오유 10년 눈팅에 처음으로 게시물 작성하는 군요 ㅎㅎ
밑의 '핵폐기물 쓰레기가 탄생했습니다.' 라는 게시물에 달린 댓글들보고 추가 댓글로 달려고 했다가 길어질거 같아서 씁니다.
댓글들이 하나같이 부정적인 반응이던데.. IT업에 종사하는 저는 오히려 잘하는 조치라고 생각합니다.
우선 우리나라에서는 왜 이토록 ActiveX가 번성(?)했는지 연원을 짚어보겠습니다.
1999년 전자서명법을 만들 당시 우리나라는 당시의 브라우저에서 사용되는 40비트 암호화기술(SSL)이 못 미더워
따로 128비트 한국형 암호알고리즘으로 공인인증체계를 만들고 이를 배포하는 수단으로 ActiveX를 선택하고 이것을 법으로 강제했습니다.
그러한 배경에는 90년대 말 당시 우리나라는 MS 점유율이 타국에 비해 압도적인데다
ActiveX는 이러한 환경에서 저렴한 비용으로 기업전산을 구축하려는 기업 및 기관의 성급한 요구와
그저 '을' 일수 밖에 없는 IT업계가 별 고민없이 ActiveX를 수용했습니다...(보안? 그 따위것 보다 납기와 단가가 중요했겠죠)
다른나라는 ActiveX가 보안에 심각한 문제가 있다는 근본적인 걱정과 MS 이외의 사용자층도 무시할 수 없는
환경때문에 ActiveX를 대체하는 수단들에 대한 연구와 그에 따른 발전을 해 왔었습니다.
사실 ActiveX는 인터넷네트워킹에서 개인 대 개인 의 악세서리 장난감 용도로 사용해야 적당했던 겁니다.
MS도 최초의 의도도 자사 응용프로그램 데이터가 IE 개발환경 에서도 그대로 사용되도록 하는 정도의 의미만 부여했을 것입니다.
그런데 이것을 우리나라의 한심한 IT업계/발주업체/정부담당자 들의 안이한 인식으로 (법이 강제되어 어쩔 수 없다하지만)
장난감 같은 벽돌을 가지고 집을 지은겁니다. 얼마전 까지는 그래도 됐습니다.. 왜?
절대 다수의 사용자가 MS 사용자였기 때문이죠..
그런데 아이폰 출현이후 모바일(iOS/안드로이드 등등)이라는 새로운 OS환경과 모바일 브라우져 이용환경에 대한 패러다임이 확산되고
더욱이 글로벌 시대에 비 ActiveX환경이 보편화된 해외 유저(구매층)도 갈수록 늘어나는 추세가 되니
이제서야 정부와 업계 모두 이 골치덩이 ActiveX를 퇴출해야 한다는 인식이 들기 시작한것입니다.
댓글들이 마치 정부와 업계가 ActiveX환경을 계속 유지하고파 하는 것처럼 말씀하시는데
저는 그럴 이유가 없다고 봅니다. MS 마저도 이 골치덩어리를 IE에서 때어내고 싶어할 겁니다.
이제 본격적으로 이야기 해보죠..
이미 널리 퍼져버린 ActiveX환경을 퇴출하려면 어떻게 해야 할까요?
1)정부 2)업계 3)사용자 이렇게 나누어 각자의 입장에서 생각해 보도록 하죠
우선 정부는 여러분들의 오해처럼 ActiveX를 부여잡을 이유가 없어 보입니다.
정책의 방향이 병신같을 수 있을 지언정... 그래서 비판을 할 수 있어도..
여기에서 무슨 기업의 이익을 보호하기위한 꼼수나 또다른 이득이 발생되어 의도적인 감싸기를 한다는 비판은 선뜻 납득하기 어렵습니다.
제가 무슨 친정부적인 사람도 아니고 다만 엉뚱한 걸로 까면 진짜 까야 될때도 양치기소년 효과 때문에 정당한 비판이 희석될 수 있기 때문입니다.
