액티브X 문제, 근본적으로 해결하려면

기술중립성 관점으로 접근해야

전문가 칼럼입력 :2017/07/13 15:36    수정: 2017/07/14 13:16

박종일 엠트리케어 대표

박종일 엠트리케어 대표가 최근 국정기획자문위원회가 발표한 액티브X정책에 대한 의견을 담은 기고문을 보내왔다. 박 대표는 ▲2011년 가을, 방송통신위원회 차세대 웹 표준 확산 및 비표준 웹기술 개선 추진 방안 회의 ▲2012년 여름, 방송통신위원회 HTML5 확산 추진 계획 수립 공동 작업 ▲2014년 여름, 한국인터넷진흥원 인터넷이용환경 개선 기술 안내서 공동 작성 작업 ▲2015년 여름, 한국인터넷진흥원 인터넷이용환경 개선 기술 안내서 개정판 작업2015년 여름, 구글 NPAPI 지원중단 대응방안 세미나 패널 토의NPAPI 대체기술 안내서 작업등에 참여했던 웹기술 전문가다. (편집자 주)

필자는 지난 2011년부터 2015년 하반기까지 우리가 흔히 얘기하는 액티브X나 EXE, NPAPI와 같은 비표준 웹 기술(또는 플러그인 기술)에 대한 전환 계획 수립 및 기술적 대응 방안에 대해 실무적인 일을 했다. 2016년 업종을 전환한 이후 이제는 관련 일을 하지 않았다. 하지만 지난주 국정기획자문위원회가 “2020년까지 공공분야 모든 웹사이트에서 엑티브X 없앤다”고 발표하면서 불가피한 경우 대체기술(EXE 설치)을 적용할 수 있다고 한 부분을 보고, 그 동안 관련 일을 하면서 생각했던 근본적 문제 해결 방안에 대해 관련 이해관계자들이 함께 고민해봤으면 하는 생각에 이 글을 기고한다.

■ 액티브엑스와 같은 비표준 기술, 시장에서 퇴출되고 있다

지난 10여년간 액티브X는 모든 정권에서 없어져야 할 적폐로 인식됐다. 웹 표준과 반대에 있는 비표준 기술은 액티브엑스뿐만 아니라 NPAPI, 자바애플릿, 플래시, 실버라이트, EXE(실행 파일)를 포함한다. 이를 플러그인(Plug-in)이라고 통칭한다.

이런 비표준 플러그인은 웹 표준에서 지원하지 않는 추가 기능이나 확장 기능을 지원하거나 기업의 사업 목적에 의해 생겨났다. 그러나 HTML5라는 최신 웹 표준에서 주요 확장 기능들을 표준 규격으로 수용하고, 전세계적으로 특정 기술 또는 서비스의 사용을 강제하지 않는 기술중립성(technological neutrality) 원칙을 강조하면서 점차 시장에서 퇴출되고 있는 상황이다(구글 크롬 브라우저 플래시 차단 시작).

국내의 경우 지난 15년간 이어져온 전자금융거래에서의 공인인증서 의무화 규정(현재 규정 삭제)과 온라인에서 가장 많이 사용하는 금융, 쇼핑, 공공 서비스의 본인 확인 및 전자서명(결재 부인 방지), 문서 위변조 확인 등을 위한 보안 3종 세트(백신, 방화벽, 키보드보안)를 위해 비표준 플러그인 기술이 광범위하게 사용되고 있다.

왜 비표준 기술이 수 많은 법 제도 개선과 대체 기술 개발, 보급에도 없어지지 않는 것일까?

■ 한국에선 임기응변과 편의주의 속에 살아남았다

한국인터넷진흥원은 2014년 이후 매년 100대 웹사이트의 액티브X 사용실태 조사를 발표하고 있다. 이 통계에 따르면 현재 비표준 기술을 많이 활용하고 있는 분야와 기능은 공공 및 금융, 쇼핑 서비스의 공인인증키관리를 위한 방화벽, 백신, 키보드보안, 구간암호화와 보안메일 암호화, 전자 결제, 문서 위변조 등이다. 비표준 기술은 이외에도 멀티미디어 구동, 전자문서 뷰어 및 편집기, 원격 PC제어, 프린트 제어, 게임 구동, 대용량 파일 처리 등 민간 부분에서 많이 사용되고 있다.

통계와 별개로 국민들의 체감 측면에서 보면 주요 서비스(은행, 증권, 쇼핑, 포털, 민원24, 홈택스, 위택스 등)에 비표준 기술들이 사용되고 있다.

2014년 이후 지금까지 실무자들의 대응 방식을 보면 운영체제나 브라우저 정책 변화(참고로 윈도7에서 IE11 지원은 2019년까지다)에 따라 수동적이고 임기응변적이며, 근본적 문제 해결 없이 편의주의적으로 대응한 것이 사실이다.

이러한 상황을 개선하려면 대체 솔루션 교체 예산과 교체에 따른 대응 조직, 웹 표준 기반 대체 기술 존재 여부, 그리고 무엇보다 경영진과 부서장이 고객 입장에서 불만과 불편(번거로운 설치, 잦은 업데이트, 에러 발생 문제)을 개선하려는 의지가 수반돼야 한다.

