이달 31일 출시를 앞두고 있는 비스타, 이를 두고 네티즌 사이에서 액티브X 논란이 가열되고 있다.

새로게 출시되는 OS 윈도비스타선 사용자계정콘트롤(UAC)과 액티브X 설치를 막는 강력한 보안 기능으로 액티브X 사용에 제약이 있다. 하지만 우리나라의 경우 정부의 정책을 통해 SEED 알고리즘을 사용하면서 액티브X 사용이라는 고립의 길을 걷게 됐다는 비판과 함께 액티브X에 대한 가열찬 논란이 벌어지고 있다.

김국현 IT칼럼리스트는 ZDNet 칼럼을 통해 "은행 일이라도 한번 보려면 여러 개의 컨트롤을 일단 깔아댄다. 내 PC를 유린하듯 설치되는 컨트롤의 면모는 살펴 보니 하나 같이 '보안 모듈'"이라면서 "외국 굴지의 은행들은 브라우저만으로 인터넷 뱅킹을 무리 없이 수행하고 있으며 IE와 파이어폭스 모두 필요 충분한 수준의 암호화 기능은 물론 인증서 관리 기능도 들어 있다. 왜 보안을 웹의 외부 기능에 의존해야 하는 것인지 의문이 든다"고 전했다.

액티브X 논란「극과 극」
이에 대해 국내 공인인증시스템 개발/도입 당시부터 깊게 관여했던 사람이라고 밝힌 네티즌은 "당시 SEED를 강요함으로써 국내 업체만이 시장에 진입할 수 있도록 한 것은 사실이나 당시의 분위기는 각 국가별 독자 알고리즘 활성화가 당연했었던 상황"이었다고 전했다.

이어 "SEED가 아니더라도 브라우저의 SSL(서버인증서만의) 만으로는 사용자 인증 및 전자서명이 불가능했고, 사용자 인증서를 사용한다고 했다면 유료로 인한 문제 및 발급절차 자체의 어려움을 감당할 수 있었을까"라고 꼬집었다.

반면 다른 네티즌은 "문제는 왜 액티브X 이어야만 했는가이며, 중요한 것은 현재 우리나라의 공인인증서는 특정OS의 특정 브라우저만 지원한다는 것"이라며 "개발자들의 허접함과 관계부처의 안일한 태도가 오늘의 문제를 만든건 아닌지 생각해 봐야한다"고 비판했다.

네티즌 "엔지니어" 역시 "보안을 위한 샌드박스도 없이 인증만 믿고 설치하는 순간 PC에 대한 제어권을 가지게 되는 기술로 MS가 급조해낸 것이 액티브X"라며 "지금 포털과 정부는 비스타 출시 후 그냥 보안레벨을 낮춰서 우회하도록 유도하고 있다. 보안을 강화시켜놓으니 그 보안을 낮추도록 해서 일단 급한 불 끄고 보자는 근시안적인 대책으로 일관하고 있는 것에 한숨만 나온다"고 전했다.

한국MS「액티브X 사용 무리 없어」
한편 23일 한국마이크로소프트(이하 한국MS)는 정통부-국정원-금감원 등을 주축으로 한 보안 관련 협의 내용에 대해 발표할 예정이다.

한국MS 조원영 보안총괄 이사는 "윈도비스타로 인해 액티브X를 전면 못쓰게 된다고 생각하는 것은 잘못된 생각"이라고 꼬집으며 "액티브X를 통한 해킹 위험이 많이 있어, 이를 위한 시스템 파일만 못 건드리도록 설정돼 있는 것이므로 액티브X만 안전하게 변경하면 웹페이지를 문제없이 사용할 수 있다"고 전했다.

그는 이어 "대부분의 은행권과 메이저 포털들의 경우 거의 대부분 이러한 변경작업이 완료된 것으로 알고 있으며, 게임이나 온라인 쇼핑 등의 다른 온라인 사이트들도 늦어도 2월 말까지는 변경 작업이 모두 완료돼 불편 없이 사용할 수 있다"고 강조했다.

금융보안연구원 보안기술팀 성재모 팀장도 "일부에서 윈도XP 수준으로 보안이 떨어지는 것이 아니냐는 우려도 있었지만, 대부분의 보안 업체들이 비스타 버전으로 보안 솔루션을 개발한 상태로 1~2주 안으로 적용테스트를 끝내 빠르면 2월 초에 적용이 가능할 것으로 보인다"고 전했다.