두번째, 기업은 비용과 시간이 듭니다. 그래서 이제껏 강건너 불구경하듯이 했죠
그런데 이제는 안하면 안되는 지경에 이르렀다고 봅니다. 땜빵식으로 어찌어찌 보조 어플로 모바일에서는 대체하고 있지만
한국의 사이트에서 구매하려는 수많은 해외 이용자를 눈 앞에서 ActiveX때문에 놓치는 현실은 더 이상 간과 할 수 없겠죠
그런데 문제는 세번째, 사용자 입니다.
아시다시피 IE에서는 ActiveX를 설치할 것인지 물어보도록 하는 설정이 기본으로 하여 설치됩니다.
(다른나라는 아마 ActiveX 를 비활성화 되어 설치되어 ActiveX는 꼭 사용하고자 하는 사용자만 옵션을 풀어 사용하도록 할 겁니다.)
저는 윈도우를 깔면 수년동안 아무 문제 없이 사용합니다. 어떤 사이트를 방문해도
"ActiveX 를 설치하시겠습니까?" 하는 질문에 꼼꼼하게 살피며 대응하기 때문이죠..
하지만 대다수 둔감한 사용자는 그냥 무조건 Yes 를 누릅니다. 그래놓고 컴퓨터가 맛이 갔다고 징징징....
모든 사용자가 컴 전문가가 되길 바랄 수는 없습니다.
그래서 IE 사용자 입장에서는 ActiveX가 아예 설치되지 못하도록 하는게 최선의 조치이겠죠
하지만 한국 MS에서 그렇게 세팅을 해서 배포할 수 없는 이유가 바로 금융/전자상거래 사이트 때문입니다.
그럼 답은 나오네요... 모든 금융/전자상거래 사이트가 ActiveX를 폐기한 사이트를 구축하면 됩니다.
이 들만 ActiveX를 퇴출하여 사이트를 구축하고 MS IE에서 ActiveX를 비활성화 되도록 배포하면
모든 문제는 해결됩니다. 이게 최선입니다. 다른 OS, 브라우저도 더이상 ActiveX 지원 문제로 고민하지 않아도 되죠.
하지만 ActiveX를 폐기한 결제시스템을 구축하는데는 막대한 비용과 시간이 듭니다.
게다가 기존 이용 호환성때문에 완전히 폐기하여 새로운 시스템으로 전환 할 수도 없는, 두개의 방식이 공존하게 하는 어정쩡한 시스템으로 만들어야 할 겁니다.
기업이 난색을 표하고 정부도 고민했겠죠... 그래서 나온 차선책이 바로 이 조치라고 봅니다.
아니 어쩌면 지금 현실에서는 최선의 선택이죠..
쉽게 말하면 지금의 조치는 IE에서 ActiveX 비활성화를 기본세팅으로 할 수 있는 환경을 마련할 수 있다는 겁니다.
OS 입장에서는 ActiveX = exe 입니다. exe는 두렵고 ActiveX는 덜 두렵다? 물론 ActiveX는 IE 환경에서만 작동되기에
exe 보다 하드웨어 차원의 심각한 해작질은 덜 하겠죠... 하지만 ActiveX의 최대단점인 무의식적인 설치의 용이성때문에 exe보다 해롭습니다.
exe 셋업방식은 ActiveX 보다 능동적 동작을 요구합니다. 그래서 무의식적으로 내 PC에 위험한 소프트웨어가 깔릴 위험요소가 크게 줄어듭니다.
방문한 사이트 안내에 따라 exe를 직접 설치하는 일은 현재의 ActiveX 설치안내 방식과 크게 다르지 않습니다.(아주조금 더 사용자에게 적극적 조작을 요구할 뿐)
이러한 조치의 가장 큰 변화의 포인트는 IE 에서 ActiveX 컨트롤 다운로드를 [사용안함]으로 해도 된다는 겁니다. (<= 이 말이 전체글의 핵심입니다)
IE를 이용하지 않는 다른 사용자는? ... 지금과 별다를 바 없겠죠..
