- 엑티브 X 우리나라에서는 과다하게 쓰고 있어
- 외국은 보안 프로그램을 회사에 설치하는데 우리는 사용자 PC에 설치
- 엑티브 X 과다하게 설치하다보니 해커가 악성 프로그램 설치 기회도
- 외국은 보안책임을 사용자에서 회사 책임으로 이전
- 엑티브 X, 누가 내려준 프로그램인지 알수 없는 것도 큰 문제
- 대통령 지시하자 금융당국은 무조건 엑티브 X 말 안 나오게 쪼아
- 정부의 대책, 엑티브 X 대신 exe를 다운, 이름만 다르지 다를 바 없어
- 엑티브 X 문제 재연 가능성, 조삼모사 대책
- 업계가 이상거래 탐지시스템 등 세우려면 1년여 걸려
- 천송이 코트? 외국인은 문제 없고 내국인이 역차별 당한 것
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2015년 1월 13일 (화) 오후 6시 10분
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 김승주 (고려대 정보보호대학원 교수)
◇ 정관용> 어제 박근혜 대통령이 신년 기자회견 하면서 ‘엑티브 X(ActiveX) 폐지해야 한다’ 또 한 번 얘기했습니다. 공식 석상에서 이걸 강조한 게 지난해 3월 그리고 7월, 오늘 벌써 세 번째죠. 하지만 아직도 폐지되지 않았어요. 급기야 오늘 오전에 엑티브 X를 이용하지 않아도 간편 결제 가능해졌다, 이런 소식이 전해졌습니다만 그게 정말 그런 게 아니다, 겉포장만 바뀐 거다 이런 전문과 지적이 나오네요. 고려대학교 정보보호대학원의 김승주 교수를 연결해서 자세한 도움 말씀 듣습니다. 김 교수님, 안녕하세요?
◆ 김승주> 네, 안녕하십니까?
◇ 정관용> 엑티브 X가 뭐죠?
◆ 김승주> 정확히 말하면 우리가 인터넷 서핑을 할 때는 보통 인터넷 익스플로러 같은 웹브라우저라는 것을 이용합니다. 그런데 웹브라우저를 이용해서 인터넷 서핑을 하다 보면 웹브라우저가 제공하는 표준화된 기본 기능 외에 추가적인 기능이 필요할 때가 있습니다. 음악을 듣는다든지 어떤 여러 가지 이유로요. 이러한 추가적인 기능 또는 추가적인 프로그램을 설치하는 방법을 엑티브 X라고 합니다.
◇ 정관용> 그러면 그동안에 결제를 할 때 엑티브 X를 설치해야 했던 것은 무엇 때문이죠?
◆ 김승주> 그게 이제 결제를 할 때 공인인증서라든가 여러 가지 보안프로그램은 사실은 웹브라우저에서 사용하는 표준 기능은 아니고요.
◇ 정관용> 그렇죠.
◆ 김승주> 우리나라에서 주로 사용하는 어떤 기능들이거든요. 그러다 보니까 추가적인 프로그램을 설치해야 되는 거죠. 그러다 보니까 엑티브 X를 주로 이용하게 되는 겁니다.
◇ 정관용> 공인인증서 같은 것은 다 보안은 지켜줘야 되니까 보안을 지켜주는 프로그램을 매번 새로 깔아야 된다, 이 말이군요.
◆ 김승주> 그렇죠. 그 공인인증서 같은 보안 프로그램은 웹브라우저에 표준기능은 아니거든요.
◇ 정관용> 외국에는 그런데 이런 걸 안 한다면서요?
◆ 김승주> 그러니까 엑티브 X 같은 플러그인은 전혀 안 쓸 수가 없습니다. 왜냐 하면 인터넷 서핑을 하다 보면 추가적인 기능이 필요할 때가 있거든요. 그런데 우리나라 같은 경우에는 너무 과다하게 많이 쓰는 게 문제입니다.
◇ 정관용> 우리나라와 외국의 차이가 어떤 거예요, 우리가 왜 과다하게 많이 쓰는 거고 외국은 그걸 그렇게 많이 안 쓰는 겁니까?
◆ 김승주> 외국 같은 경우도 뭐 전자상거래도 하고 다 합니다. 그런데 일단 우리나라가 인터넷 환경이 잘 발달돼서 그런 이유도 있고요. 더 큰 문제는 예를 들어 전자결제를 하는 데 있어서 필요한 보안프로그램 개수가 한 10가지가 된다 라고 하면 우리나라는 그 필요한 10가지 프로그램들을 대부분 사용자 PC에다가 설치시키는 나라입니다. 그런데 외국 같은 경우는 사용자 PC에는 별로 설치를 안 시키고 이거를 회사 쪽에서 전부 다 부담을 하거든요. 그러다 보니까 사용자 PC에 설치되는 게 별로 없으니까 추가적인 프로그램이 설치될 필요가 없죠. 그러다 보니까 엑티브 X를 안 쓰게 되는 거죠.
