액티브X, B학점...노플러그인은 굿! 후속 법안 논의는 미비

[혁신성장 정책 3년 성적표] ⑤액티브X 폐지

컴퓨팅입력 :2020/05/04 06:41    수정: 2020/05/06 14:12

지디넷코리아는 5월20일 창간 20주년을 맞아 문재인 정부의 ‘혁신성장 정책 3년’을 12개 분야로 나눠 평가하는 시리즈 기사를 준비했습니다. 이를 위해 업계와 학계의 전문가 41명으로 자문위원단을 구성해 소중한 의견을 들었습니다. 이 시리즈 기사가 문재인 정부의 혁신성장 정책을 더 알차게 하는 데 도움이 되기를 기대합니다. 아울러 독자 여러분의 많은 성원 부탁드립니다.[편집자주]

⑤액티브X, B학점...노플러그인은 굿!…후속 법안 논의는 미비

정부 국정과제인 '액티브X 폐지' 추진 현황을 살펴볼 때, 공공·민간 웹사이트 내 플러그인 제거는 비교적 순탄히 추진됐으나, 이를 보완할 전자서명법 개정안 논의는 원활히 이뤄지지 못했다는 평가가 나왔다.

정부가 액티브X 폐지를 국정과제로 발표한 이유는 '편리한 온라인 환경'을 구현하고, 불필요한 규제를 없애 인증업계 경쟁을 활성화하기 위함이었다.

['문재인 정부 혁신성장 정책 3년 성적' 이렇게 매겼습니다]

액티브X는 플러그인의 일종이다. 플러그인은 브라우저에서 제공되지 않는 본인확인, 전자서명, 전자결제, 전자문서 조회·출력, 보안 등의 기능을 지원하기 위해 별도로 설치해야 하는 프로그램이다.

플러그인은 특정 브라우저에서 부가 기능을 제공하는 만큼, 플러그인을 사용하는 웹사이트는 호환성이 떨어진다. 필요한 기능에 따라 별도로 설치해야 하는 것도 사용자 불편을 유발한다. 인터넷 이용에 따라 여러 종류의 플러그인을 설치함에 따라 PC에도 부담을 초래한다. 보안을 취약하게 만드는 주범이라는 비판도 있었다.

플러그인 없이 브라우저 상에서 여러 기능을 사용할 수 있게 됨에 따라 웹사이트에서 액티브X를 비롯한 플러그인을 걷어내자는 주장이 제기돼왔다.

공인인증서는 액티브X를 사용하는 서비스의 대표 격이었다. 정부는 공인인증서에 대해서도 폐지하겠다는 공약을 내놨다. 공인인증서는 정부가 지정한 공인인증기관인 사업자가 발급, 유통하는 인증서로 전자서명법 상에서 우월적 지위가 규정돼 있다. 공인인증서가 비(非)공인인증서에 비해 보안성, 편의성 등의 측면에서 우월하지 않음에도 법적 차별을 두고 있어 불필요한 규제라는 지적이 있어왔다.

이에 정부는 웹사이트 내 플러그인 제거와 함께 공인인증서 지위를 없애는 법 개정을 추진해왔다.

■연말 공공 사이트 플러그인 제거 완료…전자서명법 논의는 미진

정부는 지난해 1월 주요 공공 웹사이트 22개에 대한 플러그인 제거 사업을 조달청에 발주했다. 이후 8월 해당 사업을 사업을 완료했다고 밝혔다. 이용 과정에서 공인인증서를 요구하는 사이트의 경우 기존 방식과 플러그인 없이 사용하는 브라우저 인증서 방식을 함께 제공하도록 했다.

이어 공공 웹사이트 2천728개 중 70.8%인 1천931개에 대한 플러그인 제거 작업을 지난해 말 완료했다. 올해 말까지는 나머지 사이트에 적용돼 있는 플러그인을 걷어내겠다는 계획을 세웠다. 다만 시스템 통폐합을 하거나 법인 전자서명을 사용하는 국토교통부 '건축행정시스템', 조달청 '나라장터' 등 89개는 플러그인 제거 예외 웹사이트로, 사이트 이용을 위해 플러그인 설치가 요구된다.

출처=행정안전부

올해까지 공공 웹사이트 내 모든 플러그인을 걷어내겠다는 정부의 구상은 지난 2018년 발표한 내용과 동일하다. 예산 확보에 어려움을 겪어 첫 사업 발주가 지연된 지난해, 계획한 일정을 맞출 수 있을지에 대해 회의적인 목소리가 나왔던 점을 고려하면 사업 추진에 속도를 낸 것으로 짐작된다.

지난해 말 정부가 국내 인터넷 트래픽의 83%를 차지하는 공공 웹사이트 2천728개와 민간 500대 웹사이트의 플러그인 이용 현황을 발표했다. 발표에 따르면 민간 500대 웹사이트에 설치된 플러그인은 지난 2017년 말 대비 2천266개에서 408개로 82% 감소한 것으로 나타났다. 결과적으로 500대 웹사이트 중 72%가 노플러그인 웹사이트로 전환됐다는 분석도 내놨다.

전자서명법 개정안은 지난 2018년 9월 발의된 이후 1년 이상 방치됐다. 국회 토론회 등 법안에 대한 논의의 장도 마련되지 못했다.

개정안은 지난 3월 소관 상임위인 국회 과학기술정보방송통신위원회 전체회의를 통과해 법제사법위원회로 넘겨졌다. 여야 모두 법안 통과를 반대하진 않는다. 그러나 여야 갈등이 해결되지 않은 상태에서 위원장인 노웅래 더불어민주당 의원의 직권상정을 통해 법안이 긴급 처리돼 추후 20대 국회 내 통과될지는 미지수다.