배포되는 EXE는 아마 범용실행으로 제작될 겁니다. 따라서 모바일 및 기타의 현존 OS에 작동되도록 배포됩니다.
그래서 이 조치로 얻는 효과는 사실 어떻게 보면 크지 않습니다. 미봉책 이라고 해도 반발하기 힘들겠죠...
그런데 제가 긍정적으로 보는 측면은
일단, 이러한 환경이 보편화 된다면, MS IE 의 새로운 버전에서는 ActiveX 컨트롤 다운로드를 [사용안함]이 기본으로 설정되어 배포될 수 있는 환경이 마련되며
MS에 그러한 요구를 할 수 있을 겁니다. 이것은 작지만 큰 변화라고 봅니다. ActiveX 가 굳이 필요없어도 되는 사이트에서 사용자 무관심으로 스리슬쩍 배포되는
악성코드들이 점차 줄어들 수 있습니다. 결국 개인PC에 대한 해킹이라는 것은 내 PC에 무언가를 심으려는 시도이고 그동안 금융사이트에서 필수적으로 사용되야
하는 ActiveX때문에 설치할 수 있는 옵션을 풀어줄 수 밖에 없는데, 해킹프로그램은 바로 그 부지불식간의 해이한 틈을 파고든 것입니다.
즉, ActiveX 다운로드가 될 수 있는 환경자체를 막아버리면 문제는 비약적으로 해결될 것입니다.
그동안 이것을 주의하면서 이용하라고 말로 아무리 PC이용자에게 해도 소용이 없었습니다. 결국 반드시 이용해야 하는 사이트들 때문이였죠.
그런데 이런 필수 사이트에서 프로그램 다운로드를 브라우저제공 옵션이 아닌 사이트의 제공으로 바뀌면,
여타의 사이트는 ActiveX를 기본으로 막아두는 정책으로 갈 수 있다는 겁니다.
두번째, 기업은 시간과 기회비용을 법니다. 일단 ActiveX방식에서 범용EXE셋업방식으로 바뀌는 것은 시스템에 큰 변화가 없습니다. 비용의 증가없이 현재의
시스템을 유지 한채 향후 페러다임변화 또는 국제표준등의 요구에 따라 페이팔이든, HTML5 든 사이트 리모델링으로 진화할 수 있습니다.
만일 범용exe셋업방식으로 보편화 되고, 그래서 ActiveX의 굴래에만 벗어나면 기업은 굳이 변화하려 하지 않을것이다?...
하지만 범용exe셋업방식으로도 해외유저층의 흡수는 ActiveX때와 다르지 않기 때문에 기업은 변화의 필요성을 느낄 것이구요
그래서 기업들은 국제적인 표준으로 운영하려는 요구가 증가할 것입니다.
한마디로 국제 표준화로 가기위한 중간 단계라고 봅니다. 당장 바꿀수 없는게 엄연한 현실이기 때문에 일단 그 변화의 발판마련정도는 된다고 보는거죠...
이상 저의 짧은 소견이였습니다.
제가 IT 업에는 종사하지만 보안의 기술적지식은 전무하기 때문에 ActiveX 자체의 보안성, exe 자체의 보안성을 논하는 것은 이 글에서 의도적으로 뺏습니다.
즉, 시스템 <-> 요소기술 간의 보안성은 모릅니다. 하지만 저의 철학으로는 결국 모든 보안 문제는 결국 시스템(or Site) <-> Human 간의 관계로 귀결된다고 생각합니다.
ActiveX를 대체하는 다른 요소기술들이 절대 선은 아닐것이며, 마치 다른 요소기술들만 적용하면 모든 보안 문제가 모조리 해결되는 듯한 말들을 들으면 좀 의아하게 생각됩니다.
ActiveX는 인간의 복잡 다양한 이용패턴에서 오는 허술함을 파고든 골치덩이입니다.
하루 빨리 ActiveX가 퇴출되기를 기원하면서 이 글을 마칩니다. 읽어주셔서 감사합니다.
