액티브X, NPAPI, 실버라이트 퇴출... 플러그인의 최후가 다가오나

강일용 zero@itdonga.com

[IT동아 강일용 기자] 마이크로소프트(MS), 구글, 모질라 등 웹 브라우저 개발사들이 플러그인(Plug-in) 퇴출을 위해 발 벗고 나섰지만, 정작 대한민국은 이에 대한 준비가 전혀 되어 있지 않은 실정이다. 올해 하반기부터 국내 웹 환경에 혼란이 발생할 것으로 예상된다.

웹브라우저
웹브라우저

플러그인?

플러그인이란 웹 브라우저가 웹 페이지에 포함된 특정 기능을 실행하는 것을 돕는 확장 프로그램이다. 현재 널리 사용되는 플러그인은 액티브X, NPAPI, 플래시, 실버라이트 등 크게 네 가지다. 주로 인터넷 뱅킹, 키보드 보안, 동영상 스트리밍 등을 웹 상에서 구현하기 위해 사용된다.

플러그인은 왜 개발된 걸까. 초창기 웹 브라우저는 그 기능이 미약했다. 텍스트와 이미지만 읽을 수 있었고, 동영상 재생 같은 것은 꿈도 꾸지 못했다. 암호화? 배부른 소리다. 이처럼 형편없는 웹 브라우저의 성능을 보조하기 위해 개발사들은 웹 브라우저의 성능을 확장하는 프로그램을 고안해냈다. 이것이 플러그인의 시초다.

시작은 썬 마이크로시스템즈였다. 자사의 프로그래밍 언어 자바를 기반으로한 플러그인 자바애플릿을 95년에 고안해내고, 이를 웹 브라우저에 추가할 수 있도록 했다. 썬 마이크로시스템즈에 주도권을 내주기 싫었던 넷스케이프 그룹은 NPAPI(Netscape Plugin API)라는 독자적인 플러그인을 개발하고 넷스케이프 브라우저 2.0과 함께 배포하기 시작했다. MS 역시 96년말 액티브X를 개발하고 인터넷 익스플로러 3에 추가했다. 이후 인터넷 익스플로러는 액티브X 위주로, 크롬, 파이어폭스, 사파리, 오페라 등 다른 웹 브라우저는 NPAPI 위주로 플러그인을 지원하기 시작했다.

플래시와 실버라이트의 사정은 앞의 셋과 조금 다르다. 셋은 웹 브라우저의 부족한 성능 확장에 초점을 맞춘 반면, 플래시와 실버라이트는 이미지와 텍스트 위주의 웹 환경에 동영상이나 반응형 웹 등 보다 풍요로운 인터넷 환경(Rich Internet Application)을 더하기 위해 고안됐다. 때문에 많은 수의 인터넷 웹 게임이나 동영상 스트리밍 서비스가 플래시와 실버라이트 활용해 제작됐다. 플래시의 경우 1996년 매크로미디어 플래시라는 형태로 세상에 등장했고, 이후 어도비가 매크로미디어를 인수한 후 2007년부터 어도비 플래시로 이름을 바꿔 개량해나갔다. 어도비가 동영상 스트리밍 시장을 장악하는 것을 지켜만 볼 수 없었던 MS는 2007년 실버라이트를 플래시의 대항마로 선보였다.

액티브X
액티브X

<홈페이지에 플러그인을 적용하는 모습>

플러그인의 문제점

2000년대 초반 웹 환경은 그야말로 플러그인 천국이었다. 인터넷뱅킹, 전자정부, 동영상 스트리밍, 웹 하드 등 온갖 분야에 플러그인이 사용됐다. 어쩔수 없었다. 대안이 없었기 때문이다. 부실한 웹 브라우저의 성능만으론 다양한 웹 서비스를 제공할 길이 없었다. 다른 나라보다 인터넷 보급이 빨라 2000년대 초반에 전국민 인터넷 시대를 연 대한민국은 그렇게 플러그인, 정확히 말하자면 액티브X와 플래시로 도배되어 갔다.

