전자서명법이 시행되면서 도입됐다. 이 법에 따라 우리나라에서는 공인인증기관이 발급한 공인인증서가 있어야 온라인에서 전자결제를 할 수 있다. 정부가 지정한 공인인증기관은 금융결제원, 증권전산원, 한국전자인증, 한국정보인증, 한국무역정보통신 등이다.

그러나 이 같은 인증 방식은 국내에만 통용되는 방식인데다, 인증기관에 대한 신뢰성 검증은 담을 쳐 놓고 있다는 게 전문가들의 평이다. 웹표준 운동 시민단체 오픈웹 대표로 활동하고 있는 김기창 고려대 법과대학 교수는 "보안인증기술에 정부가 개입하는 국가는 전 세계에서 한국이 유일하다"면서 "게다가 이들 인증기관들은 국제적으로 신뢰를 받지 못하고 있다"고 말했다. 인터넷은 국경을 넘나들지만 신뢰성 검증은 국내에 담을 쳐놓고 있다는 지적이다.

미국 IT전문매체 더넥스트웹(TNW)은 국내 웹사이트의 부실한 보안의 원인으로 MS의 IE와 액티브X의 높은 의존도를 꼽으며, 지난 5년간 1억명의 개인정보가 유출됐다고 분석했다.

TNW가 공개한 국내 웹사이트 개인정보 누출 현황에 따르면 KT는 지난 2012년 900만명의 고객 정보가 해킹당했고, 온라인 게임사 넥슨도 2011년 1300만명 이상의 개인정보를 해킹당했다. 가장 큰 규모로는 지난 2011년 7월 3500만명의 개인정보가 유출된 SK커뮤니케이션즈의 싸이월드 네이트 해킹 사례가 꼽혔다.

이 제도가 도입된 지 15년이 지난 현재 공인인증 사용자는 2800만명을 넘어섰다. 우리나라 대부분의 웹사이트는 전자 결제와 본인 인증, 보안 기능들을 추가로 구현하기 위해 액티브X 사용이 불가피하다. 국내 금융거래의 75%, 정부 민원 처리의 50%가 공인인증서를 통해 이뤄지고 있다.

미래창조과학부와 금융위원회는 액티브X의 폐해를 막기 위해 이달 내에 웹표준 기반 인증 기술을 개발하고 9월부터 금융위와 함께 논-액티브 엑스 공인인증서를 보급한다는 계획이다. 미래부는 또 액티브X의 사용을 최소화하는 것을 핵심으로 하는 '인터넷 이용환경 개선 가이드라인'을 마련해 내달께 발표할 예정이다.

미래부 관계자는 "액티브X의 폐해는 이미 널리 알려져 있지만 그동안 마땅한 대체 수단이 없어 관행적으로 사용돼 온 게 사실"이라며 "다만 지금은 HTML5라는 훌륭한 웹플랫폼이 등장한 만큼 액티브X의 퇴출에 좀 더 적극적으로 나선다는 게 정부 방침"이라고 설명했다.

조유진 기자 tint@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>