[프라임경제] 문재인 정부의 대표적 정보통신기술(ICT) 분야 공약인 보안인증프로그램 '액티브X' 퇴출이 되레 '제2의 백신'을 양성할 수 있다는 우려의 목소리가 나온다.

정부는 액티브X 퇴출을 위해 1차적으로 노플러그인(No-plugin) 방식의 웹표준을 적용하고, 도입이 불가능한 경우에 한해 '메모리 상주 프로그램'인 '실행파일(EXE) 형식'을 도입한다는 방침이다. 이에 업계는 전자보다 후자가 활용되는 경우가 더 많다는 점에서 난색을 표하고 있다.

9일 업계에 따르면 문재인 정부의 '노플러그인 방식 액티브X 퇴출 방안' 발표에 대응해 이를 실행파일(EXE)로 대체하자는 업계의 분위기가 짙어지고 있다. 이런 분위기는 실질적 대안이 없는 상황에서 액티브X만을 퇴출시킨다는 정부정책이 불러왔다는 목소리가 들린다.

액티브X는 마이크로소프트가 개발한 기술로 특정 응용프로그램과 인터넷 웹을 연동시키기 위해 제공되는 플러그인이다.

일례로 인터넷 결제 시 본인이 맞는지 혹은 키보드를 타인이 훔쳐보고 있는지를 감시해야 하지만, 이는 html 만으로 구현할 수 없다.  이를 가능케 하기 위해 고안된 하나의 솔루션이다.

◆액티브X 퇴출·실행파일 도입… PC 성능 깍아먹는 '제2의 백신' 양성?

액티브X 퇴출의 가장 좋은 대안은 웹표준 구축이다. 다만, 국내 웹사이트 가운데 절반가량이 현행 웹표준(HTML5)을 따르지 않으며, 웹표준 역시 문서 위변조 방지 등 국내에 특화한 일부 보안기능을 지원하지 않는다. 이에 도입할 수 있는 부분은 극히 한정적이다.

정부는 웹표준 도입이 불가능한 경우에 한해 실행 프로그램 방식을 대신 적용하기로 했다. 이는 백신처럼 별도 설치를 요하는 응용 프로그램을 배포하는 것으로 방화벽, 키보드보안, 백신기능 등을 수행한다.

업계는 실행파일로 대체되는 현 추세에 우려의 시선을 보내고 있다. 특히 공공기관 웹사이트 이용 시 사용성은 나아질지 모르지만, 사양이 좋지 않은 PC를 사용자에게는 치명적인 단점으로 작용할 수 있다는 지적이다.

이를 두고 업계 한 전문가는 실행파일 도입을 '제2의 백신을 키우는 것'이라고 염려하기도 했다. 두 프로그램 모두 메모리에 상주한다는 점, 업체 간 경쟁시장이 형성된 점 등 모든 게 닮았다는 설명이다.

백신은 PC가 구동되는 동안 상시 동작, 메모리를 지속 소모하는 '메모리 상주 프로그램'이다. 설치된 백신 프로그램 수만큼 성능저하는 가속화된다. 그런데 금융사, 공공기관 등에서는 각기 다른 백신 프로그램을 필수로 설치할 것을 요구한다. 이에 한 PC에 4~5개 솔루션이 중복 설치되는 경우가 많다.

이 전문가는 "액티브X 대체 실행파일은 백신 기능도 담고 있어 알약, V3 등을 추가 설치할 필요가 없지만, 대부분의 사용자는 이를 모르니 전부 설치하게 될 것"이라며 "결국 PC는 지금보다 수 배 느려질 수 있다"고 주장했다.

◆업계 "정부가 통합 솔루션 개발해야" vs KISA "생태계 죽일 수 없어"

일각에서는 웹표준, 실행파일 도입 외에 플러그인을 사용하지 않는 제3의 솔루션 개발이 필요하다는 의견을 내놓는다. 이도 안 된다면 정부가 나서 하나로 통합된 실행 프로그램을 제작해야 한다는 차선책도 제시되고 있다.

이에 대해 과학기술정보통신부 산하 한국인터넷진흥원(KISA)은 사실상 불가능한 이야기라고 잘라 말했다.

현재 웹표준과 실행파일을 써 액티브X를 대체한다는 계획으로, 제3의 대안인 '새로운 솔루션 개발'은 없다는 게 정부의 구상이다. 이런 와중에 정부가 하나의 프로그램을 만들면 수백개 솔루션 개발업체의 밥줄이 끊길 수도 있을 뿐더러 심각한 보안성 저하 우려가 있다는 견해가 따른다.

KISA 관계자는 "통합 솔루션화될 경우, 한 솔루션이 뚫리면 금융부터 정부서비스까지 모든 게 해커의 손에 넘어가게 된다"며 "편의성을 위해 보안성을 포기할 순 없다"고 언급했다.

이어 "PC성능저하는 정부도 고민했던 부분"이라며 "필수였던 보안파일 설치를 사용자 선택으로 변경해 중복 설치를 막을 수 있는 여지를 줬다"고 부연했다.

업계에서는 전형적인 탁상공론이 만든 정책 구상이라고 거세게 반발하는 중이다.

업계 한 관계자는 "관련 프로그램이 하나든 여러 개든 보안성은 유사하다는 것을 몇이나 알겠냐"며 "선택으로 요건이 바뀌어도 금융 및 공공기관 사이트는 보안이 중요하다는 인식에 대부분의 사람들은 추가적으로 다운로드받을 것"이라고 지적했다.

그러면서 "새로운 방식의 액티브X 대체 방안이든 실행파일을 통합적으로 제작하든 사용자를 위한 실절적인 대안 마련이 시급하다"고 촉구했다.

한편, 문재인 정부는 2020년까지 공공기관 웹사이트에서 보안인증프로그램 '액티브X'를 완전히 폐지한다는 계획이다.