금융권 웹사이트에 접속하는 이들로부터 불편하다는 지적을 받아왔던 액티브X 기반 보안 플러그인이 3월 안에 사라진다.
액티브X 대신 exe 형태의 범용실행파일이 대안 중 하나로 제공된다. 또 금융권 웹사이트 이용시 보안 플러그인을 강제로 깔아야 하는 규정도 사용자 선택에 맡기는 쪽으로 전환된다. 달라지는 환경과 관련해 사용자들이 체크 해야할 포인트들을 정리했다.
앞서 언급했듯 액티브X가 사라진다고 금융 서비스에 필요한 보안이 웹 기반 서비스로 완전히 전환되는 것은 아니다. 정부와 금융권은 액티브X, NPAPI 등 플러그인을 쓰지 않는 대신 공인인증서 관련 프로그램과 보안 3종 세트를 통합한 범용실행파일(exe파일)을 설치할 수 있도록 했다.
보안 3종 세트는 키보드 보안, 백신, PC방화벽이다. 이들 솔루션은 순수 웹기반 서비스로 개발하기가 현실적으로 어렵다는 게 업계 설명이다.
exe 파일 형태의 범용실행파일은 본질적으로 액티브X와 다를 바 없다는 지적도 많다. 그럼에도 정부와 보안 업계는 현실적으로 필요하다는 입장이다. 이제 막 보급되기 시작한 이상금융거래탐지시스템(FDS)의 한계, 실시간 결제 및 계좌 이체가 가능한 한국적 금융 환경을 고려하면 exe 방식으로 보안 3종 세트를 제공하는 것이 과도기적인 보안 측면에선 낫다는 것이다.
보안 업계 한 관계자는 간편하게 쓸 수 있는 페이팔 서비스는 FDS에 대한 엄청난 투자에 기반하고 있다면서 보안 투자는 늘고 있지 않은 가운데 금융 관련 해킹이 크게 늘고 있는 한국의 현실도 고려할 필요가 있다고 말했다. 그는 또 중국 알리페이 등 해외서도 exe 기반 보안용 실행파일을 제공하는 곳들이 있다고 전했다.
안랩, 잉카인터넷 등이 이미 exe 방식의 보안 3종 서비스를 내놓고 있다. exe 방식의 경우 현재 비씨카드, 국민카드, 우리카드, 하나SK카드, 삼성카드, 현대카드, 농협카드, 신한카드 등이 도입하고 있다.
exe는 여러 프로그램이 하나로 통합돼 있고, 또 한번에 깔면 다음부터는 다시 깔 필요가 없다는 점에서 액티브X보다는 사용성이 개선된 측면이 있다. 그러나 액티브X처럼 보안 위협에는 취약할 수 있다. 범용실행파일을 위장한 악성파일에 사용자가 당할 수도 있다는 얘기다. 사용자들의 주의가 요구되는 대목이다.
관련기사
- 국내 사용 액티브X 66% 보안·인증·결제용2015.03.02
- "액티브X 퇴출, 한국SW 살리는 첫걸음"2015.03.02
- 非액티브X 전자결제 확산 카드사에 달려2015.03.02
- 인스웨이브, '액티브X' 대체기술 개발 사업 참여2015.03.02
범용실행파일을 설치하는 방식은 액티브X 플러그인과 달리 강제조항은 아니다. 원치 않으면 깔지 않아도 된다. 이럴 경우 사용자 스스로 보안에 대해 좀 더 주의할 필요가 있다.
금융권은 글로벌 웹표준인 HTML5를 기반으로 공인인증서 서비스를 구현하는 방안도 논의 중이다. 그러나 아직은 일부 카드사들을 제외하고는 기존 방식을 고수하고 싶어하는 것으로 전해졌다.