본문 바로가기
IT 동향

액티브X 안 없애는 걸까? 못 없애는 걸까?

by SenseChef 2013. 4. 5.

오늘도 액티브X를 조심하라는 신문 기사가 나왔다. 언제까지 이런 기사를 봐야 하는 걸까 ?


액티브X의 위험성, 취약성에 대한 얘기는 벌써 오래전부터 여러곳으로부터 지적 되어 왔다. 그러나 아직도 많은 웹사이트들이 액티브X를 이용 중이다. 액티브X를 없애는데 솔선수범해야 할 공공 기관들 역시 예외가 아니다. 상당수 공공기관들이 여전히 액티브X를 선호하고 있는 것이다.


그렇다면 이들은 왜 아직도 액티브X를 이용하는 걸까 ? 오랜 기간 권고에도 불구하고 그들이 액티브X를 계속 사용하는데에는 분명 이유가 있을 듯하다. 웹사이트들의 액티브X에 대한 지극한 사랑, 그 이유가 궁금해진다.


인터넷 뱅킹을 하려면 반드시 설치해야 하는 액티브X




가짜 액티브X 화일을 통한 악성코드 감염에 주의 하라는 백신업체의 경고


한 인터넷 백신 업체에서 액티브X에 대한 경고를 발령했다. 웹 사이트 해킹 후 액티브X로 만들어진 악성코드를 퍼뜨리려는 시도가 발견 되었기 때문이다(출처). 따라서 이용자들은 액티브X를 설치할 때 이것이 유해한 것인지 아닌지 잘 살펴 봐야만 한다.


또한 이 악성코드는 정상적인 디지털 서명(Signature)을 이용 하고 있다. 따라서 Internet Explorer에서 아무런 경고 메시지도 출력하지 않는다. 악성코드가 분명함에도 불구하고 이용자들이 이를 인지하기 어렵다는 의미이다.


백신업체의 경고 때문에 액티브X 설치할 때마다 스트레스를 받는다. 액티브X 설치를 요구하는 웹 사이트들이 싫어진다.



습관화된 액티브X 설치, 나도 모르게 설치를 누른다. 그러나 이렇게 하면 보안에 0점 ~~~


컴퓨터에 소프트웨어를 설치할 때는 무척 신중해진다. 정식판이 아닌 경우 악성코드나 바이러스가 숨겨져 있을 수 있기 때문에 조심하는 것이다. 그러나 액티브X의 설치에는 아무런 거리낌이 없다.


웹 사이트에서 액티브X를 설치해야 한다는 메시지가 나오면 습관적으로 설치를 누르는 것이다. 그동안의 경험상 액티브X 설치가 선택이 아닌 필수였기 때문이다.


그런데 설치하려는 것이 악성코드가 들어있는 액티브X라면 문제가 달라진다. 습관적인 액티브X 허용은 악성코드를 자신의 PC에 그대로 받아 들이는 위험한 행동일 수 밖에 없다. 


그리고 자신의 PC가 악성코드에 감염되면 숙주가 되어 다른 PC들에게도 영향을 주니 피해는 자신에게만 국한되지 않는다. 액티브X 설치에 대한 관대함이 PC 전체 생태계를 위험에 빠뜨릴 수 있다는 의미이다.



기업은 액티브X를 통한 PC 조작 용이성, 경제성 등 때문에 액티브X를 포기하려 하지 않는다.


액티브X는 PC의 모든 자원을 쉽게 통제하거나 조작할 수 있다. 따라서 프로그램 개발자의 입장에서는 너무 훌륭한 제품이기에, 인터넷 뱅킹, 인증 등의 업무에서 액티브X가 광범위하게 사용된다. 그리고 이미 상당량의 프로그래밍 지식과 지혜가 축적되어 있기에 다른 프로그래밍 방식보다 액티브X를 이용하면 개발을 쉽고 빠르게 완료할 수 있다.


따라서 액티브X의 이용 중단을 아무리 권고 하더라도 기업들은 이를 쉽게 포기하지 않는다. 그들의 입장에서는 액티브X가 너무나 우수하고 훌륭한 제품이기 때문이다.



대안 기술, 점진적 교체만 주장하는 정부의 액티브X 정책, 실효성이 떨어진다.


정부는 액티브X의 이용 중단을 적극 권장하고 있다. HTML5 등의 대안 기술을 통한 전환을 독려하고 있으나 위에서 살펴 본 것처럼 기업들의 자발적인 전환 의지는 낮다. 정부 정책의 실효성이 떨어지는 것이다.


실제로 정부가 집계해 발표하는 통계 자료를 봐도 이러한 추세가 잘 나타난다. 다음은 주요한 조사 결과이다(출처).

  

정부가 민간 100개, 행정기관 100개, 총 200개의 주요한 웹사이트의 액티브X 이용률을 조사했다(2012년 2분기).


조사 결과 200개 중 74%에 해당하는 148개 웹 사이트가 여전히 액티브X를 이용 중이다. 2012년 1분기 대비 18개 사이트가 줄어든 것이나 아직도 부족한 수준이다.



액티브X를 금지하는 정부의 강제 정책이 필요하다. 주민등록번호 수집 금지 정책처럼 !


보안에 많은 문제점을 드러내는 액티브X, 아직도 많이 사용된다. 기업들의 자발적인 전환에는 몇 년, 몇 십년이 걸릴 수도 있다. 이러한 상황에서 문제를 해결하는 가장 좋은 방법은 시한을 정해 놓고 액티브X의 이용을 금지하는 제도를 만드는 것이다.


그렇게 되면 기업들은 액티브X를 더 이상 이용하지 않을 것이다. 보안에 문제가 되는 액티브X가 개인 PC들에 설치되지 않으니 대한민국의 컴퓨터 보안 수준 또한 전반적으로 향상 될 것이다. 



이젠 정부와 국회가 정말 실행에 나서야 할 때이다.


최근에 발생된 보안 침해 사고, 전산 마비 사태, 해커 집단의 경고 등과 맞물려 사회 전반의 보안에 대한 관심이 높다. 보안 강화에 대한 사회적 요구 수준도 무척 높다. 


그러나 이걸 책임져야 하는 정부는 미봉책만으로 문제를 해결하려 한다. 보안에 큰 구멍이 뚫려 있는데 작은 틈만 막으려는 하는 형국이다.

 

따라서 제2의 전산망 마비 사태, 금융권 해킹 사고를 막기 위해서라도 이제는 정부가 실효적인 액티브X 금지 정책을 실행해야만 한다. 물론 강제적인 제도화에 따른 반발이 있을 수 있다. 그러나 보안 강화에 대한 국민적 공감대가 형성되어 있기에 국민들 역시 정부와 국회의 정책을 지지할 것이다.


정부와 국회가 전해주는 좋은 소식을 조만간 듣게 될까 ? 희망을 갖고 기대해 보자. 


 

 



댓글0