양창욱 : 26일 '양창욱의 아침저널' 2부. 집중인터뷰 두 번째 시간입니다. 인터넷 결제를 할 때 마다 꼭 설치해야 했던 것이 ‘액티브 엑스’라는 게 있습니다. 정부가 올해 3월부터 폐지하겠다고 밝혔는데 여기에 대해서 자세히 좀 알아보겠습니다. 고려대 정보보호대학원 김승주 교수님 전화연결돼 있습니다. 교수님 나와 계시죠?

김승주 : 네, 안녕하십니까.

양창욱 : 예. ‘액티브 엑스’가 뭡니까?

김승주 : 일단 우리가 인터넷 서핑을 하다보면 웹브라우저가 제공하는 표준화된 기본 기능 외에 추가적인 기능이 필요할 때가 있습니다. 이 추가적인 기능은 음악을 들을 때도 그럴 수가 있고요. 아니면 어떤 동영상을 볼 때도 그럴 수가 있고 아니면 공인인증서 같은 프로그램을 운영하다보면 또 그럴 때가 있습니다.

양창욱 : 예예.

김승주 : 이런 어떤 추가적인 기능, 추가적인 프로그램을 설치하는 방법을 ‘액티브 엑스’라고 그럽니다.

양창욱 : 방법을요?

김승주 : 네네.

양창욱 : 그러면 왜 이렇게 이걸 많이 쓰는 거예요? 우리가?

김승주 : 사실은 우리가 인터넷 서핑을 하다보면 추가적인 기능을 설치할 필요가 있을 때가 있습니다. 그래서 외국도 보면 이러한 ‘액티브 엑스’ 같은 플러그인들을 쓰거든요. 그런데 우리나라 같은 경우는 여러 가지, 어떤 공인인증서라든가 보안프로그램 때문에 이런 것을 좀 과도하게 쓰는 게 문제라고 할 수 있습니다.

양창욱: 과도하게... 예, 그렇군요. 상당히 또 오랫동안 쓴 것 같아요, ‘액티브 엑스’를?

김승주 : ‘액티브 엑스’가 나온 건 1996년에 처음 소개됐습니다.

양창욱 : 아, 예.

김승주 : 그래서 아까 말씀드렸듯이 어떤 추가적인 프로그램을 설치하도록 하기 위해서 나온 기술이고요. 이 ‘액티브 엑스’라는 건 마이크로소프트에서 나온 웹브라우저를 인터넷 익스플로러라고 얘기하는데, 이 인터넷 익스플로러가 추가적인 기능을 설치할 때 사용하는 방법을 ’액티브 엑스‘라고 하고요. 다른 웹브라우저에도 이런 어떤 기능은 있습니다. 그런데 우리나라가 어떤, 마이크로소프트사의 인터넷 익스플로러 의존도가 워낙 높다보니까 ’액티브 엑스‘가 어떤 대명사처럼 굳어진 겁니다.

양창욱 : 그렇게 되는군요. 교수님, 제가 이 정보통신 이쪽에 좀 어두워서 지금처럼 용어를 쉽게,쉽게 자세히 설명을 해 주셔야 됩니다.

김승주 : 예.

양창욱 : 결제를 할 때마다 이제 ‘액티브 엑스’를 설치했던 이유는 뭐에요, 그러면?

김승주 :이것이 이제 우리나라 같은 경우는 외국과 달리 어떤 보안프로그램들을 사용자PC에 이렇게 많이 좀 설치를 시키는 나라입니다.

양창욱 : 아, 예.

김승주 : 그러다보니까 어떤, 우리나라에서 사용하는 보안프로그램들은 웹브라우저의 기본 기능이 아니었거든요. 그러니까 자꾸 추가적인 모듈을 설치하게 되는 겁니다.

양창욱 : 아, 외국에서는 안 그래요 그럼?

김승주 : 외국 같은 경우는, 우리가 페이팔 같은 간편결제서비스를 이용해보시면 알겠지만...

양창욱 : 다시요, 뭐라고요?

김승주 : 우리가 페이팔이라고 그러는. 아마존이나 이런 데 들어가면 사용하는 간편결제 기능이 있습니다.

양창욱 : 간편결제시스템, 아.

김승주 : 그런 것들은 보통 이제 ID하고 패스워드만 치면 결제가 이루어지거든요.

양창욱 : 얼마나 좋아요, 그러니까.

