공공기관 웹사이트 이용 때 뷸편을 주는 액티브 엑스(X) 같은 플러그인 제거에 관한 정부 차원의 가이드라인이 나왔다.
행정안전부는 중앙부처나 지방자치단체 등 공공기관 웹사이트의 플러그인을 체계적으로 제거하기 위한 가이드라인을 마련했다고 6일 밝혔다.
플러그인(plug-in) 프로그램은 브라우저가 제공하지 않는 기능을 사용하기 위해 개인용 컴퓨터(PC)에 설치하고 브라우저와 연동해 사용하는 별도 소프트웨어다.
그러나 보안 문제와 프로그램 간 충돌, PC 재부팅 문제 등을 야기해 불편을 주고 있다.
이 때문에 행안부는 2020년까지 모든 공공 웹사이트의 플러그인을 제거하기로 하고 연구용역과 전문가 등 의견수렴을 거쳐 이번에 가이드라인을 확정했다.
가이드라인은 플러그인 제거 원칙으로 최신 웹브라우저만으로 별도 플러그인 없이 사용 가능해야 한다는 점을 제시했다.
다만 최신 웹 표준을 지원하지 않는 웹브라우저 이용자가 서비스를 사용할 수 있는 만큼 기존 플러그인도 동시에 지원하도록 했다.
공인인증서는 별도 프로그램 없이 웹브라우저만으로 사용할 수 있어야 한다.
또 모바일, 단문메시지서비스(SMS), 신용카드 등을 활용한 다양한 본인확인 수단도 추가로 쓸 수 있도록 했다.
PC에 키보드 보안, 방화벽 등을 위해 사이트 방문 때마다 설치해야 했던 플러그인은 사용자가 원할 때만 설치하도록 하고 우선 설치에 동의하도록 했던 절차도 개선하도록 했다.
민원문서 위·변조 방지 플러그인은 위·변조 여부를 사후 확인하는 식으로 전환할 수 있도록 했다.
출력된 민원문서를 접수하는 기관이나 국민이 위·변조 여부를 확인할 수 있도록 진위확인번호를 문서에 기재하도록 하는 식이다.
이밖에 파일 송·수신이나 그래픽 뷰어 등 목적으로 사용되는 플러그인도 웹 표준 기술로 대체해 플러그인을 설치하지 않고도 이용할 수 있도록 했다.
[표] 플러그인 유형별 제거방안
┌──┬──────┬─────────────┬─────────────┐ │ │플러그인 유 │제거 방안 │비고 │ │ │형 │ │ │ ├──┼──────┼─────────────┼─────────────┤ │1 │공인인증서 │● 전자서명 : 브라우저 인 │● 브라우저 인증서 도입 시│ │ │ │증서 │ 금융결제원의 공동저장소 │ │ │ │● 본인확인 : 휴대폰 본인 │연동 권장 │ │ │ │확인, 신용카드 본인확인, │ │ │ │ │브라우저 인증서, 디지털 원│ │ │ │ │패스 │ │ ├──┼──────┼─────────────┼─────────────┤ │2 │백신, 개인방│● 이용자 선택 설치 │● 플러그인 설치를 유도(강│ │ │화벽 │● 효과성을 재검토하여 제 │제) 하지 않는 웹페이지 UI │ │ │ │거 │구성 │ ├──┼──────┼─────────────┼─────────────┤ │3 │키보드보안 │● 가상키패드 │● 입력 정보가 많은 경우 │ │ │ │● 이용자 선택 설치 │가상키패드는 이용 불편 │ │ │ │● 효과성을 재검토하여 제 │ │ │ │ │거 │ │ ├──┼──────┼─────────────┼─────────────┤ │4 │전송구간 암 │● SSL(Secure Socket Layer│● 전자서명이외에도 운영 │ │ │호화 │)적용 │웹페이지에도 SSL 적용 가능│ ├──┼──────┼─────────────┼─────────────┤ │5 │신용카드 │● 키인 방식 카드결제(수기│● 키인 방식 서비스 개발방│ │ │전자결제 │결제) │식의 경우 전자결제 페이지 │ │ │ │● 카드간편결제 or ARS 전 │개발 필요 │ │ │ │자결제 │● 카드간편결제 도입 시 기│ │ │ │ │존 PG 계약 기간 및 해지 요│ │ │ │ │건 