| [기자수첩]재앙 부르는 ‘액티브X’ 언제까지 방치? | 2008.11.11 | |
액티브X 문제 방치...‘보안프로그램 마비’ 재앙 부를 수 있어
액티브X 기반으로 만들어 졌다는 것은, 익스플로러 외에 다른 브라우저에서는 이용할 수 없다는 것을 의미한다. 다른 브라우저들은 액티브X가 제대로 구현되지 않기 때문이다. 더불어 액티브X는 보안취약점도 지적된다. 액티브X의 보안취약점은 초기 이 기술을 권장했던 마이크로소프트(이하 MS)조차도 익스플로러에서 액티브X의 권한을 줄일 만큼 이미 많이 거론돼 왔다. 우리나라에서 익스플로러의 이용률은 과히 지배적이긴 하나, MS의 지원이 언제 끊길지 모르는 상황에서 액티브X에만 의존하는 것은 미래를 생각했을 때 큰 문제가 아닐 수 없다. 하지만 문제는 아직까지는 아이핀과 같이 사용자인증이 필요한 체계에서 액티브X 외에 대안이 없다는 것이다. 액티브X 문제가 이처럼 계속 거론되는 상황에서도 액티브X를 쓸 수밖에 없는 데는 이유가 있다. 우리나라는 액티브X 중독에 빠져있기 때문이다. 포털, 인터넷뱅킹, 블로그, 미니홈피 등등 현재 우리나라의 거의 대부분 인터넷 서비스는 액티브X를 이용하고 있다. 그리고 인터넷보안 프로그램 역시 예외가 아니다. 이처럼 대부분 액티브X를 이용하다 보니 개발환경 역시 액티브X에 치우쳐 있다. 다른 건 몰라도 보안프로그램들이 액티브X에 치우쳐 있다는 것은 문제가 크다. 액티브X의 보안취약점 때문에 MS 익스플로러가 언제 지원을 중단할지도 모르기 때문이다. 게다가 MS의 익스플로러를 이용하지 않는 IPTV나 모바일인터넷 등 대부분의 차세대미디어에서도 뱅킹이나 온라인거래 등 서비스에서 액티브액스 보안프로그램 적용이 안돼 발이 묶이고 있다. 하지만 액티브X 기술을 이용하지 않고 다른 보안장치를 개발하는 데는 많은 돈과 인력, 시간이 필요하다. 우리나라에서 사용자들이 이용하는 인터넷 보안프로그램의 개발업체는 대부분 중소기업기업이기 때문에 다른 방식의 보안장치를 개발할만한 여건이 안 된다. 더불어 개발한다 해도 적용이 쉽지 않다. 이미 모든 은행과 정부기관이 액티브X 기반의 보안프로그램을 사용하고 있어 이를 바꾸려 하지 않을 것이기 때문이다. 개발하는 것 이상으로 기존의 체제를 모두 바꾸는 것은 많은 비용이 요구된다는 것이 그 이유가 될 것이다. 결국 액티브X의 문제를 안고도 바꿀 수 없는 현재의 상황이야 말로 보안적인 관점에서는 계란위에 계란을 쌓은 것 같은 누란지위(累卵之危) 상황이라 볼 수 있다. 끝나지 않는 액티브X의 악몽에서 벗어날 수 있는 방법은 하나다. 정부차원에서 이에 대비하는 중장기 전략을 세우는 것. 얼마 전 액티브X 기반 인터넷뱅킹 키보드 보안 프로그램에 대해 일시적으로 TF팀이 구성된 적 있다. 하지만 이런 TF팀으로는 이런 문제를 근본적으로 해결할 순 없다. 적어도 몇 년을 바라보는 전략이 세워져야 할 것이다. 일단 보안프로그램의 개발에서 시작해 보안 적합성 테스트, 모의 환경 구현으로 필드 테스트 등 완벽에 가까운 모양새를 갖춘 후, 공공기관이나 금융기관 등에서 적용도 천천히 진행해야 한다. 물론 여기에는 돈도 많이 들고 인력도 많이 투입돼야 할 것으로 보인다. 하지만 재앙 대비에 대한 대가로 보고 철저한 준비가 필요하다. 그나마 지푸라기 같은 MS의 액티브X 지원이 끊기게 된다면 액티브X 기반의 모든 보안프로그램은 무용지물이 될 수 있기 때문이다. 한번 상상해보자. 앞으로 어떤 재앙이 찾아올 수 있을지... [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
