- “사고책임 이용자에 떠넘기는 면책 관행 개선해야”
[헤럴드경제=정윤희 기자]정부가 지난 2014년부터 액티브X 폐기 정책을 추진하고 있지만, 액티브X를 실행파일(EXE)로 대체했을 뿐 여전히 이용자 불편을 초래하고 있다는 지적이 나왔다. 우리나라도 웹표준을 준수하고 금융기업의 면책 관행을 개선하는 등 근본적인 해결책이 필요하다는 주장이다.
국회 과학기술정보방송통신위원회 소속 김경진 의원(국민의당)은 19일 과학기술정보통신부로부터 제출받은 자료를 분석해 이같이 밝혔다.
국내 100대 사이트의 액티브X 사용수는 2014년 1644개에서 지난해 말 358개로 무려 78% 감소했다. 감소수치만 놓고 보면 액티브X 폐지 정책이 실현되고 있는 것으로 보이지만, 실제로는 액티브X가 제거된 자리가 EXE 파일로 대체되고 있는 것으로 드러났다.
지난해 말 기준 EXE 파일 사용수는 469개다. 액티브X와 EXE 파일 사용수를 합하면 827개로, 오히려 전년인 2015년 액티브X 사용수 621개를 초과하는 셈이다.
김 의원은 “액티브X를 EXE 파일로 대체했을 뿐, 근본적인 해결책은 아니다”며 “액티브X 기술을 개발한 MS조차 윈도8 버전부터는 보약 취약점을 이유로 지원하지 않는데, 우리나라에서는 유독 액티브X가 계속 사용되고 있다”고 꼬집었다.
액티브X는 마이크로소프트(MS)의 웹브라우저 ‘인터넷 익스플로러’에 특화된 프로그램(플러그인)이다. 비표준 웹기술이라 크롬 등 다른 브라우저와 호환이 불가능하고, 각종 악성 프로그램의 유통창구가 돼 보안에 취약하다는 비판이 거셌다. 또, 액티브X를 설치하면 사이트에 접속할 때마다 작동하기 때문에 서비스 제공자 입장에서는 편리하나, 이용자는 매번 파일을 설치해야 해 불편하다.
EXE 파일 역시 마찬가지다. 보안프로그램 등을 설치할 때 액티브X를 통해 설치하느냐, 직접 다운로드 받아 설치하느냐 차이가 날 뿐 이용자 입장에서는 여전히 프로그램을 설치해야 한다. 또, 다운로드 방식이라 애드웨어(광고프로그램) 설치와 해킹 등에 취약하다.
아마존 등 해외 유명사이트는 국제 웹표준 방식을 따르기 때문에 추가로 설치해야 할 프로그램이 없다. 때문에 온라인 쇼핑, 전자상거래 이용시 카드번호와 비밀번호만 입력하면 모든 결제가 완료된다. 보안사고가 발생할 경우 서비스 업체가 책임을 지기 때문에 서비스 제공사들은 자체 보안을 강화할 수밖에 없다.
반면, 우리나라는 공인인증서를 이용할 경우 사이버 보안사고가 발생해도 금융기업의 책임이 면책되는 관행이 존재한다. 현행 전자금융거래법에서 금융기업이 보안절차를 수립하고 준수했다면 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다고 규정했기 때문이다. 액티브X와 EXE 파일은 주로 공인인증서와 각종 보안 기능을 구동하기 위해 활용된다.
김 의원은 “공인인증서와 액티브X, EXE 파일을 완전히 폐지하지 못하는 것은 금융기업들의 면책수단으로 활용되고 있기 때문”이라며 “면책조항 관련 규정을 정비해 이용자들에게 사고 책임을 떠넘기는 관행 개선이 선행돼야 한다”고 강조했다.
yuni@heraldcorp.com
