구글이 크롬 브라우저에서 NPAPI 기능을 걷어내겠다고 예고한 시한이 3개월도 채 남지 않았다. 오라클은 이 기능에 의존하는 웹용 자바 플러그인을 구동하려면 다른 브라우저를 쓰라고 안내 중이다. 표준이 대세로 자리잡은 웹 생태계의 변화를 막지 못한 거대 IT기업이 스타일을 구긴 모습이다. 정부가 웹 서비스에 액티브X와 플러그인 사용을 지양하고 HTML5 표준을 도입하자고 뒤늦게 나선 한국에도 시사하는 점이 있다.
NPAPI는 '넷스케이프 플러그인 애플리케이션 프로그래밍 인터페이스'를 줄인 단어다. 넷스케이프로 시작하는 그 이름처럼 웹브라우저 역사 초기 만들어진 유물같은 존재다. 윈도 기반의 인터넷익스플로러(IE)를 제외한 주요 브라우저와 리눅스 및 맥PC에서 돌아가는 브라우저가 이를 지원한다.
인터넷 서비스에서 그 역할은 악명높은 마이크로소프트(MS) 윈도 전용 기술 '액티브X'와 별다르지 않다. 어도비의 플래시, MS의 실버라이트, 오라클의 자바 플러그인 등이 설치, 실행될 수 있도록 해주는 연결고리다. 액티브X보다 더 광범위한 사용자층에 영향을 미친다.
국내서 NPAPI란 존재의 의미는 더 각별하다. 공인인증서를 써야 하는 공공 및 금융 관련 사이트나 쇼핑몰 결제, 문서 및 파일 전송 기능을 제공하는 사이트에서 IE용으로 쓰는 액티브X와 쌍벽을 이루는 비표준 기술로 활약하기 때문.
그런데 구글은 지난 4월 자사 브라우저에서 NPAPI 지원을 공식 중단했다. 지난해 9월 제시한 크롬 브라우저의 NPAPI 지원 중단 계획의 일환이다. 크롬42와 이후 버전은 기존과 달리 오라클의 자바 플러그인을 포함한 NPAPI 기반 부가프로그램을 기본적으로 실행할 수 없도록 바뀌었다. (☞관련기사)
NPAPI의 성격을 기술적으로 표현하면 브라우저가 깔린 사용자 컴퓨터를 제어하거나 시스템에 저장된 정보와 파일에 접근하는 등 민감한 동작을 할 수 있게 해주는 통로 역할을 한다. 덕분에 이런저런 보안 위협의 불씨가 된다. 구글이 크롬에서 NPAPI를 빼기로 한 배경이다.
크롬은 IE 다음 가는 시장 점유율을 갖고 있는 브라우저다. (☞관련기사) 적지 않은 NPAPI 기반의 자바 플러그인 사용자들이 주 브라우저로 크롬을 썼을 가능성이 있다. 오라클이 구글의 NPAPI 지원 중단에 따른 변화를 무시하긴 어려운 입장이다.
오라클은 어떻게 대응 중일까? 자바 공식사이트 웹페이지(☞링크)에서 크롬42 이후 버전의 브라우저에서 자바를 사용하는 방법을 설명하고 있긴 하지만 '웬만하면 다른 브라우저를 쓰시라'고 권하는 게 오라클의 해법이다. 그 내용을 일부 옮기면 다음과 같다.
"2013년 9월 Google은 "2014년 말까지" Chrome에서 NPAPI 지원을 제거한다고 발표했습니다. 이에 따라 Silverlight, Java, Facebook Video 및 기타 유사한 NPAPI 기반 플러그인에 대한 지원이 중단됩니다. 최근에 Google은 이 계획을 수정하여 2015년 말까지 NPAPI를 완전히 제거할 것이라고 밝혔습니다. 이 날짜를 더 연장할지 여부는 확실치 않으므로 Java 사용자는 가능한 빨리 Chrome의 대안을 마련해야 합니다. 대신, 장기 옵션으로 Firefox, Internet Explorer, Safari를 사용할 것을 권장합니다."