지난 5년간 미래창조과학부(금융위원회)와 행정자치부의 투트랙으로 진행했던 비표준 문제 해결에 대한 실패를 인정해야 한다. 새로운 민관협력체를 중심으로 기술중립성 원칙 준수와 정부 주도 산업진흥정책을 폐기하는 원칙하에 현재 입법되어 있는 전자서명법, 서명확인법, 전자금융거래법, 정보통신망 이용촉진 및 정보보호 등에 관한 법, 개인정보 보호법등의 법률과 시행령, 시행규칙, 행정지침, 자치법규 등에서 비표준 기술 적용을 권고하는 법과 규정을 제거하거나 기술중립성 원칙과 자율 경쟁 원칙을 적용하는 방식으로 수정 보완하는 것까지 고려해야 한다.

민관협력체 내에 웹 표준 전문가, 대체 기술 솔루션 개발사, 브라우저 개발사 등의 기술 분야 대응을 포함하여 법제도 개선과 대체 기술 적용이 상호 문제가 없는지 검토하는 방식으로 진행하는 것이 바람직할 것이다.

■ 대체 기술보다 대체 프로세스를 먼저 고려하라

몇 년전 정보 시스템을 담당하는 실무자들과 미팅을 해보면 웹 표준으로 전환하고 싶으나 대체 기술이 없거나 비표준을 적용해도 정보시스템 감리 기준에 적합하기 때문에 문제가 없다는 얘기를 많이 한다. 대체 기술이 없는 한가지 예가 문서 위변조 방지나 프린트 제어를 위한 플러그인 설치다. HTML5로 대변되는 최신 웹 표준이 위에서 언급한 비표준 적용 사례나 문제를 모두 해결하지 못하는 건 사실이다. 그렇다고 비표준 플러그인을 EXE 실행파일로 바꿔서 유지하는 것도 정답이 아니다.

위변조 방지를 가장 간단하게 해결하는 방법은 통합 문서번호 발행 시스템을 통해 문서 수신자가 전달 받은 문서의 진본 여부를 한곳에서 확인할 수 있는 방향으로 개선하는 것이다. 이처럼 기술적 대안뿐만 아니라 현재의 프로세스를 변경하고 재설계하는 것까지 대체방안으로 고려해야 하는 사례가 많다.

[마이크로소프트 IE 기술지원계획 안]

필자가 2015년 비표준 대체기술 컨설팅 당시 마이크로소프트의 이전 버전의 인터넷 익스플로러 기술 지원 중단과 맞물려 EXE 실행파일 방식이 임시적인 대응 방안임을 전제로 기술적 대안을 제공했다. 임시적 대응이라고 언급한 것은 EXE 실행 파일을 지원하는 윈도7의 IE11에 대한 기술지원이 2019년말까지이기 때문이다. EXE 실행 파일과 브라우저 간 메시지 전송 문제도 언젠가는 또다시 웹 표준으로 전환해야 하는 숙제를 안고 있다.

이렇게 운영체계나 브라우저 서비스 개발 정책 변화에 따른 비표준 기술 대응은 한계가 분명하고, 근본적인 해결책이 될 수 없다. 기술 중립성과 자율 경쟁 원칙을 담보한 웹 표준 기술 적용이 지속 가능하고 웹 서비스의 호환성 문제를 해결하는 올바른 해법이다.

■기술중립성과 자율경쟁 원칙으로 해결해야

예전 한 설명회에서 액티브X로 구현된 전자문서관리 시스템의 대체기술 문의에 클라우드 기반 전자문서 관리 시스템으로 전환하고, 모빌리티(Mobility) 환경에서 스마트폰으로 이동 중에도 전자문서를 조회하고 변경할 수 있도록 개선하는 것이 바람직하다는 취지로 답한 적이 있다. 단순히 PC에 적용된 전자문서 뷰어에 적용된 액티브X 대체 기술에 대한 문의였지만, 어차피 정보시스템을 개선해야 한다면 사용자의 이용환경 변화(클라우드, 모빌리티)를 고민하고 지속 가능한 환경으로 전환하는 것이 바람직하기 때문이다.

관련기사

비표준 기술 문제에 대한 현업 담당자들의 의식엔 어차피 정부가 강제한 공인인증서로 촉발된 문제이니, 정부가 결자해지 차원에서 관련 법제도도 변경하고 가이드라인이나 대체기술을 개발해줘야 한다는 논리가 자리하고 있다. 일견 타당하지만, 이 문제가 기술보다는 개선에 따르는 위험부담을 소비자나 정부에 떠넘기려는 바람에서 기인한다는 사실을 적나라하게 드러낸 것일 수 있다.

한번에 모든 문제를 해결할 수 있는 열쇠는 없다. 이제부터라도 민관이 머리를 맞대고 기술중립성 원칙과 자율경쟁 원칙을 바탕으로 비표준 기술의 문제를 해결해야 할 때이다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.