ActiveX, 보안을 위한 필요악인가? 대안은?

ActiveX, 보안을 위한 필요악인가? 대안은?


국내에서 윈도우의 익스플로어(IE)를 써야하는 가장 큰 이유는?

크롬, 사파리, 모질라, 오페라 등등의 빠르고 좋은 브라우저를 두고도 굳이 IE를 써야만 합니다. 왜 그럴까요? 다름이 아니라 쇼핑과 은행등의 결제와 관련된 일이 가장 많고, 관공서 등의 업무를 위해서 꼭! IE를 써야만 하는 것이지요.


뭐가 문제냐구요? 다들 경험이 있겠지만, 액티브엑스(ActiveX)라는 녀석이 접속을 할 때마다 확인을 해야하고 금융사나 결제하는 사이트에 따라 각각의 ActiveX를 깔게 되어있습니다. 보통 3개를 깔고 그 이상을 깔기도 하죠. 그리고 IE를 재시작하거나 아예 컴퓨터 리부팅을 요구하기도 합니다. 간단한 송금 한번 하려면 보안 때문이라는 이유로 activeX 깔고 확인하고 재수없으면 재부팅까지... 10여분을 낭비하게 되는 것이죠. 거기다 맥(mac)이나 리눅스(Linux)라도 쓸려고 하면, 아예 ActiveX의 벽에 부딪혀 사용을 못하게 되니... 그냥 윈도우의 IE만을 찾아야하는 불편을 감내해야만 합니다.


이러던 와중에 오늘 재미있는 뉴스를 보게 되었습니다.

감히 액티브엑스 없이 결제를? 알라딘이 왕따 당했던 사연 - 미디어 오늘

국내 인터넷 서점인 알라딘이 activeX 없이 결제를 시도했다가 제휴카드사들의 철퇴(!)를 맞고 버티지 못해서 잠시 activeX를 다시 도입했다가 이번에 새롭게 non activeX 결제를 시작한다고 합니다. 맥을 주로 사용하는 입장에서는 상당히 환영하는 부분이지만, 기술이 안되는 것도 아니고, 카드사들과 금융권의 자기 편리와 이득 때문이라고 생각하니 일이 이렇게 진행된 이야기를 듣고 있다보니 막막하니 답답해지더군요. 

제가 바라보는 ActiveX는 무엇이며, 굳이 필요한 것인가? 라는 생각을 정리해보겠습니다.




 보안을 위한 ActiveX, 과연 필요한 것인가?

ActiveX, 보안을 위한 필요악인가? 대안은?ActiveX, 보안을 위한 필요악인가? 대안은?ActiveX, 보안을 위한 필요악인가? 대안은?


ActiveX를 이용하는 가장 큰 이유로 '보안'을 들고 있습니다. 

특히나 결제가 진행되는 곳에서는 ActiveX로 점검을 하고 공인인증서 등의 방식으로 2중으로 보안을 요구하기도 하죠. 하지만, 농협 사태등을 생각해보면 과연 ActiveX와 공인인증서 방식의 보안에 대해 ?를 던질 수 밖에 없습니다. 그렇게 많은 ActiveX를 깔았는데도 뚫리는 것은 어쩔 수 없다는 것이죠.





하지만, 위의 짤방에서 보이듯 해외의 유명한 결제수단들은 ActiveX 없이도 결제를 잘 진행하고 있습니다. SSL과 TLS 등과 같은 보안만을 활용하는 것이고, 이것을 지키고 있는 사이트는 http가 아닌 보안(secure)가 붙은 https로 시작을 하게 되어있습니다. 요즘은 국내 금융권 사이트에서도 강조를 하기 시작하던데, 단순히 미러 사이트(Mirror Site) 구분 정도의 의미를 부과하는 정도로 느껴지더군요. 어차피 ActiveX는 다 깔아야하니 말이죠...


단순히 외국과의 비교를 통해서 ActiveX의 필요성에 대해서 이야기하기는 힘들 것 같습니다.

하지만, 외국과의 비교를 통해 굳이 '보안'이라는 말 때문에 ActiveX를 써야만 한다는 것에 대해서는 다시한번 생각해볼 수는 있을 것 같습니다. ActiveX가 보안을 위한 대안이라면서 왜 자꾸 뚫리는 것일까요? 써도 뚫리는데? 뚫리는 확률을 높이기 위해서? ... 과연?