아직 크롬42 이후 버전에서도 추가 설정 과정을 통해 강제로 NPAPI 기반 부가프로그램을 실행할 수 있는 방법은 남아 있다. NPAPI 실행 기능을 활성화하고 자바 플러그인 실행 단계에서 차단된 플러그인 실행을 허용하는 단계를 거쳐야 한다.
문제는 구글이 오는 9월부터 이 방법마저 완전히 없애기로 예고한 상태라는 점이다. 이후 오라클에겐 크롬 사용자들이 쓸 수 있는 자바 플러그인을 제공할 방법이 없다. 구글이 일부러 계획을 바꿔서 크롬 브라우저의 NPAPI 실행 기능을 남겨 둘 가능성은 희박하다.
자바와 함께 NPAPI에 의존하는 다른 플러그인 기술의 처지는 좀 다른 것 같다. 크롬은 NPAPI 기능을 빼는 대신 자체 개발한 플러그인 기술인 'PPAPI'를 탑재했다. 어도비는 이를 활용해 크롬 브라우저에서만 돌아가는 플래시 플러그인을 새로 만들었다.
MS의 실버라이트는 기술적으로 자바처럼 제대로 지원되기 어려운 입장이긴 하다. NPAPI 기반으로만 제공되고 있기 때문에 크롬 브라우저에서 돌아가지 않는다.
다만 이를 대하는 MS의 태도는 오라클과 전혀 다르다. 오라클은 구글 이외에도 여타 브라우저 업체들이 자바 플러그인을 지원하지 않는 절차를 밟아감에 따라 이를 아쉬워하고 대책을 마련해야 할 입장이다. 반면 MS는 스스로 웹용 실버라이트 플러그인의 퇴출을 조장, 가속해왔다. 자체 최신 브라우저 '엣지(Edge)'에서도 실버라이트를 지원하지 않을 가능성이 높다. (☞관련기사)
구글 크롬의 NPAPI 지원 중단과, 이 기능에 의존한 자바 플러그인을 배포하는 오라클이 사용자들에게 다른 브라우저를 쓰라고 권하는 모양새는 액티브X를 비롯한 비표준 웹기술에 의존하는 사이트를 운영해 온 국내 정부와 관공서 및 금융 기관, 크고작은 민간 인터넷 사업자들의 태도를 연상시킨다.
다행히 정부는 올 4월부터 국내 민간 인터넷사이트 100곳 중 90%와 민원24, 국세청 홈택스, 각 시도청 홈페이지 등 공공 웹사이트에서 플러그인 기반의 비표준 기술을 쓰지 않는 방식으로 단계별 전환하는 것을 장려한다는 정책 방향을 제시했다. (☞민간 분야 관련기사) (☞공공 분야 관련기사)
관련기사
- KISA, 액티브X 걷어내기 희망 기업 지원2015.06.18
- 소프트포럼, NPAPI 해결한 전자서명솔루션 출시2015.06.18
- 사용자가 전자정부 안쓰는 이유…"불편"2015.06.18
- 공공 웹사이트도 액티브X 사라진다2015.06.18
다만 정부의 해당 정책은 기존 사이트 골격과 서비스 활용 시나리오를 바꾸지 않는다는 걸 전제로 플러그인 사용 부분만 HTML5 표준 기술을 개발해 대체 적용한다는 데 초점을 맞춘 것으로 보인다.
기존 사용자들의 시나리오를 바꾸지 않고 모든 비표준 기술의 작동 방식을 HTML5 표준으로 대체 적용할 수 있을지에 대해서는 의문이 제기된다. 표준화 이후에도 웹 기술과 맞물리는 민간 및 공공 사이트의 사용 편의성과 접근성은 개선되지 않거나 악화될 여지도 남는다.