야근하다 밥먹고 들어와서 ActiveX 떡밥 덥석.

- 많은 사람들이 ActiveX라는 기술 자체가 나쁜 것이라고 여기는 것은 ActiveX라는 기술에 대해서 제대로 알지 못해서 인걸로 보인다. IE상에서 음악을 틀어주는 WMP, 자바 어플릿을 돌려주는 JavaVM, Flash Player, 심지어는 Ajax도 내부적으로는 ActiveX를 이용해서 구현되고 있다.(Flash를 ActiveX의 대안으로 제안하는 사람들도 있는데 이 둘은 레벨이 다른 기술이다.) 또, ActiveX같은게 IE에만 있는 것도 아니다. 다른 브라우져들도 보통 Extension이라든지 Plug in 등의 이름으로 비슷한 기능을 지원하고 있다. 단지 IE가 원래 MS Windows 전용으로 만들어진 웹브라우져이기 때문에(지금은 Mac OSX용 버젼도 나오긴 하지만) ActiveX도 기존에 Windows에서 사용되던 기술을 기반으로 구현되어서 Windows 플랫폼에서 IE를 이용하지 않으면 실행이 불가능하다는 것이 문제가 되는 것이다. ActiveX는 없애버려야 할 척결의 대상이 아니라 IE에서 부가적인 기능을 제공하기 위하여 기술의 하나일 뿐이다. ActiveX 반대론자들이 얘기하듯이 MS에서도 포기하고 사용을 금지했으며 해외에서는 사장된 기술도 아니다.

- ActiveX의 유용성에도 불구하고 많은 사람들이 ActiveX를 싫어하는 것은 대부분 공공 기관이나 금융 기관에서 겪은 불편함 때문일 것이다. 누구나 뭐만 하려고 하면 ActiveX 설치를 하라고 삑삑거리는 사이트에 치를 떨어본 적이 있으며, 지들끼리 충돌나서 컴퓨터가 먹통이 되어서 급한 용무를 보지 못하는 짜증나는 순간을 한번 쯤 겪어보기 마련이니까. 대체 왜 이따위 솔루션을 도입하게 되었는지에 대해서는 당시의 시대적 상황을 이해 할 필요가 있다. 90년대에는 미국의 암호화 기술 수출 금지 조치 때문에 웹브라우져들에 대칭형 40bit 이하 / 비대칭형 512bit 이하의 암호화 기능만이 탑재되어 나오던 시기가 있었다. 이런 상황에서 해결책으로 선택되었던 것이 ActiveX를 이용해서 이를 보완하는 것이었고 이는 당시 기준으로는 꽤 괜찮은 해결책이었다.(다른 국가들은 해결 방안을 어떻게 잡았는지는 잘 모르겠다. 그 시절에는 대부분의 국가들이 인터넷 뱅킹을 고려하거나 네트워크 상의 개인 정보 유출을 염려 할 정도로 인터넷이 보급되지 않았었을 것 같다.) 후에 이 금지가 풀리고 그 이후로 10년이 넘었지만 잘 돌아가고 있는 것을 굳이 뒤엎고 싶지 않아하는 은행&관공서들의 속성과, 기술 발전과는 상관없이 오히려 늘어나고 있는 규제들, ActiveX 개발에 맞춰서 진화한 내수 보안 산업의 실정 등 때문에 아직까지도 널리 사용되고 있는 것이다.

- 사실 ActiveX 컨트롤을 이용한 보안이 나쁘다고만은 할 수 없다. ActiveX를 이용한 암호화 통신의 대안으로 제시되는 https 프로토콜을 이용한 결제나 Flex를 이용한 결제 등은 충분한 안정성을 보장해주지만 이 안정성은 "전송 단계"에서만 보장된다. 이것 만으로는 보안 접속을 담당하는 ActiveX밖에 대체 할 수 없다. 만일 키 입력 정보를 가로채는 키로거 등 클라이언트 자체를 노리는 공격이 들어온다면 속수무책으로 당할 수 밖에 없다. 프로그램으로 유저들이 이에 대한 방어를 하도록 강제하는 법은 사실 상 ActiveX 컨트롤 밖에 없다고 봐도 된다. 외국에서는 엄청나게 성행한 피싱(금융 기관 홈페이지와 비슷하게 생긴 로그인 페이지를 만들어놓고 유저에게 메일로 링크를 보내서 ID와 패스워드를 빼내는 방식)을 우리나라에서는 볼 수 없었던 것도 ActiveX로 처리되는 공인 인증서의 덕을 봤다고 할 수 있다.(사실 공인 인증서를 처리하는데 꼭 ActiveX를 써야 하는 것은 아니긴 하다) 컴퓨터와 보안에 대해서 무지한 대부분의 사람들은 아예 서비스 측에서 대비를 대신 해주는 것이 고마울 수 있다. 은행 입장에서도 공격에 당해서 피해를 본 고객과 책임 소재를 가지고 실랑이를하고 결과와 상관없이 신뢰도를 잃느니 이런 보안 프로그램들을 도입하는 것이 낫다.

