정부는 국정과제로 2018년부터 2020년까지 액티브X 및 불필요한 플러그인을 제거한다는 계획을 발표하고 관련정책을 추진해왔다. 이전부터 액티브X의 문제점과 사용중단에 대한 논의가 계속 이어져 오고 있기에 필자는 액티브X가 왜 우리나라에서만 이슈가 되는지에 대하여 글을 작성하려 한다.

액티브X, 무엇인 문제일까?
액티브X(ActiveX)는 웹에서 HTML의 정적인 웹 문서에서 탈피해 멀티미디어 기술까지 동작할 수 있도록 하는 기술이며 대부분 액티브X는 인터넷 익스플로러의 플러그인을 만드는 데 사용되고 있다. 이러한 웹 브라우저용 플러그인은 NPAPI, 자바애플릿 등 다양한 종류가 있는데, 가장 대표적인 것은 마이크로소프트의 웹 브라우저인 인터넷 익스플로어(Internet Explorer)용 플러그인 액티브X(ActiveX)다. 가장 많이 쓰이는 운영체제가 마이크로소프트의 윈도우이며, 윈도우에 기본적으로 내장된 웹 브라우저가 바로 인터넷 익스플로어이기 때문에 액티브X 역시 자연스럽게 웹 브라우저용 플러그인의 대명사가 되었다.

이러한 액티브X의 문제점을 이야기하기 위해서는 한국에서 많이 사용하고 있는 공인인증서를 설명하지 않을 수 없다.
우리나라는 IMF 금융위기(1997년~2001년 초) 속에 1999년 김대중 정부에서는 대한민국을 IT강국으로 만들 계획 발표 후 갑작스럽게 IT분야가 엄청난 성장하기 시작한다. 이때 닷컴버블이란 표현도 등장했다. 인터넷 보급은 나날이 급속도로 성장하였고 인터넷 사용자는 점점 늘어갔다.
다행히 IMF위기가 마무리 된 이후 인터넷에 관한 법규들이 급하게 제정되고 보완되었다. 그 중 가장 큰 이슈는 공인인증서의 등장이다. 인터넷 사용이 급속도로 늘어나면서 전자상거래 시장규모는 매우 커졌고 온라인상의 안전거래를 위하여 신원증명수단이 필요해졌기에 공인인증서가 등장하게 된 배경이다.

정부는 공인인증서의 빠른 보급을 위해 2002년부터는 공인인증서 사용의무화를 실시하게 된다. 그러나 이른 바 천송이 코트 논란에 의해 2015년 공인인증서 사용의무화는 폐지가 된다. 이 때 카카오페이, PASS 등 보다 간단하게 사용이 가능한 민간 업체들의 인증 시스템들이 속속들이 등장한다. 하지만 여전히 국세청 홈택스나 각종 공문서 발급을 위한 정부 24 등에서는 여전히 공인인증서가 있어야만 가능하다. 마침내 2020년 12월 공인인증서 폐지를 공식화하였는데 공인인증서 폐지를 공식화까지 상당한 시간이 걸렸다. 그럼 왜 공인인증서 폐지를 갈망하게 만든 이유가 무엇인지 알아보자.

공인인증서 사용 의무화가 되면서 액티브X의 단점들이 나타나게 된다. 가장 큰 문제는 마이크로소프트의 인터넷 익스플로어에서만 사용 가능하단 점이다.
2000년대부터 타사의 웹 브라우저 (파이어폭스, 크롬, 사파리, 오페라 등) 가 점유율을 크게 끌어올렸으며, 더욱이, 윈도우 기반의 PC가 아닌 스마트폰, 태블릿 컴퓨터 (OS X, 리눅스, 안드로이드, iOS 등) 에서는 액티브X를 전혀 사용할 수 없으므로 명백한 한계가 존재하게 되었다.
또 다른 단점으로는 사용자의 PC에 직접 설치된다는 액티브X의 특징을 악용해 악성코드를 심거나 개인정보를 유출하는 경우도 발생하고 있으며, 액티브X를 설치하는 과정에서 사용자가 원하지 않는 기능까지 함께 설치하는 경우도 많다. 그리고 과도하게 많은 액티브X를 설치한 PC는 전반적인 처리 속도가 크게 저하되는 것도 단점 중 하나이다.

