방통위, 3~4월중 액티브엑스 대체기술 가이드 발표

[보안뉴스 오병민] 이번 3.4 DDoS 공격 악성코드의 전파가 주로 P2P파일공유사이트(이른바 웹하드)의 액티브엑스 파일전송 프로그램으로 진행된 것으로 파악되고 있는 가운데 액티브엑스 사용을 줄이기 위한 대체 기술이 제시될 것으로 예상된다.

방송통신위원회에 따르면 이르면 3월 늦어도 4월중에 국내 인터넷사이트의 액티브엑스(ActiveX) 프로그램 과다 이용에 따른 보안취약성 문제를 해소하기 위한 ‘액티브엑스 대체 웹표준 기술 가이드’를 발표할 계획이다.

액티브엑스는 마이크로소프트사의 인터넷익스플로러(Internet Explorer, IE)에서만 동작되는 프로그램으로 사용자가 웹서비스를 이용하는데 필요한 응용 프로그램(보안 프로그램 등)을 PC에 설치 할 수 있도록 해주는 프로그램이다. 예를 들어 P2P파일공유사이트에서 자동으로 설치하는 전송프로그램이나 인터넷뱅킹 및  전자상거래 이용시 자동으로 설치되는 보안 프로그램 등이 그 대표적인 예라고 할 수 있다.

그러나 액티브엑스는 웹상에서 사용자의 PC로 프로그램이 직접 설치되기 때문에 이를 악용한 공격자들로 인해 악성프로그램의 설치를 유도할 수 있어 이로 인한 보안 취약성이 꾸준히 제기되어 왔다. 특히 이번 3.4 DDoS 공격도 파일전송 액티브엑스 프로그램으로 전파됐을 정황이 포착돼 또다시 액티브엑스의 보안문제가 수면위로 부상했다.

이에 방송통신위원회는 ‘인터넷서비스 이용환경 개선 협의회’를 구성(2010년 4월20일)해 실태조사와 개선방안 및 지원 사항을 마련했다. 이번에 발표되는 액티브엑스 대체 웹표준 기술 가이드는 협의회 구성 후 1년간의 결과물이라고 볼 수 있다.

이번 발표에는 △인터넷서비스 분야별 액티브엑스 사용실태 분석 △액티브엑스 보안취약성을 개선하기 위한 웹표준기술가이드 마련 △프로그램 개발자 교육 및 홍보 강화 방안 △중소기업 및 개인사업자들에 대한 인터넷서비스 환경개선을 위해 필요한 기술지원 방안 등이 제시될 계획이다.

홍진배 방통위 인터넷정책과장은 “사실 액티브엑스에 대한 개선은 꾸준히 있었지만 우리나라의 환경이 액티브엑스 의존적이었기 때문에 보안상의 문제를 통해 개선을 설득하기는 힘든 상황이었다”면서 “그러나 이번 디도스 공격이후 액티브엑스에 대한 개선 의지가 강해지고 있어 (액티브엑스 개선에)좋은 기회가 될 것으로 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>