◇ 정관용> 그러니까 회사 쪽 컴퓨터에 보안시스템이 다 마련되어 있다?
◆ 김승주> 그렇죠.
◇ 정관용> 그냥 그 회사에 접속해서 로그인하고 그냥 결제하면 된다?
◆ 김승주> 그렇죠. 그래서 회사에서 보안에 투자하는 어떤 비용이 더 높을수록 이런 엑티브 X 같은 것을 덜 쓰는 그런 경향이 있습니다.
◇ 정관용> 그렇지만 회사보안망도 자꾸 뚫리고 그러잖아요?
◆ 김승주> 네.
◇ 정관용> 그러니까 개별, 개개인의 PC에 이렇게 매번 필요할 때마다 보안 프로그램 깔고 하는 게 더 안전한 것은 아닌가요?
◆ 김승주> 그렇지는 않고요. 예를 들어서 저희가 ‘페이팔(paypal) 같은 결제 프로그램을 보더라도...
◇ 정관용> 다시요, 뭐요?
◆ 김승주> 우리가 페이팔이라고 하는 간편결제 있습니다, 핀테크(fintech)라고 해서.
◇ 정관용> 간편결제 시스템?
◆ 김승주> 네, 아이디하고 패스워드만 치면 되는 결제 시스템이 많이 있잖아요?
◇ 정관용> 네, 있어요. 아이디하고 패스워드...
◆ 김승주> 그런데 우리가 실제로 보기에는 아이디하고 패스워드만 쓰는 것 같지만 저 회사 쪽 서버에는 굉장히 많은 보안 프로그램이 돌고 있는 겁니다.
◇ 정관용> 아, 그렇죠.
◆ 김승주> 그런데 우리나라 같은 경우에는 그렇게 되어 있지 않거든요. 대부분 사용자 PC에서 보안 프로그램이 돌고 있지 회사 쪽에서는 돌아가고 있는 프로그램들이 그렇게 많지 않습니다.
◇ 정관용> 그런데 외국도 옛날에는 이렇게 많은 프로그램을 개인 PC에 다 깔도록 엑티브 X가 많이 쓰였다면서요?
◆ 김승주> 외국은 초창기에 그러다가 그런 것들이 여러 가지로 사용자한테 불편함을 초래하고 또 보안상 그렇게 이득이 안 되니까 그 중심축이 사용자한테 부담 지우던 것을 회사 쪽으로 이전시킨 겁니다. 왜냐하면 해커들의 어떤 해킹 수준이 굉장히 높아졌기 때문에 사용자 측면에서 할 수 있는 게 한계가 있거든요.
◇ 정관용> 하긴 아주 짧은 시간에 그냥 프로그램이 쫙쫙 깔리던데 그 정도 프로그램으로 고도의 해커를 막아낼 수는 없다, 이거군요?
◆ 김승주> 그렇죠. 더 큰 문제는 내 PC에 프로그램이 내려와서 설치가 되는데 이게 누가 내려준 프로그램인지 알 수가 없다는 겁니다. 사실은 프로그램 설치하기 전에 이거 설치하겠습니까, 이렇게 물어는 보거든요.
◇ 정관용> 물론이죠.
◆ 김승주> 그런데 일반인들이 그걸 읽었을 때 이게 제대로 된 건지 아닌지를 판단하기가 무척 힘들다는 거죠. 그런데 그런 식으로 잔뜩 사용자 PC에 설치를 시켜놓고 나중에 더 큰 문제는 보안 사고가 날 경우에 ‘이거 당신이 잘못한 거 아니요’ 이러고 보상은 또 안 해 주거든요. 그러니까 문제가 있는 것이죠.
◇ 정관용> 그리고 또 사용자 PC에 그런 프로그램을 내려 받는 틈을 이용해서 해커들이 악성코드나 같은 것을 심을 수도 있겠군요?
◆ 김승주> 맞습니다. 우리나라 같은 경우는 이런 엑티브 X를 너무 과다하게 사용하다 보니까 사용자들이 그냥 뭐 창 뜨면 무조건 ‘Yes'를 다 눌러버리거든요. 그러니까 해커가 그냥 그 통로를 이용해서 어차피 사용자는 무조건 ‘Yes'를 누르니까 악성 프로그램을 사용자 PC에 설치를 하는 겁니다.
◇ 정관용> 이런 부작용들 때문에 외국은 빨리빨리 없앴다?
◆ 김승주> 그렇죠.