하지만 플러그인은 치명적인 문제를 품고 있었다. 보안이 취약하다는 점이다. 일단 플러그인 자체가 그다지 보안이 좋은 편이 아니었다. 틈만나면 취약점이 발견돼 개발사에서 패치를 제공해야 했다. 사용자를 '예스맨(Yes Man)'으로 만든다는 것도 문제다. 특정 서비스를 사용하려면 반드시 플러그인 설치에 동의해야 한다. 선택의 여지같은 것은 없다. 사용자들은 서비스를 제공받기 위해 어쩔 수 없이 '네(Yes)'를 눌러야 했다. 여기에 각종 악성코드가 섞여 들어왔다. 심지어 일부 사용자는 동의하는 절차마저 귀찮게 느껴 보안수준을 최하등급으로 낮추기까지 했다. 도둑에게 문을 활짝 열어주는 꼴이다. 때문에 사용자의 PC는 악성코드의 천국이 되어갔다. 악성코드의 침투를 막기 위해 사용자가 웹 브라우저의 보안 수준을 최고 등급으로 높이면 외부 프로그램인 플러그인 설치는 불가능해진다. 보안 프로그램을 설치하기 위해 웹 브라우저의 보안 수준을 낮추는 촌극이 벌어졌다.

이러한 문제점을 인식한 W3C(World Wide Web Consortium)과 웹 브라우저 개발사들은 새로운 방안을 모색했다. 플러그인을 설치하지 않아도 인터넷뱅킹, 전자정부, 동영상 스트리밍, 웹 하드, 게임 등 온갖 작업을 모든 웹 브라우저에서 처리할 수 있도록 하는 웹 언어 'HTML5'를 2008년부터 개발하고, 새로운 웹 표준으로 지정할 것이라고 2012년 12월 밝혔다. 결국 2014년 10월 HTML5가 차세대 웹 표준으로 정식 확정되기에 이른다.

HTML5 로고
HTML5 로고
<차세대 웹 표준 HTML5>

플러그인 퇴출을 위해 발벗고 나선 웹 브라우저 개발사

HTML5 개발과 함께 플러그인 퇴출도 가속화되고 있다. 올해 연말부터 최신 웹 브라우저에선 액티브X와 NPAPI를 제대로 사용할 수 없게 된다.

플러그인 퇴출에 가장 적극적인 회사는 놀랍게도 MS다. MS는 인터넷 익스플로러11을 공개하며, 모던UI 버전에 액티브X를 설치할 수 없게 했다. 오직 데스크톱 버전에만 설치 가능하다. 액티브X 퇴출을 위한 사전작업이다. 오는 7월 말 윈도10과 함께 출신되는 최신 웹 브라우저 '엣지'는 모던UI 버전 인터넷 익스플로러 11보다 한층 강경한 정책을 편다. 액티브X 뿐만 아니라 실버라이트까지 설치할 수 없다. 자사가 개발한 모든 플러그인을 포기한 것이다.

구글과 모질라 재단도 발빠르게 움직이고 있다. 구글은 현재 크롬에 NPAPI 설치를 막는 옵션을 제공하고 있으며, 올해 9월 출시 예정인 크롬 45 버전(현재 43 버전)에서 NPAPI 자체를 크롬에서 퇴출시킬 예정이다. 모질라 재단도 파이어폭스에서 NPAPI가 자동 실행되는 것을 막았고, 이후 NPAPI를 제거하겠다고 공지한 상황이다(정확한 일정은 아직 미정). 오페라 소프트웨어의 오페라 역시 웹 브라우저 엔진을 크롬과 공유하는 만큼 크롬과 비슷한 시기에 NPAPI를 제거할 가능성이 높다.

대한민국은 얼마나 준비되어 있나

웹 브라우저 개발사들이 플러그인에 대한 지원을 하나둘씩 중단하고 있는 현재, 대한민국 웹 환경은 이를 맞이할 준비가 얼마나 되어 있는 상태일까. 단도직입적으로 말해 아무런 준비가 되어 있지 않은 상황이다.

