윈디하나의 누리사랑방. 이런 저런 얘기

글쓴시간
분류 기술,IT
액티브 엑스(Active X) 와 우리나라 웹 환경

우리나라 웹 환경에서 지나친 액티브액스 사용 때문에 문제가 된다는 글이 많습니다만, 이 업계에 종사하는 사람으로써 그렇게 생각하진 않습니다. 공인인증서 체계는 보완할 점이 많긴 하지만, 나름 괜찮다고는 생각하고 있구요.

일반적으로 금융사이트, 쇼핑몰사이트에서 결제하기위해 설치하는 액티브 엑스들은 대부분이 보안 관련 프로그램들입니다. 웹 사이트 개발자들 입장에서는 현재도 액티브 엑스 사용하지 않고  결제하게 만들 수 있습니다. 액티브 엑스 없이 금융 거래 가능하도록 할 수 있습니다. 외국처럼요. 이게 액티브 엑스를 사용하지 않고 만들 기술이 없다는 게 아니니까요. 그냥 게시판 글 올리듯이 쉽게 계좌이체되고 결제하게 만들 수 있습니다.

문제는 우리나라 PC환경에 있다고 봅니다. PC에 백신도 안 깔아서 사용하고 있는 사람이 많은데다, 일반적인 보안 의식은 온라인으로 금융을 하기엔 아직 부족하니까요. 이런 상황에서 온라인 금융 서비스를 제공한다는건 사실상 모험입니다. 겨우 게시판에 글쓰는 문제가 아니라는 겁니다. PC가 해킹되었고, 그로 인한 금융 사고는 금융사 책임이 아닙니다. 고객의 귀책사유기 때문에 금융사가 책임질 이유도 없구요. 문제는 이런 경우가 너무 많을 것이라는게 문제죠. 고객 책임이긴 하지만, 그런게 반복되고 사례가 쌓이다 보면 온라인 금융이 위험하다 라는 인식을 줄 수도 있으니까요.

그래서 백신 프로그램이나 보안 툴을 운영체제에 설치해야 하는데, 윈도 운영체제에서 웹사이트 방문만으로 보안툴을 설치할 수 있는 방법은 액티브 엑스밖에 없습니다. 그래서 하는수 없이 액티브 엑스 사용한겁니다.

아직 우리나라 웹 환경이 인터넷 익스플로러 기준으로 되어있네 마네 라고 떠들긴 합니다만, 웹상에서 윈도 운영체제에 보안 툴 설치할 수 있는 유일한 방법이구요, 그거 없이 전 국민을 대상으로 금융서비스를 제공하기엔 현실적으로 너무 위험합니다. 쉽게 말해 외국에서 보안 표준인 https 만 사용하기엔 사용자의 보안 의식이 너무 낮고, 그렇다면 해커들에게 우리나라 금융사의 고객들은 좋은 먹잇감이 되겠죠. 솔찍히 이런건 금융사 입장에선 고객 과실이니 상관 할 필요 없겠습니다. 액티브 엑스를 논할때 외국의 사례를 자주 드는데요, 이런 경우 (고객PC 해킹으로인한 금융사고) 외국의 기준으로도 기본적으로 고객 책임입니다. 게다가 한달에 적게는 수천만원, 많게는 수억원씩 들여가면서 보안툴 설치해주는건데, 이거 안하면 금융사도 이익일듯 싶네요.

외국에서는 금융사고 발생시, 금융기관이 해킹된게 아닌 이상 전부 고객 책임입니다. 단 외국에서는 고객의 비정상적인 사용에 대해 고지하고 확인해야할 의무는 있는것으로 알고 있고, 해킹도 여기에 포함되기 때문에 해킹에서 어느정도 고객의 책임에서 자유로울 뿐입니다.

우리나라는 금융기관도 도의적인 책임이 있습니다. 백신 프로그램을 설치해주는건 현재 금융기관의 몫이고 그 보안툴이 제대로 작동하지 않았으니까요.

액티브 엑스 없애자는 분들에게 되묻고 싶습니다. 보안 준비는 되셨는지요?