- 이러한 장점에도 불구하고 우리나라에서 사용되고 있는 ActiveX 보안에는 많은 문제점이 존재한다. 내가 느낀 것들만 집어보자면 일단 개인용 백신이나 방화벽등을 관리하여 충분히 클라이언트단을 책임질 수 있는 사람들도 강제로 보안 프로그램들을 설치해야 한다는게 가장 큰 문제이다. 이미 충분히 보안을 갖춘 컴퓨터에 강제로 추가적인 프로그램을 까는 것은 시스템 자원의 낭비이고 충돌의 가능성을 높이기도 한다. 심지어 일부 프로그램들은 해당 웹사이트에 접속 된 순간이 아니더라도 켜져서 시스템을 관리해주고 싶어하는 과도한 충실함을 보이기도 한다. 특별히 보안이 필요한 작업을 하려는 것도 아니고 들어가서 잠깐 글만 하나 읽고 나오려고 하는데도 ActiveX를 설치하라는 메시지가 나오기도 한다. 전자 서명(관대하게 봐주더라도 보안 접속까지)을 제외 한 ActiveX 컨트롤들의 설치는 개인의 선택에 맞기는게 옳다. 둘째, ActiveX를 이용한 보안은 지원되는 대상이 제한적이라는 것이다. 사실 점유율이 국내에서 95%를 넘나드는 IE를 지원하는데 지원되는 대상이 좁다는 얘기를 하는 것은 좀 웃길 수도 있겠지만 종종 ActiveX컨트롤을 사용 할 수 없는 시스템에서 ActiveX를 설치해야만 하는 사이트에 접근해야만 하는 경우가 있다. ActiveX를 사용할 수 없는 시스템에서는 보호를 받을 수 없다는 경고 메시지 하나 정도 띄워주고 그냥 들어가게 해주면 좋겠지만 대부분의 사이트는 ActiveX를 지원하지 않는 시스템에 대한 배려가 전혀 없다. (대학을 다니면서 Apple iBook을 사용했었는데 Xecure어쩌구 때문에 학교 포털에 접근 할 수가 없어서 늘 집에 컴퓨터를 켜놓고 원격 데스크탑으로 접근해서 과제를 제출해야 했다.) 또, 보안 프로그램들이 그다지 신뢰가 가지 않는다는 것도 문제다. 지금 통신이 암호화가 되고 있는지 안되고있는지 명확하게 보여주지 않는 것들이 대다수이고, 은행 사이트들에서는 뭔지도 모를 프로그램을 열개 가까이 깔아제끼니까 이게 다 필요하기는한건가 의심도 가고, 자신이 골라서 설치 할 수 없고 주는대로 설치해야 하다보니 오래 된 버전의 보안 솔루션이 깔리는 경우도 허다하고. 오히려 사람들에게 ActiveX는 무조건 설치하고 보는 습성을 심어줘서 ActiveX를 이용한 공격(ActiveX가 가진 권한이 지나치게 강력하다는 점은 MS에서도 인지했는지 Windows Vista부터 제한의 노력이 들어가긴 했다.)에 대한 내성만 떨어뜨리는 효과를 낳기도 한다. 그러나 분명한 것은 이 모든 문제점들이 ActiveX의 잘못으로 생겨난 것은 아니라는 것이다. 이는 국내의 특수한 상황과 제대로 된 방향성을 제시하지 못하는 행정, 서비스 제공자들의 보안에 대한 잘못 된 판단으로 인하여 생겨난 것이다. 필요한 것은 눈 앞에 보이는 ActiveX에 대한 비난이 아니라 이러한 대상들에게 압박을 가하는 것이다.

+ 요즘 흘러가는 상황을 지켜보면 우리나라의 현실을 비관적으로만 볼 필요는 없어보인다. 신한 은행처럼 MacOS에서 사용 할 수 있는 공인 인증서 프로그램을 만드는 경우도 생겨났고, 하나은행 iPhone App처럼 인기 플랫폼에는 전용 프로그램을 만들어 주는 것도 방법이 될 수 있다. 알라딘의 예도 모범 사례로 들만하다. 기존의 결제 방식은 유지하되 추가적으로 SSL을 이용한 결제 방식을 사용 할 수 있도록 하였고, 키로거 등의 문제는 원하는 사용자들에게 스크린 키보드를 사용 할 수 있도록 하여 위험성을 줄이는 방법을 선택하였다. 이런식으로 나아가면 앞으로는 외국처럼 ID/Password와 OTP만을 사용하여 결제를 하거나 Flex나 Java Applet 등으로 좀 더 많은 플랫폼에서(만병 통치약처럼 제시되곤 하지만 많은 플랫폼에서는 이 조차 사용 할 수 없다.) 이용 할 수 있게 결제 수단을 보게되는 것도 그리 오래 걸리지는 않을 것 같다. 맘 같아서는 정부에서 "공공 기관이나 금융 기관 납품할려면 IE / FF / Chrome / Safari용 버젼 필수"라고 한 번 때려주면 보안 회사 사람들은 석달 열흘 졸라 야근 급속도로 좋아지긴 하겠지만 그럴리는 없겠쥬.

요약
ActiveX 자체가 나쁜건 절대로 아니다.
부가적인 보안 장치들이 필요한 것은 사실이나 그 방법이 ActiveX만을 이용해야 하는 상황이 문제다.
인식이 조금씩 바뀌면서 여러 대안들이 나오고 있으니 희망을 가지고 지켜보자.
졸라 아는척하면서 썼지만 사실 하나도 모름.
태연아 보고있니 오빠가 널 격하게 아낀단다.