지난 2014년 인터넷진흥원이 국내 100대 민간 웹 사이트 가운데 액티브X를 채택한 비율이 얼마나 되는지 조사한 결과 69개의 웹 사이트가 여전히 액티브X를 사용하고 있는 것으로 드러났다. 이는 2013년 조사 결과보다 6개가 줄어든 수치다. 액티브X를 퇴출시키자고 정부와 민간에서 그리 부르짖었건만 정작 이에 응한 곳은 6군데가 전부였다는 얘기다. 국내 100대 사이트 속에 액티브X 같은 플러그인을 잘 사용하지 않는 언론사 홈페이지가 제법 섞여있는 점을 감안하면 대부분의 포털, 쇼핑몰 등이 여전히 액티브X를 사용하고 있다는 결론이 나온다. 게다가 인터넷진흥원의 조사 결과는 액티브X의 보고 정부 홈페이지를 제외하고 내놓은 결과다. 이것이 정부와 국내 웹 사업자들이 엣지와 윈도10의 출시를 반갑게 바라보지 못하는 이유다.

NPAPI 사용률은 얼마나 될까. 2015년 인터넷진흥원이 국내 200대 웹 사이트 가운데 NPAPI 사용하는 웹 사이트가 얼마나 되는지 조사한 결과 78개의 웹 사이트가 NPAPI를 사용하고 있는 것으로 나타났다. NPAPI는 보통 크롬에서 전자상거래와 인터넷 뱅킹을 지원하기 위해서 사용된다. 9월부터 크롬에서 NPAPI 사용이 중단되면 NPAPI로 전자상거래를 구축한 웹 사이트는 먹통이 될 수밖에 없다. 인터넷진흥원의 조사결과에 따르면 국내 크롬 사용자의 비율은 9.26%로, 87.5%에 이르는 인터넷 익스플로러 사용률에 비하면 많이 미약한 상황. 그렇지만 10%의 가까운 비율을 무시할 수는 없다. 크롬의 NPAPI 중단에 정부와 국내 웹 사업자들이 뒤늦게 호들갑을 떠는 이유다.

당장 국내의 전자상거래와 인터넷뱅킹이 마비되는 등의 문제는 발생하지 않을 전망이다. 윈도10과 엣지는 7월 말부터 막 보급되기 시작할 예정인데다, 윈도10은 액티브X를 설치할 수 있는 인터넷 익스플로러 11도 함께 제공한다. 다만 사용자들이 윈도 보조 프로그램 속에서 인터넷 익스플로러 11을 찾아야 하는 불편함이 발생하는 것은 피할 수 없을 것으로 예상된다. 크롬도 마찬가지다. NPAPI 지원은 중단되지만, 구글이 자체 개발한 플러그인 'PPAPI(Pepper Plugin API)'는 크롬에서 여전히 사용할 수 있다. NPAPI 대신 PPAPI를 지원하는 형태로 우회해서 전자상거래와 인터넷뱅킹을 제공하게될 가능성이 높다.

하지만 언제까지고 플러그인에 전자상거래와 인터넷뱅킹을 기댈 수는 없는 노릇이다. 구형 인터넷 익스플로러가 시장에서 퇴출되고, 구글이 PPAPI에 대한 지원마저 중단하면 그제야 플러그인 없는 전자상거래 구축을 위해 나설텐가. 웹 브라우저에서 모든 플러그인이 퇴출되는 것은 이제 시간문제다. 문제가 닥치기 전에 정부와 기업이 힘을 합쳐 플러그인 없는 전자상거래와 인터넷뱅킹 구현에 힘써야 할 시점이다.

EXE 파일은 플러그인의 대안이 될 수 없다. EXE 파일이 윈도 종속적이라 리눅스와 OS X에서 이용할 수 없는데다, 웹 페이지가 EXE 파일을 호출(Call)하려면 플러그인의 도움이 반드시 필요하기 때문이다. 플러그인이 퇴출되면 EXE 파일을 통한 전자상거래와 인터넷뱅킹은 유명무실해질 수 밖에 없다.