이러한 문제점을 인식한 W3C(World Web Consortium)과 웹 브라우저 개발사들은 플러그인을 설치하지 않아도 인터넷 뱅킹, 동영상 스트리밍, 게임 등 모든 작업을 웹 브라우저에서 처리할 수 있도록 하는 웹 언어 HTML5를 개발하였다. HTML5 개발과 플러그인 퇴출 가속화에 가장 적극적인 기업이 바로 마이크로소프트사(MS)이다. 인터넷 익스플로어 11을 공개하고 액티브X를 설치 할 수 없게 함에 따라 플러그인 퇴출 사전작업에 돌입하였던 것이다.
세계적으로 브라우저의 시장점유율 또한 아래 그림과 같이 빠르게 변화하고 있다.

[그림1. 브라우저 시장 점유율 변화추이]

[그림2. 플랫폼별 이용 현황 추이]

또한 구글, 파이어 폭스에서도 플러그인 (NPAPI)을 제거하겠다고 공지를 하였다. 이처럼 개발사들이 플러그인의 퇴출을 위해 나서고 있지만, 정작 우리는 액티브X에 미련을 버리지 못하고 있다. 앞에서 말했듯이 정부 홈페이지, 인터넷 뱅킹 등에서는 여전히 플러그인을 사용 중이다 인터넷 익스플로어의 국내 점유율은 13.9%이다 (2020년 3월 기준). 아직 2위 자리를 지키고 있으니 우리로서는 타격을 입을 수 밖에 없게 된 것이다.
전국경제인연합회가 진행한 설문조사(2014년 3월)에서 700명 대상으로 액티브X 때문에 불편을 경험한 적 있는지 라는 물음에 전체의 88%가 불편함을 경험했고 78.6%가 액티브X를 퇴출해야 한다고 밝혔다. 설문조사에서 액티브X만 선택해서 이야기했지만, 사실 우리가 불편해하는 것은 액티브X만이 아니라 모든 설치 플러그인이다.
2007년부터 액티브X 지원을 줄인다고 마이크로소프트사에서 선언을 하였으나 기업과 정부가 분명 시간이 있었음에도 불구하고 별다른 상황 개선을 하지 않고 허송세월을 보낸 셈이 되어버린 것이다.

만약 액티브X 기술을 사용하지 않고 공인인증서가 등장하였더라면 이렇게 소란을 피우고 있지 않았을 것이다. 물론 그 당시 기술적인 지원부분에 대하여 할말은 없다. 하지만 시간이 흘러 웹 브라우저의 점유 현황 변화와 타사의 웹 브라우저 성장이 변화하고 있음에도 불구하고 우리는 탁상공론을 계속 하고 있었던 건 아닌지 생각에 잠긴다.
이제는 액티브X를 대체할 수 있는 기술 역시 완성되어 있는 만큼 브라우저와 웹사이트 보안을 강화하여 누구나 쉽게 다양한 웹사이트는 물론 정부 서비스를 편안하게 이용할 날이 빠르게 다가오고 있다.

더불어 액티브X 기반의 공인인증서가 드디어 2020년 12월10일부로 정부가 공인인증서에 부여하던 우월적 지위가 폐지되면서 10일부터는 공인인증서도 민간인증서와 함께 전자서명 경쟁체제에 돌입한다. 그간 한국정보인증 등 6개 기관이 발급한 공인인증서에만 권한을 부여하던 공인전자서명 제도 또한 폐지된다.
공인인증서는 공동인증서로 이름을 바꿔 민간업체의 전자서명 서비스와 경쟁하게 된다. 공동인증서와 함께 카카오페이·패스·NHN페이코·네이버·토스 등 민간업체의 전자서명 서비스로 금융기관 뿐만 아니라 공공기관도 이용할 수 있게 된다. 이제 내년 1월부터는 근로자 연말정산과 주민등록등본 발급에 민간인증서를 활용할 수 있다. 공공기관 홈페이지에서 '간편서명' 메뉴를 클릭하고 그중 본인이 소지하고 있는 민간인증서를 선택하면 된다.
그동안의 국내 상황은 액티브X와 공인인증서는 떼려야 뗄 수 없는 관계에 있기에 공인인증서 패지에 따라 “공동인증서”, “금융인증서”, “민간인증서” 등 보다 편리하게 보안 인증을 수행할 수 있는 환경이 시작되었다.

[그림3. 인증서 유형별 장/단점]

새로운 인증서에 대한 자세한 내용은 다음 기고에 설명해보겠다.
기존 공인인증서보다 더 효율적이며 보안에 취약점이 없는지 등 여러 논란을 잠재우려면 많은 노력과 시간이 필요해 보인다.

㈜에스티이지 솔루션서비스본부 PS2팀 서상인 과장