세상에 맙소사... '액티브엑스'의 망령은 아직 사라지지 않았다

강형석 redbk@itdonga.com

[IT동아 강형석 기자] 기자는 최근 증빙 서류가 다수 필요해 온라인 민원 처리를 진행하는 중 놀라운 경험을 했다. 각 발급처마다 보안을 이유로 소프트웨어 설치를 강제했고, 서로 경쟁하듯 그 수를 늘려나갔다. 1~2개는 기본이고 어떤 기관은 3개 이상을 요구했다. 인터넷 익스플로러의 영향력이 크게 축소되면서 액티브엑스(ActiveX)가 사라질 것이라 생각했지만 아니었다. 오히려 이엑스이(EXE)라는 이름으로 남아 있었다.

지난 1월, 공공기관 홈페이지 몇 군데를 돌며 설치된 플러그인들. 과거에 비해 줄었지만 존재는 사라지지
않았다.
지난 1월, 공공기관 홈페이지 몇 군데를 돌며 설치된 플러그인들. 과거에 비해 줄었지만 존재는 사라지지 않았다.

액티브엑스는 유명했다. 인터넷 브라우저로 진행하기 어려웠던 본인확인과 전자서명 등 부가 기능을 수행할 수 있었지만 반대로 여러 부가 소프트웨어가 난립하면서 되려 시스템 성능을 좀먹는 역적 중 하나로 꼽힌다. 외에도 특정 브라우저 환경(인터넷 익스플로러)에 종속되고 소프트웨어 자체가 보안에 취약성에 노출된다는 지적도 꾸준히 제기된 바 있다.

이에 정부는 2018년부터 2020년까지 액티브엑스를 비롯한 플러그인을 차례로 제거할 계획이었다. 하지만 제거는 커녕 아직도 유지되고 있는 것이 현실이다.

지난해 행정안전부는 정부24를 시작으로 건강보험, 국민연금, 인터넷우체국 등 사용 빈도가 높은 22개 민원 홈페이지에 대한 플러그인 제거 사업을 진행한 바 있다. 여기에는 웹표준 기술 에이치티엠엘(HTML)5를 적용하고, 2020년 지원이 종료되는 어도비 플래시(Adobe Flash)에 대한 대응도 함께 진행하기로 했다.

플러그인 제거 사례도 언급했다. 행안부의 정부24, 건강보험, 국민연금, 우정사업본부, 고용정보원, 경찰청, 병무청, 국방부, 교육부, 문체부, 관세청 등 20여 홈페이지에 대해 플러그인을 선택 설치 형식을 적용하거나 본인확인(공인인증서), 문서보안 형태로 변경했다. 일부는 변경된 것이 맞지만, 아직 소프트웨어 설치를 알리는 공공기관도 적지 않다.

인터넷우체국 홈페이지에 접속하면 바로 보안 프로그램을 설치하라는 메시지가
등장한다.
인터넷우체국 홈페이지에 접속하면 바로 보안 프로그램을 설치하라는 메시지가 등장한다.

공공기관만의 일은 아니다. 현재 국내에서 접속 가능한 은행이나 온라인 상거래 홈페이지 등 일부는 여전히 플러그인 설치를 요구한다. 주로 베라포트(Veraport)라는 이름의 보안모듈 관리 프로그램을 시작으로 키보드 보안, 네트워크 데이터(패킷) 변조를 감지하는 플러그인 등 종류도 다양하다.

다행인 점은 정부가 플러그인 제거에 대한 의지를 보이고 있는 것이다. 행정안전부는 2020년 플러그인 제거사업에 예산을 투입할 예정이다. 범부처 플러그인 제거 통합사업에 21억 5,000만 원을, 각급 기관 웹사이트 개선에 242억 5,000만 원을 배정했다.

과거 기관 및 금융, 전자상거래 홈페이지는 고통의 연속이었다. 마치 부처 돌리기 하는 것처럼 플러그인 설치 하나 마치면 다른 하나가 등장하고, 또 다른 하나가 등장했다. 지금은 수많은 단계를 1~2개 정도로 축소한 것에 불과하다. 완전히 없어지지 않은 것이다. 그들은 언제가 되어야 엑티브엑스와 이엑스이 같은 플러그인을 놓아줄까? 이들이 없어도 안전하게 홈페이지를 쓸 수 있도록 편의성과 보안에 더 각별히 신경 써 주었으면 하는 바람이다.

글 / IT동아 강형석 (redbk@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.