• 3 Stories

웹 표준 갈라파고스 한국

첫 글자만 들어도 스트레스가 떼 지어 몰려오는 ‘액티브X’

액티브X 기반 플러그인 설치 중 쉴 새 없이 반복되는 ‘브라우저 재시작’은 충격과 공포 그 자체입니다.

이젠 크롬도 먹통이다

9월 1일부로 구글이 자사의 최신 버전 웹 브라우저인 크롬 45버전의 NPAPI(Netscape Plugin Application Programming Interface) 지원을 중단함에 따라 크롬에서 국내 대부분 금융회사 웹 사이트를 통한 금융거래가 불가능할 전망입니다.

NPAPI란 마이크로소프트의 액티브X와 비슷한 웹 브라우저의 기능 향상을 위한 확장 프로그램(플러그인)입니다. 크롬을 기반으로 작동하는 국내 공인인증 보안 프로그램들은 대부분 이 NPAPI 기반으로 만들어졌습니다. 구글이 NPAPI 지원을 중단하면 크롬에서 금융거래 시 필요한 각종 공인인증 보안 프로그램이 작동하지 않습니다.

NPAPI의 공포는 멀지 않은 곳에 있습니다...

NPAPI 플러그인은 현재 웹 표준인 HTML5를 준수하지 않고 제작되었으며, 간혹 크롬 강제 종료 등 불안정을 유발하는 원인으로도 지목되어 왔습니다. 이에 따라 구글은 지난 2013년에 크롬의 NPAPI 지원을 중단하겠다고 발표했습니다.

이게 2년 전 일입니다. 그리고 2015년 9월 1일, 크롬 45버전이 출시되면서 NPAPI 지원이 중단됐습니다. 2년이라는 긴 시간이 있었는데도 현재까지 새로운 크롬 버전을 지원하는 금융회사는 단 한 곳, 국민은행뿐입니다.

Kakaotalk photo 2015 09 02 00 58 58
조만간 이런 팝업창을 만나게 되겠죠...

2015년 상반기 국내 PC 브라우저 점유율에서 크롬이 차지하는 비중은 약 8.8%입니다. 익스플로러의 점유율이 약 87%로 압도적이긴 하지만, 8.8%도 결코 작은 비중은 아닙니다. 적어도 몇백만 명은 될 테니 말이죠. 더불어 한국인터넷진흥원의 조사에 따르면 2015년 5월 국내 200대 웹 사이트 중 78개 웹 사이트가 NPAPI를 사용하고 있다고 합니다. 이 78개 웹 사이트 중 약 3분의 1이 금융에 관련한 웹 사이트입니다.

분명 이러한 상황을 알고 있었을 금융회사들이 NPAPI 지원 중단에 대한 제대로 된 대응을 하지 못하면서 이러한 불편은 고객들에게 모두 전가되고 있습니다.

국민은행을 제외한 나머지 주요 은행과 카드사는 올해 4분기 안으로 크롬 45버전에 대한 대응을 마무리할 방침입니다.

여기가 '액티브X'의 나라입니까?

액티브X에 고통받는 한국인을 위해 마이크로소프트사가 세심한 해결책(?)을 내놓았습니다. 오는 9월, 새로 출시하는 윈도10 운영체제의 브라우저를 기존 ‘익스플로러’에서 ‘엣지’로 변경하고, ‘엣지’ 브라우저 환경에는 액티브X가 아예 작동하지 않도록 차단해버린 것인데요.

너무 단호해서 단호박 같지만, 세계적인 흐름과 액티브X의 문제점을 파악해보면 마이크로소프트 측의 조치에 일견 수긍이 갑니다.

액티브X는 웹 브라우저를 통해 사용자 PC를 통제할 수 있는 기술입니다. 웹 브라우저가 PC 자원을 활용할 수 있게 됨으로써 웹 브라우저의 사용성과 활용 범위가 확장되죠. 이 액티브X는 특히 인터넷 금융 결제나 사용자 인증이 필요한 분야에서 적극 활용되어 왔습니다.

