3월 20일 일어난 주요 방송사와 금융사에 대한 해킹이 북한 정찰총국의 소행이라는 정부의 발표 이후 이에 대한 다양한 비판의 목소리가 나오고 있다. 이러한 비판 중 상당수는 북한이 문제가 아니라 보안에 한계가 있는 ‘액티브엑스’가 국내에 광범위하게 사용되고 있는 환경이 문제라는 것이다.

▲ 10일 경기도 과천 미래창조과학부 브리핑실에서 전길수 인터넷진흥원 단장이 '3.20 사이버테러' 중간 조사결과를 발표하고 있다. 미래창조과학부와 인터넷진흥원은 이번 사이버테러가 악성코드 76종 중 30종 이상, 공격 경유지 49곳 중 22곳이 과거 북한이 썼던 것이라고 밝혔다. ⓒ뉴스1

통합진보당 이석기 의원은 지난 1일 최문기 미래창조과학부 장관 후보자에 대한 청문회에서 “마이크로소프트의 인터넷 익스플로러의 액티브엑스 기술에 국내 인터넷 환경이 종속돼 이런 문제가 생긴 것”이라고 주장하기도 했다. 최문기 후보자는 이에 대해 “HTML5등의 대체기술로 바꾸겠다”고 답변했다.

액티브엑스와 이를 둘러싼 논란

액티브엑스는 콘텐트를 보여주는 것만이 가능한 HTML과 웹브라우저의 한계를 극복하고 다양한 기능적 시도가 가능하도록 하기 위해 만들어진 일종의 프로그램들이다. 우리가 인터넷뱅킹 등을 이용할 때 금융기관과 정보를 주고 받기 위해 사용하는 프로그램들을 떠올리면 된다. 국내의 경우 다수의 전자상거래, 금융시스템 등에서 활용되고 있다.

문제는 액티브엑스가 오로지 마이크로소프트의 인터넷 익스플로러에서만 실행된다는 것이다. 파이어폭스나 구글 크롬 등의 웹브라우저를 사용하는 이용자는 액티브엑스를 사용할 수 없다. 때문에 애초에 액티브엑스에 대한 국내의 문제제기는 웹브라우저의 호환성과 관련하여 주로 제기되었다. 정부가 액티브엑스를 이용한 인증 방식의 보급을 고집해 국민들에게 인터넷익스플로러라는 특정 웹브라우저만 사용하도록 강제하는 결과를 낳고 있다는 것이 그러한 주장의 핵심이다.

그래서 액티브엑스의 문제는 이른바 ‘웹표준’ 등의 문제로 이어지는 것이 일반적이었다. 정부 및 금융기관 홈페이지를 모든 웹브라우저에서의 구동을 보증하는 일종의 규약인 웹표준에 맞춰서 제작한다면 어떤 브라우저를 사용하더라도 홈페이지 이용에 부당한 제한을 받지 않을 수 있다는 것이다.

그러나 주요 방송사와 금융기관 해킹에 공인인증서 관리프로그램인 ‘제큐어웹’을 변조해서 유포하는 방식이 활용됐다는 보도가 나오자 액티브엑스에 대한 문제제기는 급격히 보안과 관련된 것에 집중되기 시작했다. 정부 측은 제큐어웹이 소위 3.20 해킹에 동원되지는 않았다고 밝혔으나 이러한 프로그램이 일부 다른 종류의 해킹 등에 동원된 것으로 밝혀지기도 해 논란이 지속되고 있다.

액티브엑스 철폐만이 답인가?

물론 액티브엑스는 이것을 만든 마이크로소프트가 이 기술에 보안상 문제점이 있을 수 있다는 것에 수긍할 만큼 남용될 경우 위험한 기술인 것이 분명하다. 그러나 액티브엑스를 다른 기술로 교체하는 것으로 이러한 사고를 방지할 수 있을지에 대한 회의적인 시각도 나온다. 다수의 이용자들이 ‘윈도우즈-익스플로러-액티브엑스’로 일원화된 환경이 다른 기술로 일원화된 환경으로 바뀌더라도 이러한 기술에 대한 해킹 방법이 등장하면 큰 피해를 막을 수 없다는 논리다.

