‘액티브X 보안’ 놓고 오픈웹-안연구소 ‘신경전’

가 +
가 -

openweb_logo

웹표준 준수 운동을 진행하고 있는 오픈웹이 보안업체 안철수연구소를 향해 쓴소리를 내뱉었다. 3월9일 웹사이트에 올린 ‘안철수연구소에 대한 공개 질의‘란 글에서 안연구소가 금융권 보안 프로그램을 액티브X 기반으로 제작·보급하고 나선 데 대해 정식 문제삼고 나선 것이다.

공개 질의서는 오픈웹 운동을 주도하는 김기창 고려대 법대 교수(아이디 ‘youknowit’)가 작성했다. 이 글에서 김 교수는 보안 프로그램의 효용성이 아닌 ‘배포 방식’을 집중 문제삼았다. 요컨대 액티브X 형태로 제작·배포되는 보안 프로그램이 보안 효과를 고려할 때 적절하지 않으며, 이용자에게 지나친 판단 부담을 지운다는 애기다.

김 교수는 먼저 “액티브X 형태로 보안 프로그램을 보급할 경우 보안 경고창이 나타나면 반드시 ‘예’를 누르라고 안내하는 것이 바이러스 확산 방지나 컴퓨터 보안에 도움이 된다고 생각하”는지 의문을 제기했다. 이용자 PC 보안을 고려한다면 이용자 동의를 거치지 않고도 설치되는 게 나을 텐데, 굳이 액티브X 방식을 써서 이용자 확인 절차를 거쳐야 하는지를 문제삼은 것이다.

김 교수는 또한 “액티브X 형태로 프로그램을 배포하면, 이용자의 화면에 보안경고창이 뜨게 되는데, 이때 이용자는 그것이 ‘악성 액티브X’인지 ‘보안 액티브X’ 인지 매번 100% 정확히 판별해야 한다”며 전문 보안 지식이 없는 이용자에게 매번 판별의 몫을 지우는 방식에 대해 문제를 제기했다.

이 밖에 김 교수는 ▲외국과 달리 유독 한국에서만 액티브X 형태로 안티 바이러스 프로그램을 배포하는 이유 ▲보안을 위해 제공되는 프로그램이 굳이 금융 사이트같은 특정 웹사이트에 접속해 있을 동안만 실행되고, 해당 사이트를 벗어나면 종료되는 이유 등을 안연구소쪽에 공개 질의했다.

그러면서 김 교수는 일반 이용자에게 보안 프로그램 판별 여부를 일일이 묻는 액티브X 기반 배포 방식에 대해 “보안에 대한 전문지식이 있다는 귀사가 그동안 침묵·동조·조장한 이유는 무엇”이냐고 안연구소쪽에 ‘직무유기’ 책임을 물었다.

그동안 오픈웹을 비롯해 웹표준 옹호자들은 웹사이트 기획 또는 운영 당사자를 겨냥해 목소리를 높여왔다. 상대적으로 주문에 따라 프로그램 모듈을 공급하는 ‘협력업체’에는 직접 화살을 겨누지 않았다는 뜻이다. 그런 점에서 이번 오픈웹의 공개 질의는 수동적 공급사업자 정도로 여겨졌던 보안업체에도 넓은 범위에서 웹표준 준수 책임을 함께 묻는다는 점에서 눈길을 끈다.

하지만 이에 대한 안연구소쪽 반응은 한마디로 ‘잘못 짚었다’는 것이다. 안연구소쪽은 “국내 인터넷뱅킹 환경이 IE에만 맞춰져 있는 건 잘못된 일이지만, 이 책임을 공급업체인 보안업체에 묻는 것은 무리가 있다”고 반박했다.

안연구소쪽은 “국내 거래 환경에서 ‘을’인 보안업체로선 금융권 ‘갑’이 주문하는 사양에 맞출 수 밖에 없다”며 “이 환경을 무시하고 힘 없는 보안업체, 특히 안철수연구소만 찍어 문제삼는 건 이해하기 어렵다”고 밝혔다.

또한 “외국에선 아예 인터넷금융 보안 대책이 없는 상황인데, 우리나라는 IE만이라도 인터넷뱅킹 안정성을 보안해주는 점에서 그나마 나은 편”이라며 “결국 문제는 IE 환경에만 맞춰져 있는 인터넷뱅킹 환경”이라고 제도 개선이 먼저임을 지적했다.

안연구소쪽은 “안철수연구소 제품 자체만 놓고 보면 이미 IE와 파이어폭스 등을 지원하고 있으며, 구글 크롬으로도 확대할 예정”이라며 “정책당국이나 금융기관에서 다양한 인터넷뱅킹 보안 환경을 수용한다면, 언제든지 그에 맞는 보안 프로그램을 공급할 준비가 돼 있다”고 입장을 밝혔다.

결국 문제는 IE에만 맞춰져 있는 국내 인터넷뱅킹 환경으로 수렴된다. 금융 정책이 다양한 웹브라우저 환경을 허용하고, 그에 맞는 인터넷뱅킹·보안 솔루션을 갖추면 해결될 일이다. 언제까지 특정 이용자만 배려하거나 예산 탓하며 마냥 외면할 것인가.

네티즌의견(총 0개)