액티브X의 문제점은 이 프로그램이 외부 플러그인이니만큼 보안에 취약하다는 것입니다. 앞에서 이야기했듯 액티브X는 브라우저를 통해 사용자 PC의 접근권을 획득합니다. 이 통로를 통해 악성코드 등이 사용자 PC로 유입될 수 있고 해킹의 위험에 노출될 수도 있습니다.

때문에 21세기에 들어 비표준 기술인 액티브X 플러그인을 사용하지 말고, 해당 기술을 웹 표준인 HTML과 HTML5로 대체하자는 전 세계적 움직임이 일어납니다. 이후 액티브X를 사용하지 않는 웹사이트의 수는 꾸준히 증가합니다. 하지만 액티브X에 지나치게 의존해오던 한국은 변화의 흐름을 받아들이지 않습니다. 대부분의 한국 공공기관, 금융기관 웹사이트가 액티브X를 끈질기게 사용했고, 현재까지 그 전통(?)이 이어지고 있습니다.

만약 마이크로소프트 사의 신형 브라우저 ‘엣지’에서 액티브X 사용이 불가능하다면, 우리는 윈도10에서 금융 결제나 공공기관 사이트 접속 등을 할 수 없게 되는 것일까요?

마이크로소프트 측은 걱정하지 말라며 우리 공공기관과 금융업계를 다독입니다. 윈도10 내에 ‘엣지’와 더불어 이전 운영체제에서 사용되던 ‘익스플로러 11’을 병행 탑재하겠다는 것인데요. 마이크로소프트의 선처에 다들 한숨 돌린 모양새입니다.

자, 그럼 한숨 돌린 김에 정부, 공공기관, 금융업계 모두 액티브X 철폐를 위한 적극적인 움직임을 보여주면 어떨까요?

윈도10 출시 그 이후, 걱정이 현실로

지난달 29일, 마이크로소프트(이하 MS)의 최신 운영체제 ‘윈도10’이 전 세계 190개국에 공식 출시되었습니다. 물론 한국도 출시 대상입니다. 이 글을 읽고 계시는 분 중에는 이미 운영체제 업데이트를 완료하신 분도 있을 겁니다.

한국인이라면 ​‘새로운 운영체제라니!! 쿠오오오!!! 신난다!’는 희망을 마음 한편에 고이 접어두셔도 좋습니다. 윈도10을 설치한 이후 여러분은 종종 매우 극심한 스트레스에 시달릴 테니까요. 10여 년 전부터 우리를 괴롭혀오던 그놈, 액티브X 때문에 말이죠.

​이번 윈도10의 기본 웹 브라우저는 MS사에서 새로 개발한 ‘엣지’입니다. 앞선 스토리에서 이야기했듯 이 엣지라는 녀석은 액티브X를 지원하지 않습니다. 실제 엣지를 통해 액티브X를 사용하는 국내 사이트에 접속하면, 엣지와 더불어 윈도10에 탑재된 ‘익스플로러11(이하 IE11)’를 사용해달라는 안내글이 뜹니다. 아시다시피 다수의 국내 공공기관, 금융기관 웹사이트가 액티브X 기반으로 만들어져 있습니다. 결국 우리는 울며 겨자 먹기로 윈도10에서도 IE11을 사용해야 합니다.

​물론 윈도10 기본 브라우저를 엣지에서 IE11로 변경해 옛날 감성을 만끽하는 것도 참 매력적인 일이긴 합니다. 다만, 새 술은 새 부대에 담아야 하는 게 진리 아닙니까? 국내 공공기관 및 금융기관들의 미흡한 대응으로 애먼 사용자들만 피해를 보고 있는 이 상황은 그야말로 ‘폭력적’입니다.

​금융기관들은 그나마 상황이 낫습니다. 윈도10 공식 출시 직전, 금융권의 미흡한 윈도10 대응에 대한 언론 보도가 쏟아져 나오자 부랴부랴 업데이트를 진행한 곳이 많습니다.

   홈택스 누리집
국세청 홈택스 누리집 2015년 8월 4일자 갈무리. "자… 자제하겠습니다."