확인 │ ├──┼──────┼─────────────┼─────────────┤ │6 │계좌이체 │● 간편계좌이체 결제 │● 간편계좌이체 도입 시 기│ │ │전자결제 │ │존 PG 계약 기간 및 해지 요│ │ │ │ │건 확인 │ ├──┼──────┼─────────────┼─────────────┤ │7 │조회화면 보 │● 효과성을 재검토하여 제 │● 화면 보호 기능에 한계가│ │ │호 │거 │ 있음 │ │ │(웹 DRM) │● 웹표준 조회화면보호 적 │● 웹표준 개발 시 일부 기 │ │ │ │용 │능 지원 불가(메뉴제어, 소 │ │ │ │ - 자체 개발 적용 │스보기) │ │ │ │ - 웹표준 솔루션 도입 │● 클라이언트와 서버에서 │ │ │ │ │입력 데이터 유효성 검증 코│ │ │ │ │드 추가 │ ├──┼──────┼─────────────┼─────────────┤ │8 │전자문서 조 │● 웹표준 웹폼 문서 뷰어 │● 시점확인 기능이 필요할 │ │ │회 │솔루션 도입(시점확인 기능 │경우 PDF 변환 솔루션을 통 │ │ │ │없음) │해 지원 │ │ │ │● 서버에서 PDF 변환 솔루 │● IE9~11은 내장PDF 뷰어가│ │ │ │션을 통해 PDF 문서 생성 후│ 없어 Acrobat Reader 사전 │ │ │ │ 브라우저 내장 PDF 뷰어로 │설치 필요 │ │ │ │조회 │ │ ├──┼──────┼─────────────┼─────────────┤ │9 │출력문서 위 │● 서버 변환 방식 출력문서│● 2차원 바코드 방식은 진 │ │ │변조 │ 위변조 방지(복사방지마크,│위확인번호 방식에 비해 진 │ │ │방지 │ 전자관인, 2차원 바코드, │위확인절차가 불편 │ │ │ │진위확인번호) 솔루션 도입 │ │ │ │ │● 발급문서 진위확인서비스│ │ │ │ │ 도입 │ │ ├──┼──────┼─────────────┼─────────────┤ │10 │프린터 스풀 │● 증명서 무료화 유도를 통│● IE에서 웹폼, 웹페이지 │ │ │접근제어 및 │해 제거 │출력 시 하단 URL이 노출(PD│ │ │출력 매수 제│ │F 변환 후 출력 시 비노출 │ │ │한 │ │가능) │ └──┴──────┴─────────────┴─────────────┘ (※ 자료: 행정안전부)
오는 2020년 모든 공공기관 웹사이트에서 ‘액티브 엑스(Active-X)’ 등 플러그인 프로그램이 사라진다. 당장 올해 안에 이용빈도가 높은 30대 공공 웹사이트의 플러그인이 제거된다.행정안전부는 이 같은 내용의 플러그인 프로그램 단계별 제거 이행안을 수립해 추진한다고 16일 밝혔다. 플러그인이란 익스플로러 등의 인터넷 브라우저가 제공하지 않는 보안 기능 등을 사용하기 위해 컴퓨터에 설치해야 하는 프로그램이다. 하지만 플러그인이 설치되는 동안 악성코드 감염 우려, 프로그램 간 충돌, 컴퓨터 재부팅 등의 불편이 있었다.행안부는 우선 국민 대다수가 이용하는 ‘연말정산 간소화 서비스’와 주민등록등본 등을 발급하는 ‘정부24’ 웹사이트부터 손보기로 했다. 연말정산 서비스 웹사이트는 액티브 엑스를 설치하지 않아도 이용할 수 있도록 시스템을 개선해 15일부터 가동에 들어갔다.올해 안에 플러그인이 제거되는 30대 공공 웹사이트는 전체 공공 웹사이트 이용량의 90% 정도를 차지한다. 대민 서비스와 관련한 공공 웹사이트는 총 8971개다.백승현 기자 argos@hankyung.com