김승주 : 근데 많은 분들이 그걸, 외국은 이렇게 아무 보안프로그램도 설치 요구 안 하고 이렇게 하는데 우리나라는 왜 이렇게 요구를 많이 하느냐, 그렇게 물으시는데 그 이유가 왜 그러냐 하면, 전자상거래를 할 때 필요한 보안프로그램 개수가 10개 정도 된다, 라면 우리나라는 그 10개를 사용자PC에다가 설치시키는 어떤 그런 정책을 펴는 나랍니다.

양창욱 : 왜 그런 정책을 펴요, 우리나라는?

김승주 : 그것이 아무래도 우리나라는 보안에 투자하는 어떤 예산, 비용이 그렇게 많지가 않거든요. 각 회사들이 보면 보안에 대한 투자에 좀 인색합니다.

양창욱 : 아, 예.

김승주 : 그러니까 외국 같은 경우에는 보안프로그램 대부분을 회사 쪽에다 설치하는 반면에, 우린 이걸 사용자한테 자꾸 설치시키는 그런 정책을 편단 말이죠.

양창욱 : 그렇군요.

김승주 : 그러다보니까 자꾸 이거저거 설치하도록 요구하는 겁니다.

양창욱 : 그렇죠. 예예. 그러던 중에 이제 박근혜 대통령이 왜 천송이 코트 판매를 막고 있느냐. 이걸 사고 싶어하는 사람들이 많고, 팔아야 되는데. 이렇게 여러 차례 말씀을 하십니다. 이제, 천송이 코트는 한 드라마에 나왔던, 전지현씨가 입었던 그 코트를 말하는 거죠. 이거를 이제 드라마 인기와 함께 바깥에서는 사려는 사람들이 많은데 ‘액티브 엑스’가 방해를 하고 있어서 못 팔고 있단 얘기를 듣고 대통령이 각종 회의에서 이제 당장 없애라 그랬던 것인데 없앴습니까?

김승주 : 지금은 아직도 현재진행중이고요. 근데 사실은 대통령 발언들이 약간 잘못된 부분은 있습니다.

양창욱 : 아, 어떤 거요?

김승주 : 뭐냐 하면 외국사람이 외국에서 발행된 신용카드를 가지고 국내 웹사이트에서 물건을 구매하고자 할 때는 국내법에 저촉을 받진 않습니다. 그러니까 이제 ID와 패스워드 같이 아주 간단하게 결제할 수 있거든요. 문제는 내국인입니다. 내국인은 국내법에 저촉을 받기 때문에 어떤 전자거래감독규정이라던가 여러 가지 어떤 청소년 보호법 이런 것들 때문에 각종 프로그램을 설치하도록 되어있거든요. 그러다보니까 어떻게 보면 이건 외국인의 문제가 아니라 내국인의 역차별이 문제가 된다고 하겠습니다.

양창욱 : 아, 그럼 외국인들은 외국 카드로, 자신의 카드로 사는 데는 별 문제가 없는 거에요?

김승주 : 네. 천송이 코트 구매하는 데 아무 문제가 없습니다.

양창욱 : 아, 아무 문제가 없군요. 우리나라 사람들이 이제 이걸 구매하는데 문제가 있는 거군요.

김승주 : 그렇죠. 그래서 많은 사람들이 왜 도대체 이 역차별로 우리가 더 물건 사는 데 기다려야 하느냐, 외국 사람들은 이렇게 편하게 사는데, 그 얘기를 지적하고 있는 겁니다.

양창욱 : 예. 그래서 정부가 대통령의 지시 이후에 ‘액티브 엑스’를 폐지하는 방안을 곧 준비해서 내놓을 것이라고 하는 데, 이게 지금 어느 정도까지 가능해지고 있나요?

김승주 : 지금 뭐 사실은 1년 가까이 됐고, 대통령이 얘기한지가. 그런데 금융권이 굉장히 수동적입니다. 그래서 잘 안바뀌고 있습니다.

양창욱 : 왜요?

김승주 : 왜냐하면 과거에 하던 기존의 어떤 관행을 바꿨다가 혹시 문제가 생기면 야, 이거 문제가 생기면 덤터기를 쓸 수 있단 말이죠. 그러다보니까 잘 안 바꾸려고 합니다.

양창욱 : 어떤 덤터기를 써요?

