한 회사의 신입사원이 된 20대 여성 K씨는 첫 출근을 앞두고 잔뜩 마음이 부풀어 있다. 어떻게 하면 동기와 선배들에게 깔끔하고 생기발랄한 모습으로 어필할 수 있을까 고민이 많던 그녀. 평소 눈여겨 보고 있던 인터넷 의류 쇼핑몰에 접속해 옷들을 살피기 시작한다. '<직장의 신>에 나오는 금빛나처럼 입어볼까?'라고 생각하며 하얀 블라우스에 어울리는 예쁜 재킷을 골랐다. 주문 결제를 하려고 하니 그녀를 괴롭히는 게 있다.
'액티브X 설치를 하라고? 뭐가 이렇게 설치할 게 많아?' 인터넷 쇼핑몰에서 물건을 한 번이라도 사 본 사람은 새내기 직장인 K씨와 같은 경험을 하게 된다. 또 다른 새내기 직장인 심명진(27·여·서울시 일원동) 씨도 비슷한 경험을 했다.
"마음에 드는 물건이 있어서 주문하려고 하는데 막상 결제하려고 하면 이것저것 설치할 게 많더라고요. 쇼핑몰과 금융 결제 시스템마다 보안 프로그램 호환이 잘 안 되는 것 같아요. 프로그램끼리 부딪혀 결제하는 데까지 두 시간 걸린 적도 있어요."금융규제 당국, 보안 취약 '액티브X' 사용 13년째 강제심명진씨처럼 인터넷으로 전자금융거래를 하려면 컴퓨터에 반드시 설치해야 하는 프로그램이 있는데, 바로 '액티브X'다. 위키백과사전에 따르면 '액티브X'는 웹사용자 PC에 설치해 애니메이션 등 여러 종류의 파일과 데이터들을 웹상에 보여줄 수 있도록 하는 마이크로소프트의 플러그인(Plug-in) 기술이다. 한국인터넷진흥원(KISA)의 2012년 7월 통계에 따르면 국내 누리집 200개 중 약 74%가 액티브X를 사용하고 있는 것으로 나온다. 특히 인터넷 쇼핑처럼 전자결제 이용률이 높은 금융 분야 웹사이트는 93%, 서점 분야는 100% 액티브X를 사용하는 것으로 나올 만큼 광범위하게 쓰이는 기술이다.
그러나 액티브X 구성 요소는 마이크로소프트의 인터넷 익스플로러 웹 브라우저와 마이크로소프트 윈도우 운영 체제에서만 동작해 지금처럼 크롬이나 파이어폭스·사파리 같은 다양한 웹 환경에 익숙한 인터넷 사용자들에게 호환상 많은 불편함을 끼쳐 왔다. 특히 코드 실행에 대한 제약이 적어 컴퓨터 바이러스와 스파이웨어 같은 악성 코드 등의 노출에 취약하다는 단점도 있어 마이크로소프트사에서도 '액티브X' 사용 자제를 권장하고 있다.
문제는 유독 국내에서만 '액티브X' 설치 관행이 13년째 이어져오고 있다는 점이다. 이 때문에 국내 보안상황이 전반적으로 열악해졌다고 많은 전문가들은 지적해왔다. 2011년 3월 방송통신위원회는 액티브X 대체기술 적용 확산, 웹 브라우저 이용 다양화 및 웹환경 고도화 등을 골자로 하는 '인터넷 이용환경 개선 추진 계획'을 발표하기도 했다. 여러 인터넷 기업들이 나서서 '액티브X 퇴출 운동'을 벌이기도 했지만 아직 개선돼야 할 부분이 많이 남아있다.
최재천 "'액티브X' 문제 6월 국회 내 반드시 끝장낼 것"이종걸·최재천 민주당 의원은 20일 오전 국회 정론관에서 브리핑을 열고 보안 위험을 초래하는 액티브X 설치 관행 개선을 위한 '전자금융거래법 개정안'과 '전자서명법 개정안'을 대표 발의하기로 했다. 최재천 의원은 "이번 개정안 처리를 6월 임시국회 내에 반드시 끝장 내서 한국 IT 생태계 발목을 잡아 온 '관치 보안 13년 체제'를 종식시킬 수 있도록 하겠다"고 강조했다.