2009년 쯤으로 기억되는군요. 스마트폰을 결제가 활성화 되면서 여러 사이트에서 ActiveX를 걷어내고 호환성을 높인 결제 방법이 등장했습니다. 이번에 다시 활동을 재개한 알라딘도 포함되며 몇몇 인터넷 서점 중심의 움직이었죠. 하지만, 몇번 써보지도 못하고 어느새 다시 막혀가더군요. 그 기간중 보안으로 이슈화된 사건이요? 없었습니다. 최소한 제가 들은 뉴스중에서는 말이죠.



ActiveX, 보안을 위한 필요악인가? 대안은?


위의 뉴스를 보니 이해가 되더군요. 카드사와 금융권의 압박. 그들이 가진 실리와 나름의 편의, 그리고 금융권이라는 기득권을 유지하기 위해서 결제방식을 자신들이 만들어놓은 틀대로 가져가는 것 같다는 생각이 들 뿐입니다. 그리고 정말 솔직하게 이야기하면 저는 시간적인 불편이 아니라 신용의 문제에서 오히려 ActiveX를 깔기 싫어집니다. 이들이 과연 제대로 보안을 지키는 것인지, 혹은 오히려 제 정보를 빼가고 있는 것은 아닌지... 알 수 없는 행위들을 눈에 보이지 않는 단위에서 진행을 하는 것이 ActiveX이기 때문이죠. ActiveX는 보안을 목적으로 하면서 사용자의 동의를 얻어 최상위 보안 체계를 마음대로 휘젖기 때문입니다.





ActiveX, 보안을 위한 필요악인가? 대안은?


ActiveX를 깔기 위해 보안수준을 낮추라구요? 오히려 브라우저에서는 ActiveX를 안전하지 않은 것으로 인식한다는 반증이 되는데도 보안수준을 낮추어가며 자신들만의 보안방법을 따르라고 강요하고 있습니다. 그리고 만약 이용하던 사이트를 나와 보안을 위한 ActiveX가 종료되면 보안수준은 개인이 다시 올려야 하는 것인가요? 


ActiveX가 보안을 위한 여러가지 어플등의 설치나 활용에 용이한 것은 맞습니다.

하지만, 각자의 사이트만을 위한 보안 체계로 개인의 PC 보안 전체에는 구멍을 뚫어주는 꼴이 됩니다. 왜냐구요? 보안을 위한 ActiveX들이라면 보통 OS에서 가지는 최상위 단위의 보안 권한을 풀어야 실행되기 때문입니다. 각자의 사이트를 위해 개인의 최상위 권한을 열어두라? 그렇게 권한을 열어두고 개인이 관리하지 않으면 다른 악의를 가진 ActiveX나 웜 바이러스등의 침입에도 그대로 노출이 되게 되는 것입니다. 도둑들에게 문을 열어준 꼴이 되는 것이죠.


이런 상황에서 과연 ActiveX가 보안을 위해 꼭 필요한 것인지 다시 반문해보게 됩니다.




 ActiveX, 누구를 위한 보안이며 대안은 없을까?


ActiveX, 보안을 위한 필요악인가? 대안은?

<알라딘에서 다시 진행하고 있는 신용카드 간편결제, 제휴카드도 안되고 30만원 이상도 활용하지 못한다.>



ActiveX에 대해서 사람들이 가진 큰 불만은 '보안'이 아니라 '불편'이 아닐까 생각합니다.

사이트 한번 들어갈 때마다 몇개씩 깔아야 되고, 실컷 쇼핑하고 결제하려던 순간 리셋 되어서 다시 품목을 찾고 결제를 진행했던 경험들은 한번씩 있을 것 같군요. 거기다 사이트마다 ActiveX가 달라서 스스로 몇개를 깔고 있는지도 모르는 상황도 발생합니다. 보안을 위해 감수해야하는 불편인가요? 보안을 위한다는 명분이 확실하다면 차라리 나름의 가이드를 정해졌다면 이러한 최소한의 불편은 감수해야 할 것입니다. 하지만, 위에서 살펴본 것처럼 오히려 보안을 취약하게 만드는 부분이 존재한다면 이런 불편을 굳이 감수해야만 하는 것일까요? 