김승주 : 그 자체가. 어떤, 우리가 이제 보통 얘기하는 게 사용자 쪽에 프로그램을 덜 설치하려면 회사 쪽에 이상 거래 탐지 시스템 같은 보안프로그램을 설치해야합니다. 이상 거래 탐지 시스템, 그러니까 영어로 FDS라고 얘기하는데요. 이런 건 뭐냐 하면 보통 우리가 평상시에 정상적인 신용카드 사용 패턴을 데이터베이스화시키는 겁니다. 그랬다가 그 데이터베이스 패턴과 이상행동이 탐지가 되면 거래를 중단시키는 걸 얘기하는 거거든요. 예를 들면, 제가 뭐 매일 한 아침 10시부터 11시 사이에 5만 원 정도 대의 거래를 하더라, 그러면 그때 들어오는 5만 원 정도 대의 거래 내역은 정상으로 인지를 하고요. 거기서 벗어난 것은 이상거래로 인지를 하는 겁니다. 그런 시스템을 설치해야 되는데 외국은 이게 보편적으로 많이 설치가 되어있거든요. 근데 우리나라 같은 경우는 그동안 회사에서 정보보호에 투자하는 예산 자체가 그렇게 크질 않았기 때문에 카드 사에는 이것이 일부 설치가 되어있습니다만 은행이라든가 증권 쪽은 이게 잘 설치가 안 되어 있습니다. 그렇다보니까 이걸 설치하는 시간이 좀 걸리고요. 이걸 설치한다고 해서 바로 쓸 수 있는 것이 아니고 정상거래 패턴을 데이터베이스화시키는, 즉 학습시키는 기간이 필요합니다.

양창욱 : 아, 예예. 이해가됩니다.

김승주 : 그러다보니까 업체가 조금 수동적인 겁니다.

양창욱 : 아, 그래서 시간도 많이 걸리는 거고요?

김승주 : 맞습니다.

양창욱 : 그럼 정부는 3월부터 폐지한다는 건데 뭘 갖고 폐지한다는 거에요? 방안이 뭐에요 그럼, 정부가 내놓는 방안은?

김승주 : 지금 일단은 대통령께서 이걸 폐지시켜라, 라고 얘기를 해놓았으니까 뭔가 좀 하는 걸 보여야 된단 말이죠.

양창욱 : 아.

김승주 : 그러니까 이제 ‘액티브 엑스’를 이용하는 것이 아니라 다른 방법을 이용해서 추가적인 프로그램을 설치하는 방안을 내놓은 겁니다.

양창욱 : 다른 방법은 어떤 게 있을까요?

김승주 : 이게 이제 실행파일을 다운로드받는다는 건데요. 그러니까 .exe파일을 다운로드 받는 걸 얘기합니다.

양창욱 : .exe 파일을 다운로드 받는다?

김승주 : 네, 그러니까 어떤 압축해제프로그램이라던가 동영상 프로그램 같은 것을 다운로드 받을 때 보면 해당 홈페이지에 가서 그걸 내려받거든요. 그런 것들을 얘기합니다.

양창욱 : 그러니까 이건 이제 사실 이름만 바뀌고 무늬만 바뀐 거네요, 그러면?

김승주 : 그런 게 좀 있죠. 사실은 우리가 역차별 문제를 해결하고 외국과 같은 간편 결제를 쓰려면 사용자PC에 이것저것 설치하게 하질 말아야 되거든요. 그런데 이름만 바뀌었다 뿐이지 사용자PC에 어떤 걸 설치한다는 입장에서는 크게 바뀌는 게 없습니다.

 양창욱 : 아, 이걸 대체 프로그램이라고 이제 오는 3월부터 쓴다고 지금 정부는 얘기하고 있는 거군요?

김승주 : 그렇죠. 왜 그러냐 하면 지금 벌써 세 번째 이걸 확인하는 거거든요. 그런데 FDS라던가 회사 쪽의 보안 수준을 올리는 건 또 시간이 필요하고요. 그러니까 이제 임시방편으로 어떤 .exe 형식의 프로그램을 내려 받아라 형식으로 어떤 대책을 내놓은 것 같습니다. 그런데 제가 보기에는 뭐 정부도 대통령한테 보고를 안 할 순 없으니까 이런 안을 내놓은 것 같은데, 문제는 지금 이것이 이런이런 기술적인 문제가 있으니까 우리가 언제까진 이렇게 할 텐데 임시방편으로 .exe 프로그램을 내려받도록 하겠습니다, 이런 식으로 사실은 발표를 했었야 됐는데 언제까지 사용자PC에 모든 걸 설치하지 않도록 하겠다 ,이런 발표는 없었거든요. 그냥 ‘액티브 엑스’를 .exe파일로 바꾸겠다 얘기만 있었지, 그래서 정부는 앞으로 구체적인 로드맵을 제시해야 될 것 같습니다.