현재 웹 표준(HTML5, TLS)은 서버 인증만 지원하고 인터넷뱅킹에 필수(전자상거래의 필수는 아니다)인 클라이언트 인증과 거래 부인방지를 지원하지 않는다. 인터넷뱅킹이 플러그인으로 도배되어 있는 이유도 이를 지원하기 위해서다. 웹 표준은 웹 브라우저 개발사들이 임의로 정하는 것이 아니라 관련 업체와 기관과 함께 정하는 것이다. 우리나라의 업체와 기관 역시 웹 표준에 클라이언트 인증과 거래 부인방지 등 고급 보안 기술을 추가하기 위해 노력해야만 한다. 국내의 고급 보안 기술이 웹 표준에 추가되는 그 날이 오면 비로소 플러그인이 국내에서 영원히 퇴출될 것이다.

플러그인의 향후 전망

액티브X
액티브X는 사용률이 원만한 감소세를 그리다가 결국 시장에서 퇴출될 전망이다. 아직은 구형 인터넷 익스플로러의 비중이 높은 만큼 액티브X 사용률은 한동안 현상황을 유지할 가능성이 높다. 하지만 MS가 인터넷 익스플로러와 액티브X에 대한 지원 중단을 선언한 만큼, 최신 브라우저의 비중이 늘어나면 늘어날 수록 그 입지가 좁아질 것으로 예상된다. 엣지가 완벽하게 자리잡고, 인터넷 익스플로러 8을 기본 탑재한 윈도7의 비중이 많이 감소한 시점(업계에선 약 3년 후로 보고 있다)에 시장에서 퇴출될 것으로 보인다.

NPAPI
NPAPI는 올해를 기점으로 시장에서 사라질 것으로 예측된다. 구글은 올해 9월부터, 모질라는 올해 말(예상) 자사의 웹 브라우저에서 NPAPI 지원을 중단한다. 내년부터 구형 인터넷 익스플로러에서 NPAPI를 이용하는 등 예외적인 경우를 제외하면 NPAPI를 사용하는 경우는 없을 것으로 보인다.

플래시
플래시는 한동안은 지금의 지위를 그대로 유지할 가능성이 높다. 많은 동영상 스트리밍 서비스가 아직까진 플래시를 이용해 서비스를 제공하고 있다. 심지어 유튜브조차 HTML5로 완전히 전환된 상태가 아니다. 이러한 상태에서 플래시에 대한 지원을 중단하면 동영상 스트리밍 서비스 업계에 큰 타격이 될 수밖에 없다. 모든 웹 브라우저가 플래시를 지원하고 있으며, 한동안 지원을 계속할 상황. 다만 구버전 플래시는 보안이 취약하다는 문제가 있는 만큼 향후에는 타 브라우저도 크롬이나 엣지처럼 플래시를 웹 브라우저 패키지에 기본 탑재한 상태로 제공할 가능성이 높다. 웹 브라우저 패키지에 플래시를 기본 탑재하면 웹 브라우저 업데이트에 맞춰 플래시도 최신 버전으로 유지되고, 사용자가 플래시를 추가하는 번거로움도 사라진다.

하지만 HTML5의 가장 큰 목적이 플래시 같은 RIA 대체에 있는 만큼 HTML5의 기술이 무르익으면 현재의 지위를 급격히 잃어버리고 결국 시장에서 퇴출될 것으로 보인다. 어도비 역시 플래시에 대한 지원을 하나씩 중단하며, HTML5로 전환을 권유하고 있다.

실버라이트
실버라이트는 사망선고를 받았다. MS는 이미 실버라이트5를 끝으로 실버라이트에 대한 지원을 중단한 상태인데다, 엣지에서 실버라이트를 사용하는 것 자체를 막아버렸다. 개발사인 MS가 지원 중단을 선언한 만큼 실버라이트를 이용해 동영상 스트리밍을 제공하던 업체들도 실버라이트의 대안을 찾을 전망. EBS, 아프리카TV 등 실버라이트를 이용해 동영상 스트리밍을 제공하는 국내 업체가 적지 않은 만큼 MS의 실버라이트 지원 중단에 따른 문제가 올해 연말에 크게 대두될 것으로 예측된다.

글 / IT동아 강일용(zero@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.