실시간 뉴스



MS가 말하는 '액티브X'…"대안은 없다"


"서비스 안정화로 사용자 불편 최소화해야"

"액티브X의 획기적 대안은 없다. 다만 안정화 작업을 통해 부작용을 최소화하는 게 필요하다."

마이크로소프트(MS)가 자사 플러그인 기술인 '액티브X'의 보안 취약점에 대한 의견을 밝혔다.

한국MS 이상용 최고보안자문은 9일 '국제 정보보호 컨퍼런스(ISEC2009)'에서 "액티브X는 사용자 편의성을 높이기 위한 기술이지만, 악용될 소지가 많은 만큼 제대로 활용할 수 있는 가이드라인을 제시하는 게 더 중요하다"고 강조했다.

액티브X는 인터넷 익스플로러(IE) 등의 웹 브라우저에 접목하기 위한 플러그인 기술이다. 국내에서는 인터넷 뱅킹 등 금융권 사이트를 이용하기 위해서는 반드시 액티브X를 설치해야만 한다.

또 포털 사이트에 대용량 파일이나 사진을 업로드하고, 웹 브라우저에서 동영상을 재생하는 데 사용된다. 행정처리를 위한 코드에도 활용되며, 일부 바이러스 치료를 위한 애플리케이션에도 관련 기술이 적용된다. 그야말로 액티브X 없이는 인터넷을 제대로 사용하기 힘들다고 해도 무방할 정도다.

◆'의무화된 설치'가 문제…대체 기술 쉽지 않아

하지만 최근 액티브X의 보안 취약점이 또 다시 도마에 오르고 있다.

지난 7월 초 발생한 분산서비스거부(DDoS) 대란에서 액티브X가 근본 원인일 수 있다는 지적이 제기된 것. 액티브X 기술이 광범위하게 사용되다 보니, 사용자가 무의식적으로 '예'를 누르도록 학습돼 악성코드 감염에 취약할 수 있다는 설명이다.

또 파이어폭스, 크롬 등 MS IE에 대항하는 웹브라우저가 등장한데다, 액티브X가 MS 종속성을 심화시킨다는 사용자 불만이 고조되면서 탈 MS 바람으로까지 이어지는 추세다.

이에 대해 이상용 한국MS 최고보안자문은 "액티브X는 손쉽게 PC자원을 호출할 수 있게 할 뿐만 아니라 브라우저 자체에 구현되지 않은 보안 기술을 구현하는 가장 무난한 방법"이라며 "서비스 제공자의 편의와 사용자 편의를 모두 고려한 것"이라고 설명했다.

그는 이어 "강제 설치하지 않으면 서비스 자체를 이용할 수 없도록 하는 '의무화된 플러그인' 모듈의 난립이 문제"라며 "많은 국내 개발자들이 액티브X 개발방식으로만 플러그인을 개발하는 것 역시 개선할 점"이라고 말했다.

최근 행정안전부 등 공공기관을 중심으로 웹접근성 강화 및 웹표준 준수 움직임이 일면서 액티브X 대체 기술에 대한 논의가 활발히 진행되고 있다.

하지만 대체 기술 중 하나인 엔피플러그인 방식(NPAPI)도 잠재적 문제를 여전히 갖고 있으며, 시장 논리에 따라 소수 운영체제(OS)를 위한 개발업체의 플러그인 공급이 어려워 대안 마련이 쉽지 않은 상황.

이상용 최고보안자문은 "의무화된 사용으로 인해 사용자 선택권이 제한된다는 지적이 있는데, 이는 현 전자금융거래법 등의 수정이 전제돼야 한다"며 "웹 표준을 전제로 한 플랫폼 다양화를 구현하고, 플러그인을 다양한 웹 브라우저에 가능하도록 수용하는 방안이 필요하다"고 말했다.

서소정기자 ssj6@inews24.com






alert

댓글 쓰기 제목 MS가 말하는 '액티브X'…"대안은 없다"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스