최근 보안시장의 가장 뜨거운 감자는 '공인인증서'와 '액티브X'다. 액티브X에 대한 논란이 어제오늘 일은 아니지만 3ㆍ20 사이버 테러의 해킹통로로 액티브X가 지목되면서 액티브X는 '공공의 적'이 되어가는 분위기다. 산업통상자원부는 2017년까지 액티브X 사용률을 제로로 만들겠다고 공표했다. 과연 액티브X는 어떻게 될 것인가.
초창기 액티브X는 효자 노릇을 톡톡히 해냈다. 액티브X를 사용해 마이크로소프트(MS)의 인터넷 익스플로러(IE) 기능을 확장시킬 수 있었기 때문이다. 결제할 때, 일부 웹사이트에 가입할 때, 심지어 동영상을 보거나 음악을 듣는 기본적인 작업에도 액티브X가 사용된다.
이후 액티브X는 공인인증서를 만나 꽃을 피웠다. 정부가 1999년 전자서명법을 제정하며 공인인증서 제도를 도입했을 때 공인인증서에 사용된 128비트 암호화 기술이 부가프로그램 내에서 구동되기 때문이다. 이 부분에서 짚고 넘어가야 할 점은 정부가 공인인증을 제도화할 때 액티브X 사용을 강요한 것은 아니라는 점이다. 그저 부가프로그램을 설치하지 않으면 공인인증서를 설치하지 못하게 돼 있을 뿐이었다. 그럼에도 불구하고 '공인인증서=액티브X'라는 공식이 성립하게 된 데는 1990년대 후반 우리나라 대다수 이용자들과 개발자들이 MS 윈도 운영체제(OS)를 사용했다는 것이 큰 영향을 미쳤다. 개발자들은 IE 환경에서 공인인증서를 개발했고 따라서 IE의 부가프로그램인 액티브X를 사용할 수밖에 없었던 것이다. 당시 액티브X의 보안이 약하다는 단점은 크게 문제되지 않았다. 지금처럼 액티브X의 보안 취약성을 노린 해킹 공격이 전개될 것이라고는 예상하지 못했기 때문이다.
일반화 된 액티브X 해킹엔 취약
그러나 액티브X가 웹 기능 확장과 보안프로그램 설치를 위해 지나치게 많이 사용되면서 다양한 브라우저와 모바일 환경에서의 호환 제약 등의 문제가 서서히 공론화되기 시작했다. 그리고 마침내 액티브X가 해커들의 해킹통로로 사용되면서 공공의 적으로 지목됐다.
5월 '공인인증서 의무사용 폐지 법안'이 발의되면서 새로운 움직임이 일고 있다. 그렇다면 과연 공인인증서와 액티브X는 사라지게 될까. 필자는 길고도 어려운 작업이 될 것이라고 생각한다. 액티브X와 공인인증서가 최고의 방법이기 때문이 아니라 보안과 편의성이 양립할 수 없는 경우가 대부분이기 때문이다. 편리하게 IE 기능을 확장해 쓰는 데 사용하는 액티브X가 보안의 구멍이 될 수도 있으며 반대로 액티브X를 사용하지 않아 안전하다고 말하는 해외 인터넷뱅킹 서비스의 경우 타행 송금이 어렵고 서비스 제한이 있는 등 편의성 면에서 많이 뒤떨어진다. 이처럼 보안과 편의성을 동시에 만족하는 완벽한 해법은 아직까지 없다.
그러나 완벽을 찾기 위한 노력은 이뤄지고 있다. 액티브X 문제의 해결책으로 HTML5를 차세대 인터넷 표준으로 선정하기 위한 노력이 그것이다. 공인인증서의 경우 정부가 HTML5 기반의 공인인증서 표준화를 추진 중이며 보안업체들도 보안솔루션을 HTML5에 맞게 제공하는 기술을 개발하고 있다. 하지만 HTML5의 표준이 정해지는 시기는 2014년경으로 표준화 이후 실제 적용까지 5년 정도가 소요된다고 보면 당장의 해결 방안으로 제시하기는 어렵다.
편의성·보안 모두 갖춘 해법 필요
이 때문에 보안업체와 정부기관은 지금 당장 실행할 수 있는 해결책을 찾아 제시하고 있다. 정부기관의 경우 국내 공인인증 체계를 'W3C ITU-T'와 'SG-17' 등 국제 표준화 기구에서 인정받기 위한 작업을 하고 있으며 보안업체도 액티브X 사용을 줄이고 다양한 웹 브라우저에서 사용 가능한 솔루션을 선보이고 있다. 소프트포럼 역시 올해부터 액티브X를 사용하지 않고 모든 웹 브라우저를 지원하는 솔루션을 국내 대형 은행을 비롯한 다양한 고객사들에 제공하고 있다.
이처럼 보안업체와 정부가 현재 해야 할 일과 앞으로 해야 할 일을 명확히 알고 이를 실천에 옮길 때 편의성과 보안이라는 두 마리 토끼를 모두 잡는 '완벽'을 찾을 날이 머지않아 올 것이라고 믿는다.