◇ 정관용> 대통령이 세 번이나 이거 없애야 한다고 얘기했습니다. 그러면 대통령이 없애야 한다는 것은 잘 한 거죠?
◆ 김승주> 잘 한 거죠, 방향은 분명히 제대로 보신 겁니다.
◇ 정관용> 그런데 처음 얘기한 게 작년 3월이에요, 거의 1년 돼 가지 않습니까? 그런데 왜 안 없어집니까?
◆ 김승주> 이게 그동안... 아까도 말씀드렸지만 우리는 그동안 사용자한테 부담을 굉장히 많이 지어왔거든요. 이것을 업체 중심으로 옮기는 게 그렇게 쉽지가 않습니다. 또 그럴 정도로 기술력을 갖추려면 기다려주어야 되거든요. 그런데 대통령께서 계속 엑티브 X를 지적을 하니까 금융감독에서는 ‘야, 무조건 엑티브 X 말 안 나오게 해’ 해서 자꾸 업체들을 이렇게 좀 쫀다는 말이죠. 그러다 보니까 준비가 제대로 안 된 상태에서 지금 막 밀어붙이는 경향이 있거든요.
◇ 정관용> 아하.
◆ 김승주> 그래서 지금 여러 가지 오늘도 정부가 대책이라고 내놓았지만 사실은 이름만 달라졌을 뿐이지 엑티브 X에서 그렇게 나아진 것은 없어 보입니다.
◇ 정관용> 오늘 정부가 내놓은 대책이 제가 자료를 보니까 ‘엑티브 X를 대체하는 방식을 개발했다, 이르면 3월부터 사용 가능하다. 엑티브 X 대신에 exe 파일을 다운받는 방식이다’ 이런 얘기인데 이건 무슨 말입니까?
◆ 김승주> 그것이 엑티브 X라는 게 그냥 이름만 ‘.exe’로 바뀌었다라고 보시면 됩니다.
◇ 정관용> 아, 그래요?
◆ 김승주> 그러니까 대통령께서 엑티브 X를 쓰지 말라는 얘기는 웹브라우저의 기본 기능만 이용해서 사용자 PC에 추가적인 프로그램을 설치하지 않도록 하라는 얘기거든요. 그런데 정부 당국에서는 엑티브 X라는 그 말만 그대로 받아들인 겁니다.
◇ 정관용> (웃음)
◆ 김승주> 그래서 아무튼 ‘엑티브 X 빼고, 다른 걸 써도 좋으니까 엑티브 X라는 것만 나오지 않게 해’라는 식으로 어떤 정책을 집행하다 보니까 지금같이 이름만 바뀐 어떤 다른 프로그램을 까는 그런 형태가 된 것 같습니다.
◇ 정관용> 그 무슨 ‘.exe’라고 하는 것은 저도 사실 컴퓨터 잘 모르는 사람이지만 이게 실행프로그램이잖아요?
◆ 김승주> 네, 맞습니다.
◇ 정관용> 결국 프로그램 깔리는 건 똑같다, 이 말이죠?
◆ 김승주> 똑같습니다. 그래서 엑티브 X 때 발생했던 문제들이 똑같이 다시 재연될 수 있습니다.
◇ 정관용> 그러면 이게 무슨 대책입니까?
◆ 김승주> 그러니까 조삼모사식 대책이라고들 많이 합니다.
◇ 정관용> 이걸 정부가 대책이라고 말할 수 있는 거예요?
◆ 김승주> 그래서 어떤 대통령이 지적한 것의 진위가 아니라 좀 말장난에 가까운 어떤 대책이라는 지적들이 많습니다.
◇ 정관용> 아니, 이게 말장난에 불과하고 사실은 내용이 ‘엑티브 X가 .exe로 바뀐 것뿐이다’라고 하는 것은 그냥 삼척동자도 알 만한 내용인데 그걸 대책이라고 발표한다? 저는 그 강심장이 좀 의심스러운데요?
◆ 김승주> (웃음)
◇ 정관용> 그나저나 아까 말씀하신 것처럼 이게 사용자가 아닌 업체 중심으로 바뀌려면 각종의 전자상거래나 금융거래를 하게 되는 그러한 업체들이 자체 보안시스템을 정비하는 기간이 필요하군요?
◆ 김승주> 네.
◇ 정관용> 그게 어느 정도 걸려야 됩니까?
◆ 김승주> 제가 보기에는 뭐 올 한해 정도는 꼬박 그것에 투자를 해야 될 것 같고요. 그 대표적인 게 소위 요새 얘기 많이 나오는 ‘FDS’라고 부르는 이상거래탐지시스템입니다.
◇ 정관용> FDS?
◆ 김승주> 네. Fraud Detection System이라고 해서...
◇ 정관용> 이상거래탐지시스템?
