악성코드 감염 위험에도 본인 확인 사용빈도 절대적… 보안시장 자율화 통한 경쟁체제 도입 시급
정부가 2015년 전자금융거래법을 개정하고 액티브X 설치를 줄이게 하는 등 정보통신기술(ICT) 규제개혁을 추진했지만 여전히 금융거래에서 액티브X는 건재한 상태다. 금융권과 공공기관에서 여전히 공인인증서 방식을 선호하고 있는데다, 액티브X 없이도 본인확인이 가능한 기술은 나왔어도 도입되지 않고 있는 까닭이다.
정보통신기술(ICT) 업계와 법률 전문가들은 보안시장의 경쟁부족이 보안기술 발전을 가로막고 있다고 목소리를 높인다. 임정욱 스타트업 얼라이언스 센터장은 지난달 열린 '공인인증서 문제해결을 위한 정책토론회'에서 "번거로운 액티브X 설치는 한국 ICT 스타트업들의 경쟁력을 떨어뜨리고 서비스의 국제화를 어렵게 한다"고 우려했다.
◇보안에 취약한 액티브X
10여 년 전 웹브라우저는 공인인증서를 구현하기 위해서는 별도의 플러그인이 필요했다. 그 역할을 수행했던 게 마이크로소프트사의 액티브X였다. 그러나 간단한 송금, 결제업무에도 복잡한 설치가 필요했기 때문에 이용이 불편할 수밖에 없었다. 그 외에 단순 상품정보조회 등 보안이 필요치 않은 서비스에도 무차별적으로 보안 프로그램 설치를 강제하는 경우도 많았다.
액티브X 설치과정에서 악성코드 감염 위험이 높아진다는 문제도 생겼다. ICT 스타트업인 로아팩토리의 이영준 대표는 “설치 과정 속에서 어떤 프로그램인지 확인하지 못하고 ‘다음’ 버튼만 누르다보니 악성코드가 함께 설치돼 은행을 사칭하여 해커가 고객의 정보를 빼내는 피싱 등의 문제가 발생하기도 했다”면서 “일부 기성세대들이 온라인 결제가 보안에 취약하다는 인식을 가지게 된 것도 이 때문인 것으로 보인다”고 했다.
전병헌 전 더불어민주당 의원도 2015년 국정감사 정책자료집에서 “액티브X는 각종 악성코드들의 온상으로 기능한다”면서 “액티브X 만연현상으로 인해 한국은 악성코드가 퍼지기 쉬운 환경이 됐다”고 꼬집기도 했다.
◇여전히 판치는 액티브X…"민간이 보안시스템 자유롭게 선택할 수 있게 해야"
이에 정부가 2015년 전자금융거래법을 개정하고 본인확인수단으로 공인인증서 외에 다른 방법을 사용할 수 있도록 했지만 여전히 전자 금융거래에서 공인인증서와 액티브X는 사라지지 않고 있다. 별도의 플러그인 설치 없이도 본인 인증이 가능한 공인인증서 기술이 이미 나와있지만 금융권과 공공기관은 이를 사용하지 않는다. 금융권에선 “대체 기술이 없지 않느냐”는 볼멘소리가 나온다.
보안·법률 전문가들은 관련 법률의 기술중립성 위반을 핵심 문제로 지적하고 있다. 기술중립성이란 기술과 관련된 정책에서 특정 기술을 유리하게 취급하거나 특정 기술 사용의무를 부과하지 말아야 한다는 원칙이다.
박지환 오픈넷 변호사는 “정부가 모든 문제의 주범이 마치 액티브X인 양 호들갑을 떨었지만 exe 방식의 프로그램 설치라는 땜질 처방으로 이어졌다”면서 “기술중립성 위반이 문제”라고 밝혔다. 정부가 공인인증서 방식을 강요해선 안되고 보안시스템을 민간이 자유롭게 선택할 수 있게 해야한다는 분석이다.
또한 “유럽연합과의 전자계약협약 비준을 위해서도 공인전자서명외의 전자서명 역시 신뢰할 수 있는 경우 당사자뿐만 아니라 제3자에게도 효력을 확대시키는 방향으로 개정이 이루어져야 될 것”이라고 덧붙였다.
관련기사