■"노력·의지 보였다"…노플러그인 정책은 호평

업계 전문가들은 정부의 노플러그인 정책에는 대체로 긍정적인 평가를 내렸다. 이전 정부들과 비교했을 때 노플러그인 환경의 필요성에 대해 정부가 잘 이해하고 있고, 이를 실현하기 위한 의지도 뒷받침돼 있다는 이유에서다.

더불어민주당 문재인 선거캠프의 '굿바이 공인인증서' 공약 홍보영상 중

한국FIDO산업포럼 회장을 맡고 있는 이기혁 중앙대학교 교수는 정부의 액티브X 폐지 정책 추진 결과에 대한 평점으로 'B+'을 매겼다.

이기혁 중앙대 교수는 "공공·민간 웹사이트 여러 곳에서 실제 개선이 이뤄지고 있으며, 현 정부 들어 노력과 성과가 많이 나타났다고 생각된다"며 "큰 틀에선 괜찮았던 것으로 보인다"고 평가했다.

최경진 가천대 교수는 평점으로 'B'를 매겼다. 최경진 교수는 "공인인증서 폐지와 노플러그인 정책 추진을 위해 그간 필요했던 건 정부의 실행력과, 규제 개선 이후 이전 체계로 돌아가지 않도록 예방하는 안전 장치"라며 "정부의 실행력은 나타나고 있는 것으로 보인다"고 언급했다.

이어 "정부가 지속적으로 플러그인을 걷어내고 있고, 새로 만들어지는 사이트들도 노플러그인으로 구축되고 있는 것으로 보고 있다"고 첨언했다.

한국정보보호학회 차세대인증연구회장을 맡고 있는 최대선 공주대 교수도 플러그인 제거 사업 성과에 대해 "숫자 자체는 양호하다"며 'B'를 매겼다. 다만 "간편결제 분야를 보면 결제 흐름과 사용자 인증 자체를 간소화해 플러그인의 설치 필요성 자체를 없앴다"며 "공공 웹사이트에도 이같은 발상의 전환이 필요함에 따라, 플러그인 제거 숫자나 제거율에 집착하는 것이 아니라 서비스 자체를 간편하게 하려는 노력이 필요하다"고 덧붙였다.

작년에도 액티브X 폐지 정책은 B학점을 받았다.

하승철 행정안전부 정보자원정책과장은 "제일 중요한 게 관심의 문제"라며 "공공 사이트들이 흩어져 운영되고 있는데, 이를 담당하는 각 기관들이 플러그인 제거의 중요성을 인식하도록 국정 과제로 삼고 진행하면서 빠르게 진척이 된 것으로 보인다"고 말했다.

행안부는 지난 9일 9개 공공 웹사이트에 플러그인을 제거하는 사업도 추가 발주했다. 이에 대해 하승철 과장은 "각 기관이 플러그인 제거를 위한 예산을 배정했는데, 나중에 살펴보니 9개 기관이 예산을 누락한 것을 발견해 행안부가 별도 예산을 배정 받아 지원해주는 사업을 발주한 것"이라고 설명했다.

연말 플러그인 제거 사업이 완료된 이후 행안부는 공공 웹사이트의 사용자 인터페이스(UI)·사용자 경험(UX) 개선, 장애인 접근성 개선 등 사이트 직관성 강화에 노력을 기울일 계획이다.

■"공인인증서, 폐지도 잘해야"…법안 논의 과정엔 쓴소리

전자서명법 개정안 논의가 미비한 것에 대해서는 공통적으로 비판의 목소리를 냈다. 전문가 시각에서 세부적으로 수정이 필요한 부분들이 여럿 제기되고 있음에도 의견수렴과 논의 과정을 제대로 거치지 않은 채 법안 통과에만 급급했다는 지적이다.

이기혁 교수는 "현 개정안을 반대한 사람 중 하나"라며 "세부적으로 살펴보면 법안에 대해 정교하지 못한 부분이 있어 전문가 의견 수렴을 거쳐 법안이 통과돼야 한다"고 주장했다.

최경진 교수는 "공공이나 특정 집단이 특정 인증 기술을 강제하지 않게 하기 위한 법제 개선이 필요한데 현재 발의된 개정안이 그와 맞는지, 국제적 흐름과는 부합하는지가 중요하다"며 "법안 통과에 드라이브만 걸다 보니 법안 상에서 전문성을 요하는 부분을 살펴보면 미흡한 측면이 있다"고 말했다.

최 교수는 "공인인증서에는 국가가 공인하고 일정한 효력을 준다는 것, 신뢰성이나 보안성 측면에서 보다 고급의 인증서라는 두 가지 개념이 혼재돼 있다"며 "정부 공인의 인증서라는 개념이 폐지돼야 하는 것이고, 인증서의 수준을 구분하는 건 필요한 개념"이라고 주장했다.

관련기사

한호현 한국전자서명포럼 의장은 개정안 상의 전자서명의 정의가 현실에 적용하기 어려운 내용을 담고 있다고 봤다. 한호현 의장은 "개정안에서는 서명자의 신원이 드러나고, 서명자가 해당 전자문서에 서명했다는 사실이 담긴 정보를 뜻하는 것으로 규정돼 있다"며 "오프라인 상에서 서명을 했을 때, 그 서명이 서명자의 신원을 드러낼 수는 없는 것처럼, 전자서명도 서명 자체로 신원을 보증할 수 없다"고 말했다.

한 의장은 "개정안을 두고 전문가 토의를 하자는 목소리가 있었는데, 아무런 논의 과정 없이 개정안을 상임위에서 통과시켰다"며 "기술과 괴리된 법안이 통과될 경우, 책임을 누가 질 것인가"라고 비판했다.