때문에 웹브라우저나 보안기술 등이 다원화되어야 한다는 것이다. 그래야 다양한 해킹수법에 대한 대응책을 마련할 수 있고 특정 기술이 해킹에 의해 무력화되더라도 그 피해를 최소화할 수 있다는 게 이러한 주장이다.

문제는 정부 차원에서 이러한 방법을 택하기 쉽지 않다는 것이다. 정부는 지난 1999년 국회에서 전자서명법을 의결한 이후 6개 기관에 공인인증서와 관련한 인증 업무를 담당하게 했다. 오늘날까지 이어지는 액티브엑스 기반의 인증기술은 대개 이 시기의 패러다임에 맞춰 개발된 것이다. 하지만 최근 다량의 공인인증서가 유출됐다는 이유로 금융결제원이 유출이 의심되는 인증서들을 일괄 폐기하면서 정부 입장에서도 공인인증서 방식을 대체할만한 새로운 기술을 도입해야 하는 시기가 왔다.

▲ 최문기 미래창조과학부 장관 후보자가 1일 오전 서울 여의도 국회 미래창조과학방송통신위원회에서 열린 인사청문회에서 농지법 위반, 불법 증여 의혹 등과 관련한 야당 의원들의 질의를 들으며 피곤한 듯 눈을 질끈 감고 있다. ⓒ 뉴스1

앞서 언급된 “HTML5 등 신기술을 도입하겠다”는 최문기 후보자의 답변은 이러한 상황을 고려한 것이다. 하지만 HTML5 방식이 해킹에서 안전하리라고는 누구도 장담할 수 없을 것이다. 특히 최근 급증하는 다양한 방식을 통한 APT공격 등의 사례를 보면 이게 반드시 ‘보안기술’이라는 한 가지 차원만을 볼 것이 아니라는 문제를 알게 된다. 결국 어떤 수단을 동원하든 한 번 뚫리면 일사천리로 끝까지 밀어붙일 수 있는 체계 자체가 문제라는 것이다.

업계 자율에 맡겨라

이런 상황이기 때문에 아예 정부가 어떤 기술에 대한 지원 계획 등을 세우지 말고 보안과 관련된 모든 사항에 대해 관심을 끄라는 요구도 있다. 정부가 금융기관 보안과 관련해 일괄적인 기준을 세우는 것 자체가 문제가 된다는 주장이다.

최근 사단법인 오픈넷은 공인인증서의 대체 수단을 찾고 있다는 금융위원회 측의 입장을 반박했다. 오픈넷 측은 “또 다른 인증 기술을 ‘스폰스’한다면 지난 13년간의 오류를 다시 반복하는 셈”이라면서 “언제나 새로운 기술이 등장하고 각광을 받는 기술도 조만간 허점이 드러나게 되므로 보안 기술은 업계가 선택하도록 해야 한다”고 주장했다. 다양한 보안 기술의 생태계를 조성해 금융기관 등이 자율적으로 이를 선택하도록 해야 한다는 것이다.

물론 정부 측으로서는 금융기관의 성격 등을 고려하자면 정부가 이에 대한 보안을 보증하지 못하면 인터넷 뱅킹 등의 편의를 제공하는 게 사실상 불가능하다는 입장을 가질 수도 있다. 그러나 현실적으로 벌어진 문제들에서 정부 측 역할의 한계가 명확히 드러났다는 점 또한 인정하지 않을 수 없는 상황에 왔다. 새로운 기술을 도입하더라도 어떤 방식으로든 사고는 날 것이다.

인터넷 뱅킹 수요 자체를 축소하는 방향으로 금융기관의 정책을 유도하는 것도 방법이다. 이를 통해 OTP 발생기 등을 통한 보안 기술을 과도적으로 장려할 수도 있다. 조만간 편의의 반대급부로 큰 위험을 짊어지는 것이 옳은지, 편의를 포기하면서 안전을 추구할지 선택해야 하는 시점이 올 지도 모른다.

저작권자 © 미디어스 무단전재 및 재배포 금지