과학기술정보통신부는 2020년까지 액티브X를 완전히 없앨 계획이다. 장병규 4차산업혁명위원회 위원장도 최근 한 인터뷰에서 액티브X를 ‘적폐’로 꼽았다. 하지만 보안 전문가들은 액티브X를 없애는 것만 능사가 아니라고 지적한다. 업체들이 그 대안으로 이용자에게 EXE파일 형태의 보안 플러그인(추가 설치 프로그램)을 깔도록 강제하고 있기 때문이다.이동희 포스포인트 한국지사장(사진)은 4일 한국경제신문과의 인터뷰에서 “액티브X를 비롯해 플러그인 방식 보안 프로그램을 아예 없애야 한다”며 “이용자에게자신의 기기에 보안 프로그램을 설치하라고 하는 ‘한국식 보안체계’는 서비스 제공자(업체)가 져야 할 보안 책임을 이용자에게 떠넘기는 것”이라고 지적했다.그는 “이들 보안 프로그램에 ‘관리자 권한’이 부여되면서 지나칠 정도로 기기 통제권을 가져가는 것도 문제”라며 “해당 보안 프로그램이 오염되면 시스템 자체가 망가질 위험이 있다”고 말했다.포스포인트는 미국 방산업체 레이시온 계열 보안업체로 2016년 설립됐다. 이 지사장은 20년 이상 보안업계에 근무했고 올 1월부터 포스포인트 한국지사장으로 일하고 있다.이용자에게 보안 책임을 넘기는 현행 시스템은 2000년대 초반 암호화통신이 막 등장했을 때 짜였다는 게 그의 설명이다. 당시에는 서버 비용 부담이 지금보다 컸고 인터넷 속도도 느리다 보니 이용자 PC에 암호화 처리를 맡기는 방식을 채택했다. 하지만 서버 용량이 늘어나고 인터넷 속도도 빨라지면서 업체가 암호화 통신 작업을 모두 책임질 수 있게 됐다.이 지사장은 “인터넷 환경이 바뀐 만큼 이 같은 방식은 폐기해야 한다”며 “세계 최대 전자상거래 업체 아마존, 글로벌 전자결제 서비스 페이팔처럼 업체가 거래 과정의 보안 책임을 지도록 하는 국제 표준 방식의 보안 시스템을 갖춰야 한다”고 강조했다.하지만 국내 보안업체들은 플러그인 방식 보안체계에 익숙해져 있다. 매출 상당 부분을 의존하는 업체도 있어 틀을 바꾸기 쉽지 않다. 하지만 글로벌 트렌드를 따라가면 보안업체의 기회가 줄어드는 게 아니라 오히려 늘어날 수 있다는 게 이 대표의 분석이다.그는 “외국인을 만나 보면 한국 전자상거래 사이트에서 결제하기가 참 어렵다는 얘기를 많이 한다”며 “세계적인 트렌드를 따라가지 않으면 한국 업체가 해외 시장을 개척하기 어려울 것”이라고 지적했다.유하늘 기자 skyu@hankyung.com
실행파일 역시 해커침투 위험 상존·고객 불편 해소 못해"공인인증서는 기업면책 수단으로 악용…고객에 책임 떠넘기기"#회사원 A 씨는 주거래 은행 사이트를 들어갈 때마다 한숨이 나온다.주거래라는 말이 무색하게 해당 은행이 개인정보 암호화, 키보드 보안 등 온갖 보안 프로그램의 설치를 요구하기 때문이다.이미 설치한 프로그램도 기간 만료가 돌아왔다는 이유로 다시 설치해야 한다.정부의 전자민원사이트 민원24나 국세청의 홈택스 사이트도 사정은 크게 다르지 않다.은행만큼 자주 이용하는 사이트가 아니다 보니 이용자의 번거로움은 더욱 크다.어쩌다 한번 접속하는데 적어도 3~4개의 프로그램을 깔아야 한다.◇ 액티브X 폐기 추진…EXE 실행 파일 대체 논란이용자를 짜증 나게 하는 주범은 액티브엑스(ActiveX)와 EXE로 대표되는 실행 프로그램들이다.이들은 주로 공인인증서와 각종 보안 기능을 구동하기 위해 활용된다.액티브X는 MS 웹브라우저인 인터넷 익스플로러에서만 사용할 수 있고, 자동설치 방식 등 취약점으로 인해 악성코드의 전파 경로로 악용돼왔다.정부는 이른바 '천송이 코트' 논란을 계기로 지난 2014년부터 액티브X 폐기 정책을 펴왔다.행정자치부에 따르면 2015년 공공분야 홈페이지 1만2천13개가 9천129개의 액티브X를 쓰고 있었다.정부의 폐기 정책으로 지난해 말 액티브X를 사용하는 웹사이트는 2천71개로 83% 감소했고, 액티브X도 3천787개로 줄었다.국정기획자문위원회는 지난 6일 2020년까지 공공분야의 모든 웹사이트에서 액티브X를 없애겠다고 밝혔다.