activeX 대신 exe, 창문 잠그고 대문 열어두라는 꼴.

인터넷 뱅킹을 하는 사람이 한 번쯤을 만나 봤을 법한 화면이다. IE(Internet Expolorer) 사용자라면 더욱 그렇다. 인터넷 뱅킹을 하기 전 운행에서 필수로 요구하는 activeX 보안 프로그램을 설치하는 화면이다.

activeX는 MS(MicroSoft)사에서 만든 윈도우 전용 프로그램이다. MS에서 만든 브라우저가 아니면 activeX는 실행 되지 않는다. activeX는 MS의 최대 실패작이다.

MS는 왜 activeX를 만들 게 됐을까?

1990년대 말 인터넷이 막 보급되기 시작하던 때는 IE 보다는 네스케이프라는 브라우저가 널리 사용 되어 왔다. 애플릿 이용자들은 핫자바를 사용하기도 했다. MS의 IE는 설 자리가 없었다. 그러다 윈도우98네 IE를 기본 탑재하면서 점유율을 높이기 위해 애써왔다. 하지만 IE는 네스케이프에 비하면 너무 형편없는 기능을 제공하고 있어서 늘 사용자에게 외면 당해 왔다. 그래서 내 놓은 게 activeX이다. 당시에는 VB나 VC++이 개발자들에게 인기였다. MS Studio에 포함 된 개발 언어들이다. 이것들을 이용하면 activeX를 쉽게 제작할 수 있는데 브라우저에서 윈도우 응용프로그램 같은 기능들을 제공 받을 수 있기 때문에 국내에서는 2000년대 들어서 activeX 사용이 급증하기 시작했다. 그리고 IE 점유율도 함께 높아졌다. 네스케이프에서 안 되는 것들이 IE에서는 된다는 인식이 널리 퍼진 것이다.

그때만 해도 우린 activeX의 불편함과 위험성에 대해 인지하지 못했다. 오히려 그것은 돈이 되는 사업이였기 때문에 많은 IT 업체들이 activeX 개발 사업에 뛰어들었고 정부로부터 많은 벤처 지원금을 챙길 수 있었다. activeX 보안 프로그램은 이미 그들 세계에서 돈 되는 사업으로 자리 잡았다. 공인인증서 역시 마찬가지다. 불필요하다는 건 누구나 인지하고 있지만 이미 그 것을 폐기하기엔 너무 먼길을 돌아왔다. 정부에서 공인해주고 있는 이런 보안프로그램을 한 번에 폐기 해 버리면 B2G 거래를 하던 많은 IE 기업들이 사라질 것이다. 풍문이긴 하지만 그런 기업거래를 담당하던 기관 담당자들의 뒷거래도 사라 질 것이기 때문에 이런 보안 프로그램은 사라지기 어렵다는 얘기가 옛날부터 있어왔다.

중국인들은 왜 천송이 코트를 살 수 없는 것일까?

뉴스에서 이런 소식을 접할 때마나 나는 실소를 금치 못하겠다. 중국인들이 국내 쇼핑몰에서 물건을 구입 하기 위해서는 현금 거래 밖에 할 수 없다. 그러니까 외국인이라고 해서 우리나라 쇼핑몰을 전혀 이용 할 수 없는 건 아니다. 비회원으로 물건을 구매하고 현금으로 계좌이체 하면 된다. 요즘은 은행마다 외환거래가 아주 간단하다. 카드결제를 꼭 해야 하는 외국인이라면 페이팔을 이용하면 된다. 정부는 본질을 이해 못하고 있다. 외국인이 국내 쇼핑몰을 이용 할 수 없는 이유는 activeX나 공인인증서 때문이 아니라 "본인인증" 때문이다. 국내에 거주하는 외국인도 "본인인증", "실명인증" 받을 수 없는 건 마찬가지다.

개인쇼핑몰이야 상관 없지만 오픈마켓이나 백화점 쇼핑몰, 홈쇼핑 등은 실명인증을 받아야 회원가입이 가능하다. 외국의 어느 쇼핑몰을 보더라도 실명인증하는 곳은 한국 뿐이다. 공인인증서의 목적이 바로 본인확인에 있다. 실명인증(본인확인)을 하지 않는다면 당연히 공인인증서도 필요 없게 된다. i-pin도 마찬가지다.