양창욱 : 정부는 그렇고, 교수님이 보시기엔 어떻게 해결해야 돼요, 그러면?

김승주 : 제가 보기에도 분명히 외국식으로 가는 것이 맞습니다.

양창욱 : 외국식으로?

김승주 : 예. 왜냐하면 사용자PC에 자꾸 이거저걸 설치하라고 하면, 이거 자체가 일단 PC에 굉장히 악영향을 미칠 수도 있고요. 그리고 요새 스마트 디바이스, 장비들이 워낙 많이 들어오지 않습니까?

양창욱 : 스마트 디바이스요?

김승주 : 네. 무슨 탭, 그 다음에 무슨 스마트폰 같은 이런 것들이요. 그래서 앞으로는 이제 TV에서도 인터넷을 쓸 수 있단 말이죠. 그런 형태일 때 지금 우리나라의 어떤 구조는 굉장히 안 맞아 보이고요. 또 지금 우리나라 같은 경우는 여러가지 프로그램, 즉 ‘액티브 엑스’를 쓰는 게 워낙 대중화돼 있기 때문에 어떤 인터넷 익스플로러, 특정 회사의 웹브라우저 의존도가 너무 높습니다. 현재 국내 PC 웹브라우저 점유율이 인터넷 익스플로러가 88%입니다. 그런데 전 세계적으로는 인터넷 익스플로러 점유율이 23% 정도 밖에 안 되거든요. 굉장히 좀 비정상적이라는거죠. 그래서 이런 어떤 환경을 좀 개선하기 위해서라도 빨리 ‘액티브 엑스’ 같은 것이 없어질 필요가 있고요. 그러려면 사용자PC에 이거저거 설치하라는 이런 문화가 좀 개선되어야 될 것 같습니다.

양창욱 : 그렇군요. 근데 시간이 많이 걸리겠네요, 교수님 말씀하시는 게 실현되려면?

김승주 : 네... 아무래도... 우리나라가 그동안 너무 이렇게 좀 해 온 게 있기 때문에 이걸 바꾸기에는 시간이 좀 걸릴 것 같고요. 게다가 금융권에서 어떤 걸 바꾼다라는 게 사실 그닥 쉽지 않죠.

양창욱 : 그럼 보안 부분은 어때요? 그렇게 바꿔도 괜찮나요?

김승주 : 사실은 사용자PC에 어떤 게 설치된다는 입장에서는 그렇게 달라질 게 없거든요. 그래서 ‘액티브 엑스’에서 생겼던 많은 문제들이 이번에 어떤 .exe 파일을 내려 받았을 때도 거의 유사하게 생길 수 있는 확률이 높습니다.

양창욱 : 아. 그렇군요.

김승주 : 그래서 이런 어떤 보안상의 문제 때문에라도 사용자PC에 이거저거 설치하게 하는 건 안 좋은 것 같고요. 만약에 사용자의 어떠한 보안성을 강화시키고 싶다, 라면 소프트웨어적으로 자꾸 뭘 설치하라고 할 것이 아니라 우리, 그 일회용 비밀번호라고 해서 OTP라고 하는 거 있죠?

양창욱 : OTP요? 그건 뭡니까 또?

김승주 : 지금 이제 우리가 일반적으로 보안카드라고 해서 플라스틱 판때기에 이렇게 비밀번호 써져있는 것들 많이 보실겁니다. 그런데 사실은 그거는 굉장히 안전도가 떨어지거든요.

양창욱 : 아.

김승주 : 그래서 별도로 이렇게 하드웨어 형태, 조그맣게 열쇠고리 형태로 생긴 비밀번호 생성기라는 게 있습니다. 그걸 One Time Password, 줄여서 OTP라고 하거든요. 그런 것들, 즉 어떤 하드웨어 형태로 되어있는 보안장비들을 사용자한테 도입을 시켜야지 자꾸 PC에다가 소프트웨어 설치하라고 해서 문제가 해결될 건 아니거든요.

양창욱 : 하드웨어면 가지고 다니기 불편하잖아요?

김승주 : 요새는 그게 되게 조그맣게 있어서요.

양창욱 : 그럼 또, 잃어버리기 쉽잖아요?

김승주 : 아, 근데 그건 분실한다 하더라도 그것이 정상적인 사용자가 아니면 쓸 수 없도록 되어있습니다.

양창욱 : 알겠습니다. 교수님 오늘 말씀 잘 들었습니다.

김승주 : 네, 감사합니다.

양창욱 : 지금까지 고려대 정보보호대학원 김승주 교수님과 함께 했습니다.