Non ActiveX 기반 적용으로 안전한 민원 서비스 지원

[보안뉴스 김태형] 우리나라 정부부처 가운데 산업통상자원부는 그간 보안성 문제가 지적되어온 ActiveX에 대해 지난 2010년부터 대응방안을 수립하고 지속적으로 관리하고 있다. 이를 통해 ActiveX 사용을 자제하고 Non ActiveX 기반 적용을 유도하고 있는 것으로 알려졌다.

22일 미래창조과학부, 안전행정부, 산업통상자원부가 주최한 ‘공공기관을 위한 NETWORK KOREA 2013’에서 산업통상자원부의 이승원 사이버안전센터 팀장은 ‘공공기관의 지속적인 엑티브엑스 관리사례’라는 주제발표에서 이 같이 밝혔다.

이승원 팀장은 “지난 2009년 10월 우리부 국정감사에서 공공기관의 ActiveX 사용이 지적됐고 특히 보안문제가 지속적으로 제기됐다. 이에 지난 2010년 대응방안을 수립하고 전수조사를 실시했으며 2011년엔 ‘Non ActiveX SW 원년의 해’로 선포하기도 했다”고 말했다.

산업통상자원부의 ActiveX 관리의 기본 방향은 △Active X의 사용을 자제하고 안전한 대체 기술 적용 △산하기관별 자체 세부 대체계획을 제시해 개선 유도 △산업통상자원부 사이버안전센터에서 ActiveX 대응계획에 따라 지속적 관리 등이다.

현재는 ActiveX 대체 조치를 연도별 분기별로 관리하고 있고 이를 통해 조치대상 211건중 198건을 완료하고, 미조치 13건에 대해서 2016년까지 완료조치토록 할 예정이다.

이 팀장은 “ActiveX는 클라이언트 자원을 활용하는데, 이는 키보드 보안, 바이러스 검사, VPN, 프린터 지원 등이며, 보안 및 전자 인증, 멀티미디어 실행, 게임 등에 많이 실행되고 있다”면서 “하지만 이러한 Active X는 웹 비표준 응용 프로그램으로 IE에서만 사용 가능한 것이 문제다. 그리고 과다한 윈도우 PC 자원 취득이 용이해 해킹이나 자료 유출에 악용될 수 있다”고 지적했다.

이어서 그는 “ActiveX 설치 시, 스파이웨어나 악성코드가 함께 설치될 수 있어 악성코드 감염, 자료 유출 등으로 연계되기 쉽고 ActiveX의 남용으로 컴퓨터가 느려지거나 동작이 멈추는 등의 가용성 문제도 발생하고 있다”며,  “최근 스마트폰 시장의 성숙으로 타 웹브라우저의 사용 요구가 증가하고 있는 실정”이라고 덧붙였다.

당초 지식경제부 산하 61개 기관 대상으로 전수조사 결과로는 ActiveX 사용기관 55개 기관, 외부용 사용기관은 41개 기관(현재 산업부 기준 35개 기관)인 것으로 나타났다.

이를 바탕으로 한 ActiveX 사용조사 결과, 전체 1,063개로 외부용 317개, 내부용 746개이며 외부용은 보안인증 106개를 제외한 211개에 대해 집중 관리하고 있다는 것으로 알려졌다. 또한, 55개 사용기관은 68개 용역사와 제조사가 대체기술을 개발·구축하고 있지만 소요예산 확보가 해결과제라는 게 이 팀장의 설명이다.

향후 산업통상자원부는 ActiveX 퇴출 정책에 부응하기 위해 오는 2017년까지 사용률 제로를 위한 지속적 관리 및 대체를 유도해 나갈 계획이다.

또한, Non ActiveX 기반 적용을 유도하고 대체 가이드라인 등의 자료를 지속적으로 배포해 산하기관이 웹표준 준수 적용을 위한 지속적인 추진동력을 확보하고, 안전한 민원 서비스를 제공할 수 있도록 지원한다는 방침이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>