또한 "하지만 IE7과의 호환성 문제가 남아있는 문제도 있어 이를 자체적 수정하기 위해선 시간이 조금 걸릴수도 있으나 2월 말경에는 모든 은행에서 문제가 해결될 수 있을 것으로 전망된다"고 말했다. @

요즈음 ActiveX, 정확히는 'ActiveX 컨트롤'이란 기술이 시끄럽다. 브라우저 밑으로 손을 뻗어 그 밑에 깔린 시스템의 기능을 만지작거릴 수 있게 하는 요물. 웹은 웹이로되 PC가 할 수 있는 모든 일을 하게끔 하는, 웹을 웹 이상으로 조작하기 위한 '만능 컨트롤' 도구, ActiveX. 90년대의 프로그래머들은 ActiveX가 포함된 COM이라는 테크놀로지 조합으로 PC 전성기를 풍미했다.

그런데 새 버전의 인터넷 익스플로러와 새 OS 윈도우 비스타는 자신들의 기술 ActiveX를 유리 상자 안에 가둬 버리고 만다. ActiveX란 뭐든지 만들 수 있지만, 뭐든지 망칠 수도 있는 양날의 검이었다. 새 플랫폼이 ActiveX에 거리를 두는 이유는 '시스템의 기능을 만지작거리는 일'이 악인에 의해서도 자행될 수 있다는 자각 때문이다. ActiveX는 모두가 순박했던 목가적 시절에나 어울리는 기술이었던 것이다.

게다가 이미 업계는 웹을 임의로 '컨트롤'하여 변경하는 일이 그리 바람직한 일도 아님을 공감하고 있다. 웹 표준 운동도 그 일환이다. ActiveX같은 로우레벨 아키텍처에 의존한 플랫폼을 만드는 일이란 플래시 수준의 입지를 지닌 플랫폼 제공자가 아니라면 비즈니스적으로도 별 의미가 없다는 것을 깨달았다. 마치 고급 언어를 배운 이래 어셈블리어를 만질 필요가 없듯, 굳이 웹을 개선한다는 목적만으로는 ActiveX라는 위험한 칼을 만질 이유가 없는 것이다.

물론 아이디어란 표준으로 묶어 놓기에는 너무나 자유분방한 것이기에, 올해도 내년에도 웹의 확장은 일어날 것이다. 그렇기에 웹을 초월한 무언가를 덧붙이려는 확장 욕구는 건전한 것이다. 브라우저로 하지 못하는 일을 새로운 아이디어로 '확장'하려는 욕망은 멈추기 힘들고, 이 점을 강조하기 위해서 일까? 파이어폭스가 ActiveX '컨트롤(Controls)'을 금지하고 대신 파이어폭스 '확장(Extension)'이란 개념을 도입한 의도는 그 용어에 잘 나타나 있다. 마이크로소프트도 이미 닷넷을 중심으로 기술 구조를 재편한지 오래다. ActiveX를 위시한 Win32의 리거시 기술들은 배후로 밀려나고, 웹의 확장 기능도 ActiveX라는 칼을 직접 만지지 않도록 유도하고 있다. 더 편하고 더 쉬운 확장을 할 수 있는 방안과 로드맵이 따로 있는 것이다.

그러나 우리는 유난히 ActiveX라는 날카로운 칼을 좋아했다. 그리고 무척이나 잘 드는 이 칼로 웹을 확장한 것이 아니라 오히려 웹의 여기저기를 도려내며 우리만의 아키텍처를 만들었다. 대한민국의 웹을 서핑하다 만나게 되는 수 없는 경고창들, 칼을 조심하라는 시스템의 경고지만 개의치 않는다. 수저가 필요한 곳에 칼이 놓이고 있다. 손잡이가 필요한 곳에 날이 서 있다.

칼날이 난무한다. 특히 은행 일이라도 한번 보려면 여러 개의 컨트롤을 일단 깔아댄다. 뭐가 뭔지 도무지 모르겠지만, 여하튼 설치하지 않으면 아무 것도 못하니 방법이 없다. 게다가 왜 이렇게 회사마다 종류가 골고루인지. 그렇게 내 PC를 유린하듯 설치되는 컨트롤의 면모는 살펴 보니 하나 같이 '보안 모듈'.