민간 부문을 담당하는 미래창조과학부와 한국인터넷진흥원(KISA)도 연말까지 이용자가 많은 100대 민간 사이트의 액티브X를 폐기할 방침이다.정부는 액티브X 폐기가 어려울 경우 EXE 등 실행 프로그램을 대신 적용하기로 했다.EXE는 윈도 응용 프로그램으로, 크롬과 파이어폭스 등 다른 웹브라우저에서도 사용할 수 있다.하지만 역시 별도의 설치가 필요하다는 점에서 한계가 있다.지난 정부 때에도 액티브X 폐기 정책 이후 EXE 프로그램이 우후죽순 생겨나 이용자의 불편은 여전했다.액티브X와 마찬가지로 해커들의 침투 경로가 될 위험도 있다.보안업체 하우리 최상명 실장은 "해커들이 실행코드로 둔갑한 악성코드를 유포할 가능성이 있다"며 "실행파일의 보안을 담보할 방법을 모색해야 한다"고 말했다.현 방식의 액티브X 폐기 정책은 대통령 공약인 '노플러그인(No-plugin)' 정책과도 거리가 있다.문재인 대통령은 대선 후보 당시 "정부가 관리하는 모든 사이트에서 액티브엑스는 물론 일체의 플러그인을 모두 제거하겠다"고 약속했다.노플러그인 실현을 위한 방안으로는 별도 프로그램 설치가 필요 없는 웹표준 구축이 꼽힌다.아마존이나 이베이 등 해외 대형 쇼핑몰이 아이디, 카드번호, 비밀번호를 입력하는 것만으로 결제가 가능한 이유는 웹사이트 자체가 국제 웹표준의 암호화 방식을 따르기 때문이다.하지만 국내 웹사이트 가운데 절반가량이 현행 웹표준(HTML5)을 따르지 않고, 웹표준 역시 문서 위변조 방지 등 국내에 특화한 일부 보안 기능을 지원하지 않아 한계로 지적된다.◇ 공인인증서 여전히 활용도 높아…"면책 관행 바뀌어야"정부의 액티브X 폐기 방침으로 공인인증서도 다시 도마 위에 올랐다.공인인증서는 애초 계약 성사를 확인하는 전자서명 용도로 만들어졌지만, 본인 확인용으로 활용하는 경우가 많다.이 때문에 공인인증서 없이 웹사이트를 이용하려면 불편함이 컸다.지난 정부는 액티브X와 함께 공인인증서 폐기를 추진했다.2015년 전자금융거래법을 개정해 금융업계의 공인인증서 의무사용 규정을 폐기했지만, 여전히 많은 공공 및 금융기관들이 공인인증서를 요구하고 있다.공인인증서는 해외에서도 통용되는 공개키(PKI) 기반의 전자서명 방식으로, 자체 보안성이 뛰어나나 파일 형태로 컴퓨터에 저장돼 해커의 먹잇감이 될 위험이 있다.정부 주도의 현 관리 방식이 민간 영역의 인증기술 경쟁력을 제한한다는 비판도 있다.현재 공인인증서는 정부(한국인터넷진흥원)의 관리 아래 한국정보인증·코스콤·금융결제원 등 5개 기관이 발급한다.공인인증서 폐지보다는 기업의 면책 수단으로 활용되는 관행 개선이 우선이라는 지적도 제기된다.전자금융거래법 9조 2항은 '이용자 피해가 발생한 경우 금융사나 전자금융업자가 사고를 방지하기 위해 보안절차를 수립하고, 철저히 준수하는 등 충분한 주의를 다했다면 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다'고 규정한다.이 조항을 이용해 금융사는 고객에게 공인인증서 및 보안 프로그램 설치를 요구하고, 미설치 시 이용을 제한한다.고객의 공인인증서가 해킹돼 금융 사고가 발생한 경우 관리 소홀의 책임은 고객에게 돌아가 사실상 금융사는 책임을 피하게 된다.한국인터넷진흥원 백기승 원장은 "문제는 공인인증서가 아닌 보안을 고객에게 떠넘기는 관행"이라며 "금융권이 사고의 책임을 지는 방향으로 가도록 권한과 책임을 정리할 필요가 있다"고 말했다.(서울연합뉴스) 고현실 기자 okko@yna.co.kr
!['베니스의 장인들' 르네상스 조선소에 쿵쿵쿵 망치질! 클래스가 달랐던 토즈 전시 [2024 베네치아 비엔날레]](https://timg.hankyung.com/t/560x0/photo/202404/01.36496137.3.jpg)