ActiveX를 사용하는 곳들을 다시한번 되돌아봅니다. 자신들만의 방식을 강요하고 그것을 통해 불편이나 개인의 PC는 어찌되었건 자신들의 사이트에서만 안전하면 된다는 메세지가 엿보입니다. 왜요? 자기들에게 화살만 돌아오지 않으면 되는 것이고, 나머지 보안과 불편은 개개인의 책임이니 문제가 생겨도 도망갈 구석은 있으니깐 말이죠. 그러면서 '보안'을 강조하며 ActiveX를 깔아야 된다고 여기저기 난리를 피웁니다.



ActiveX, 보안을 위한 필요악인가? 대안은?


불편을 줄이고 편리를 위해 ActiveX를 사용하지 않는 대안을 들고 나왔습니다.

하지만, 왜 또다시 백태클을 걸며 압박하는 것일까요? ActiveX를 사용하지 않는 방식이 과연 카드사나 다른 기관을 위해 명분을 주지 못하는 것인가요? 실리를 건드리는 것인가요? 그것을 위해 소비자의 '편리'에 목줄을 걸어도 되는 것인가요? 이쯤되니 사용자의 입장에서는 '보안'을 명분으로 내걸은 금융권의 ActiveX가 누구를 위한 방법이며, 무엇을 위한 ActiveX인가? 를 생각해보게 되는군요. 


최근 정부에서도 ActiveX와 공인인증서의 사용을 줄이겠다고 하는데, 과연 어느정도의 실효성을 보여주고 있는지 궁금합니다. 아직까지는 눈에 보이는 효과도 없고, 체감되는 부분도 없으니 말이죠. 차라리 장려를 한다면 위의 알라딘 케이스와 같은 경우를 살펴보고 장려할 수 있도록 금융권에서 압박을 가하지 못하도록 해줘야하는 것이 아닌가? 라는 생각도 해봅니다. 물론, 알라딘에 특혜를 주자는 것이 아니라 케이스가 마련되면 다른 곳들로 확장되기 쉬울 것이니 말입니다.


어차피 '보안'을 명분으로 삼고, 책임을 회피하고 싶다면 오히려 고객들에게 선택권을 주었으면 하는 마음입니다. 결제방식에 있어서 알라딘처럼 non-ActiveX를 장려하고 결제방식에 대해서 개인이 책임을 진다는 동의를 받아보면 어떨까요? 그리고 오히려 개인의 PC 보안수준을 높일 수 있도록 장려하는 것은요? ActiveX 모니터링 프로그램을 무료로 제공해서 유해한 ActiveX를 사용자들이 확인하고 줄여갈 수 있도록 장기적으로 도와주는 것은 어떨까요? 할려고만 하면 다양한 방법이 존재할 것 같습니다. 하지만, 굳이 ActiveX에 갇혀서 방법론을 찾아내고 있는 것은 아닌가? 라는 생각을 지울 수 없습니다.

(* 물론, ActiveX 제작사와의 암묵적인 관계에 대한 이야기들도 많습니다. 하지만, 그것은 실증되지 않은 부분이기 때문에 이야기에서는 떨어내도록 하겠습니다.)


과연, ActiveX는 누굴 위한 기술과 활용이며, 대안은 없는 것인지 다시한번 생각해볼 필요가 있을 것 같습니다. 




 흐름은 사용자가 만들어가야 한다.


외국의 경우도 그렇지만, 이번 알라딘의 용기있는 선택에 박수를 보내게 됩니다. 

물론, 결제순간에서 이탈을 막고 결제를 유도하기 위한 업체의 입장도 반영된 것이겠지만, 소비자들도 불편했던 부분이고 분명한 혜택이 있는 것이기 때문이죠. 하지만, 분명 알라딘의 이번 non-ActiveX 방식이 수익의 측면에서 효과를 보인다면 다른 경쟁사는 물론, 다른 인터넷 결제사이트에도 영향을 미칠 것이고 오히려 단합해서 금융권을 역압박할 수 있지는 않을까? 하는 생각도 해보게 되는군요.


많은 곳들에서 사용자를 위한다는 '명분'을 활용하지만, 실상은 아닐 수 있다는 것을 다시한번 떠올려봅니다. 결국, ActiveX를 줄인다는 것도 대의명분을 위해 활용되는 것 같은 시점에서 사용자들이 직접 행동으로 보여주며 조금씩 바꾸어가보는건 어떨까? 하는 심정으로 글을 정리해봅니다.