국회 정무위원회 소속 이종걸 민주당 의원이 대표 발의하는 '전자금융거래법 개정안'은 금융위원회가 모든 전자금융거래 시 '공인인증서'와 같은 인증 방법을 사용하도록 강제하는 규정(금융위 전자금융감독규정 제37조)을 바꾸는 게 핵심이다. 액티브X 기술을 주로 사용하는 공인인증서는 그동안 보안상 허점이 많은 것으로 지적돼 왔지만 새로운 최신 보안기술과 인증기술이 개발돼도 금융위원회의 규제로 이를 금융거래산업에 적용하지 못하는 현실이었다.
국회 미래창조과학방송통신위원회 소속 최재천 민주당 의원은 정부 권위에만 의존하고 정부주도로 시행되고 있는 현행 '국가공인인증제도'를 폐지하고 국제적으로 통용될 수 있는 선진 인증기술을 도입하게 하는 내용의 '전자서명법 전부 개정안'을 대표 발의할 예정이다. 특히 국내 최상위 인증기관(한국인터넷진흥원·KISA)의 상호검증과 제3자에 의한 철저한 안정성·신뢰성 검증을 받도록 하고 있는 것이 핵심이다.
이종걸 의원은 "현행 전자금융거래법과 전자서명법은 엑티브X 기술을 기본으로 하는 사용방법을 그대로 고수하고 있고 심지어 이를 강제하고 있기 때문에 온통 많은 국민들이 해킹과 금융 전자거래 위험에 노출돼 있다"며 "이번 개정안은 세계적으로도 고립돼 있는 현행 국가공인인증제도를 고쳐 그 고립을 풀고자 하는 기본 방안"이라고 취지를 밝혔다.
KISA, 보안 성역을 해제하라
이종걸·최재천 의원과 함께 김기창 고려대 법학전문대학원 교수도 브리핑에 함께했다. 그는 인터넷 상의 표현의 자유와 지적재산권·프라이버시 그리고 혁신과 규제 부분에서 목소리를 내며 사용자들에게 자유롭고 공평한 인터넷 환경을 제공하고자 노력하는 '사단법인 오픈넷(opennet)의 이사를 맡고 있다. 이날 국회에서 그는 "한국공인인증제도의 정점에 위치하고 있는 KISA(한국인터넷진흥원)은 최상위에 있는 인증기관임에도 아무런 검증을 받지 않고 있는 보안 성역과 같은 형태로 유지돼왔다"며 KISA를 전면 비판했다.
김기창 교수는 브리핑 직후 <오마이뉴스> 기자와 만나 "'액티브X' 같은 게 중요한 게 아니라, 문제는 정부가 더 이상 보안 기술에 개입하지 않도록 하는 것"이라며 "전문성을 가진 제3자의 검증을 받은 인증기관이라면 누구든 제약없이 한국에서 인증서비스를 할 수 있도록 해야 한다"고 주장했다. 또한 그는 "전자금융거래 시 소비자가 피해를 입었을 경우 소비자의 잘못으로 판결이 몰리는 현실도 문제"라며 액티브X를 기반한 공인인증서 이용의 단점을 강조했다.
현행 전자금융거래법에는 원래부터 사고거래가 나면 금융회사가 소비자의 피해를 보상하도록 돼 있다. 하지만 최근 판례를 살펴보면 그렇지 않다. 지난해 3월, 사기범이 보이스피싱으로 피해자의 공인인증서 재발급에 필요한 정보를 얻은 다음, 공인인증서를 쉽게 재발급받아 피해자 명의로 저축은행에서 대출을 받은 사건에 대해 재판부는 발생한 손해의 40%를 피해자들에게 부담시켰다. 올해 4월 26일 비슷한 사례에 대해 은행 책임이 없다는 판결이 나와 금융피해에 대한 소비자들의 보상이 전혀 인정받지 못하는 선례가 남겨졌다. 몇 년 사이 급증한 보이스피싱과 해킹 피해에 대해 금융권의 책임을 강화하고 있던 금융당국도 당혹스러운 입장이다.
이에 대해 김기창 교수는 "정부가 공인인증서 사용을 강요하고 그게 안전하다고 하니, 결국 공인인증서 관리를 못했다는 이유로 소비자가 금융거래 피해를 뒤집어쓸 수밖에 없는 것"이라고 설명했다. 그는 "결국 강하게 형성돼있는 기득권 이해관계 때문"이라며 "이번 개정안은 인증기술 업체들이 활발하고 자유롭게 경쟁해서 한국 시장과 소비자들이 보다 투명하고 안전한 보안기술을 접할 수 있도록 물꼬를 열어주는 중요한 역할을 할 것"이라고 말했다.