​하지만 국세청 홈택스, 대법원 전자가족관계등록시스템, 특허청 특허정보서비스 등 공공기관 웹사이트는 여전히 윈도10, 특히 엣지에서 작동하지 않습니다. 국세청 홈택스의 경우, 윈도10 내의 IE11을 사용해도 사이트 이용이 불가능합니다. 이는 기존 웹사이트들이 윈도8이나 이전 버전의 운영체제 기반의 IE11에 최적화되어 있어 윈도10의 IE11에서는 제대로 작동하지 않기 때문입니다. 많지는 않지만, 가끔 이런 상황이 발생한다고 합니다.

​행정자치부의 발표에 따르면 현재 1만2000여 개의 공공기관 웹사이트 중 66.2%가 액티브X를 제거했다고 합니다. 거꾸로 따져보면 약 4,000여 개의 공공기관 웹사이트에 액티브X가 남아있는 것인데요. MS는 지난해 11월 호환성 확인 및 기반 프로그램 개발을 위해 개발자 프리뷰 버전의 윈도10을 공개했습니다. 그로부터 9개월이 지난 지금, 우리 정부는 윈도10 업데이트를 아예 하지 말거나, 이미 설치했다면 엣지가 아닌 IE11을 사용할 것을 장려하고 있습니다.

이젠 크롬도 먹통이다

9월 1일부로 구글이 자사의 최신 버전 웹 브라우저인 크롬 45버전의 NPAPI(Netscape Plugin Application Programming Interface) 지원을 중단함에 따라 크롬에서 국내 대부분 금융회사 웹 사이트를 통한 금융거래가 불가능할 전망입니다.

NPAPI란 마이크로소프트의 액티브X와 비슷한 웹 브라우저의 기능 향상을 위한 확장 프로그램(플러그인)입니다. 크롬을 기반으로 작동하는 국내 공인인증 보안 프로그램들은 대부분 이 NPAPI 기반으로 만들어졌습니다. 구글이 NPAPI 지원을 중단하면 크롬에서 금융거래 시 필요한 각종 공인인증 보안 프로그램이 작동하지 않습니다.

NPAPI의 공포는 멀지 않은 곳에 있습니다...

NPAPI 플러그인은 현재 웹 표준인 HTML5를 준수하지 않고 제작되었으며, 간혹 크롬 강제 종료 등 불안정을 유발하는 원인으로도 지목되어 왔습니다. 이에 따라 구글은 지난 2013년에 크롬의 NPAPI 지원을 중단하겠다고 발표했습니다.

이게 2년 전 일입니다. 그리고 2015년 9월 1일, 크롬 45버전이 출시되면서 NPAPI 지원이 중단됐습니다. 2년이라는 긴 시간이 있었는데도 현재까지 새로운 크롬 버전을 지원하는 금융회사는 단 한 곳, 국민은행뿐입니다.

Kakaotalk photo 2015 09 02 00 58 58
조만간 이런 팝업창을 만나게 되겠죠...

2015년 상반기 국내 PC 브라우저 점유율에서 크롬이 차지하는 비중은 약 8.8%입니다. 익스플로러의 점유율이 약 87%로 압도적이긴 하지만, 8.8%도 결코 작은 비중은 아닙니다. 적어도 몇백만 명은 될 테니 말이죠. 더불어 한국인터넷진흥원의 조사에 따르면 2015년 5월 국내 200대 웹 사이트 중 78개 웹 사이트가 NPAPI를 사용하고 있다고 합니다. 이 78개 웹 사이트 중 약 3분의 1이 금융에 관련한 웹 사이트입니다.

분명 이러한 상황을 알고 있었을 금융회사들이 NPAPI 지원 중단에 대한 제대로 된 대응을 하지 못하면서 이러한 불편은 고객들에게 모두 전가되고 있습니다.

국민은행을 제외한 나머지 주요 은행과 카드사는 올해 4분기 안으로 크롬 45버전에 대한 대응을 마무리할 방침입니다.