◆ 김승주> 네. 이제 이상한 거래패턴이 있었을 경우에 그것을 탐지해 주는 겁니다. 예를 들면 제가 조금 전에 한국에서 신용카드로 결제를 했는데 만약에 30분 후에 미국에서 결제가 일어난다고 하면 사실은 30분 만에 미국으로 갈 수가 없지 않습니까? 그럴 경우에 이것을 탐지해 내는 것을 얘기합니다.
◇ 정관용> 그렇죠, 그렇죠.
◆ 김승주> 그런데 이 이상거래탐지시스템 같은 경우에는 외국의 결제업체들은 대부분 이것을 갖고 있거든요. 그런데 우리나라 같은 경우 이것은 거의 구축이 안 되어 있습니다. 그런데 문제는 이 이상거래탐지시스템이 그냥 사 와서 바로 장착시킨다고 돌아가는 게 아니고요. 이용자들의 어떤 정상적인 거래패턴을 학습하는 시간이 필요합니다. 예를 들어 김 아무개는 몇 시대에 주로 은행을 이용하고 얼마 정도의 금액을 쓰고 어떤 내용을 쇼핑을 하더라, 이런 게 데이터베이스화가 돼야 하거든요.
◇ 정관용> 그 광범위한 데이터베이스를 또 분석해 놓아서 패턴으로 만들어야 되겠군요?
◆ 김승주> 맞습니다, 그 시간이 필요하다는 겁니다. 그래서 ‘이거 뭐 언제까지 그냥 해’ 이렇게 해서 될 수 있는 문제는 아닙니다.
◇ 정관용> 이게 이상거래탐지시스템이 있으면 예를 들어서 금융기관에 접속해서 1분 간격으로, 2분 간격으로 100만원씩 찾아가서 이런 피해를 본 사람들이 있잖아요?
◆ 김승주> 네.
◇ 정관용> 이런 것도 다 막을 수 있다면서요?
◆ 김승주> 네, 막을 수 있습니다. 그런데 그 이상거래탐지시스템이 우리나라는 주로 카드사에만 그게 장착이 되어 있었거든요. 은행이나 증권사에는 거의 구축이 안 되어 있었습니다. 그리고 카드사에서 운영 중인 이상거래탐지시스템도 어떤 실제 상점, 오프라인 결제에 대한 데이터베이스만 구축이 되어 있지 온라인 결제에 대한 데이터베이스는 제대로 구축이 안 되어 있거든요. 그러다 보니까 이런 어떤 전방위적으로 FDS 시스템을 구축하는 데 상당한 시간이 필요해 보입니다.
◇ 정관용> 외국은 금융기관도 그것을 이미 그걸 다 해놓고 있고?
◆ 김승주> 네, 보통 우리가 외국에서 얘기하는 간편 결제 시스템을 운영하는 업체들은 대부분 이런 시스템을 갖고 있습니다.
◇ 정관용> 그나저나 지금 우리 금융기관 하고 전자상거래 업체들은 그런 투자를 하고 있기는 있습니까?
◆ 김승주> 지금 이제 핀테크라고 해서 갑작스럽게 패러다임이 바뀌니까 지금 이제 막 예산들을 확보하고 이런 것들을 구축하는 준비는 하고 있는 것 같습니다.
◇ 정관용> 준비는 하고 있다, 그러나 시간이 좀 걸릴 것이다?
◆ 김승주> 네.
◇ 정관용> 오늘 정부가 내놓았다는 ‘.exe’파일 다운받는 이것 때문에 해외에서 우리나라 제품 직거래, 직구매 하시려는 소비자들이 부쩍 늘거나 이럴 가능성은 없는 거죠?
◆ 김승주> 그건 아니고 그러니까 처음에도 사실은 이게 ‘천송이 코트’ 문제로 발단이 되지 않았습니까? 그런데 사실은 외국 사람들이 국내쇼핑몰을 이용할 때는 공인인증서나 이런 것들을 요구하지 않거든요. 문제는 내국인들이 역차별을 받고 있었다는 게 문제인 겁니다.
◇ 정관용> 아하.
◆ 김승주> 그래서 이런 간편한 결제시스템이 도입이 되면, 엑티브 X 같은 것을 사용하지 않게 되면 일단 내국인들, 한국인들이 편해지게 되는 것이고요. 그러다 보면 우리 결제시스템. 전자상거래 업체들이 세계로 뻗어나갈 수 있는 어떤 동력도 얻게 될 것이고요.
◇ 정관용> 사실은 진작했어야 할 투자, 이제야 시작됐다는 얘기까지 들을 게요. 고맙습니다.
◆ 김승주> 네, 감사합니다.
◇ 정관용> 고려대학교 정보보호대학원의 김승주 교수였습니다.
▶시사자키 프로그램 바로가기