여기에서 의문이 생긴다. 왜 보안을 웹의 외부 기능에 의존해야 하는 것인가? 사실을 말하자면, 한국 수준의 보안은 모르겠으나 적어도 세계 수준의 보안은 브라우저 만으로도 얼마든지 확보할 수 있다. 외국 굴지의 은행들은 브라우저만으로 인터넷 뱅킹을 무리 없이 수행하고 있다. IE와 파이어폭스 모두 필요 충분한 수준의 암호화 기능은 물론 인증서 관리 기능도 들어 있다.


그런데 한국은 세계에서 통용되는 이러한 표준 기능은 활용하지 않은 채, 보안을 웹의 외부 기능으로 빼내어 독자적으로 처리하고 있다. 놀라운 기술 독립이다. 마이크로소프트도 모질라 재단도 놀라고 있는 일이다. 그들은 이해를 못하는 일이다.

왜? 도대체 왜 이 상황이 된 것일까?

여러 가지 도시 전설이 횡행하지만, ① 당시 미국의 128비트 암호화 수출 금지 조항에 맞선 독자 기술(SEED)의 개발과 적용 지도, ② 한국의 특수 상황이 발생시킨 정보 기관의 지침(보안 적합성 검증), ③ 독자적 최상위 인증 기관 운영 욕구, ④ 해킹 피해 발생 보도에 대한 과민 반응. 등이 복합적으로 작용했다는 설이다. 인터넷이 너무 일찍 퍼진 한국은 너무 급했고 너무 불안했던 것이다.

이 과정에서 얻은 일도 있을 것이다. 내수 보안 산업이 자생적 생태계를 꾸릴 수 있었다. 척박한 국내 IT 시장에서 나름대로 고용을 창출하고 기술을 연마해 온 그들에게 과연 “당신들의 존재 자체가 틀렸어!”라고 감히 말할 수 있을까? 누구도 그럴 용기가 없다. 완전한 기술 쇄국을 이끈 정부도 금융권도 IT 업계도 국민도 어느 누구도.

그러나 잠시 스스로를 돌아 볼 때다. 우리는 정말 세계 어느 나라보다 안전할까? 인증서 파일을 PC에서 PC로 옮겨 들고 다니는 일이 과연 최고의 보안 솔루션일까? 다른 나라처럼 암호 발생 카드나 암호 발생 열쇠고리를 사용하는 것이 차라리 안전하지 않을까? 전세계적으로 테스트되고 사용되고 있는 브라우저 들의 내부 보안 기능보다, 버그가 있을 수 있는 개별 기업의 외부 보안 솔루션이 더 안전하다고 우리는 진정 믿을 수 있을까? 우리에게는 잠시 쉬어가며 백지에서 다시 생각해 볼 여유가 필요한 것이다.

ActiveX의 문제란 결국 독자 기술의 꿈이 불러 온 기술 쇄국의 딜레마였던 것이다.

사실 아무 일도 아닐 수도 있다. 쇄국의 아키텍처를 끝까지 고수하며 업체를 압박한다면 어떻게든 솔루션은 생길지 모른다. 그러나 언제까지 그렇게 아슬아슬한 아키텍처를 우리는 가져갈 수 있을까? 새로운 OS가 등장할 때마다, 새로운 브라우저가 등장할 때마다 우리는 '우리의 실정'을 부르짖어야 할 테니까.

기술은 도구인 이상, 양날의 검이다. 잘 쓰면 유용한 도구이지만 목적을 잊은 채 수없이 주머니에 품고 있기에는 거북한 존재인 것이다. 잘못 들어가 있는 칼은 서서히 걷어내야 한다. 그리고 그 칼의 사용은, 그리고 더군다나 민생에 직결되는 서비스에서의 사용은 더 신중히 논의되어야 하는 것이다.

칼을 드는 순간, 내 스스로 누군가를 소외시키지는 않는지, 그리고 그 칼을 드는 순간 내가 세상으로부터 소외되지는 않은지 생각해 봐야 한다. 도구의 의미를 생각하지 않은 채, 용도를 숙고하지 않은 채, 도구의 방향을 관찰하지 않은 채, 도구를 본래의 취지와 맞지 않게 남용하는 것이 얼마나 무모한지 우리 사회는 그리고 업계는 어쩌면 매우 비싼 값을 치르며 배우고 있는 것인지도 모른다.