웹프로그래머가 직업인 나는 십수년 동안 수많은 쇼핑몰을 제작해 왔다. 오래 전 부터 이해 안 되던게 실명인증이였다. 옛날엔 쇼핑몰 관리자가 회원의 주민등록번호와 비밀번호까지 관리자 페이지에서 여과 없이 확인 할 수 있었다. 그땐 개인정보보호법이 나오기도 전이라 윤리상 안 되는 줄 알면서도 "갑"이 원하면 그렇게 프로그래밍을 해 줄 수 밖에 없다.

쇼핑몰의 운영방식을 누구보다 잘 알고 있는 나로서는 실명인증의 불필요함을 이미 알고 있었다. 인터넷 쇼핑몰은 모두 선불제다. 즉, 판매자가 물건을 떼어먹을 수는 있어도 소비자가 돈을 떼어먹을 수는 없다. 돈이 입근 되야 물건이 배송 되기 때문이다. 오히려 소비자가 판매자의 정확한 신상정보를 요구해야 하는 것이다.

맥(MAC) 주소까지 수집해 가던 은행, 처벌은 없었다.

MAC 주소란 통신 장비의 DNA와 같은 것이다. 전세계 모든 통신 장비에는 고유 코드가 부여되는데 이것은 중복 되어서는 안 된다. IP는 공유해서 사용 할 수 있지만 MAC 주소는 절대적이다. 은행들은 컴퓨터에 설치 된 activeX에 악성코드를 심어 고객의 MAC 주소를 수집해 갔다. (악성코드란 사용자에게 직접, 간접적으로 해를 끼치는 모든 프로그램이라고 본인은 생각하고 있다.) 윤리적으로 문제가 있는 이런 금융기업들이 배포하고 있는 보안프로그램을 고객들에게 강요하고 있는 것이다. 이제 이렇게 위험천만한 activeX를 폐기한다고 정부가 공식 발표했다. 그런데 좋아할 일일까?

activeX 대신 exe, 도둑 막겠다고 창문 걸어 잠그고 대문 열어두는 꼴이다.

activeX는 구동 환경이 제한적이다. 윈도우에서 작동하는 IE(인터넷 익스플로러)에서만 작동한다. 또 activeX는 윈도우 자원에 직접 접근이 어렵다. 윈도우에서 권한을 주지 않기 때문이다. 그런데도 해커들은 activeX를 피싱 사기에 악용하고 있다. 실행 조건이 까다로운 activeX도 해커들의 의도에 따라 얼마든지 악용되고 있다. 그것 때문에 activeX 폐기하자고 한 것인데 대안으로 나온 것이 exe 프로그램이다. exe는 윈도우 응용프로그램 파일의 확장자다. PC에서 우리가 설치하고 이용하는 게임, 포토샵, 문서 작성기, mp3p, 동영상 플레이어 등등 모두 exe 응용프로그램이다.

exe 실행 환경은 activeX처럼 제약이 없다. 윈도우에 설치 됐다면 언제든 실행이 가능하고 사용자 모르게 다른 일들을 하기도 한다. 예를들어 트래이 아이콘이 보이지 않는다면 사용자는 어떤 프로그램이 실행되고 있는지 아닌지 쉽게 알아 낼 수 없다. 많은 애드웨어(광고 프로그램)들이 그런 방식으로 실행되고 있는데 백신으로도 잡아내지 못하는 것들이 많다. 발표대로라면 3개의 보안프로그램을 은행들이 공통으로 사용하기 때문에 한 번만 설치하면 된다고 한다. 그런거라면 크게 문제 될 것이 없다. 사용자가 그런 프로그램들을 실행 시키지 않으면 되기 때문이다. 하지만 과연 그렇게 될까?

오픈마켓에서 물건을 구입 할 때 크롬이나 사파리, 오페라 등에서도 결제가 가능하다기에 시도를 했었다. 그런데 지금 정부에서 발표한 것처럼 별도의 exe 파일을 설치해야 가능하다. 그 프로그램이 없다면 카드결제가 불가능하다. exe 설치가 의무가 아니라고는 하지만 exe 프로그램이 설치 되지 않았다면 결제가 되지 않을 수 있다는 것이다. 국내 금융기업이라면 충분히 그런 꼼수를 부릴 가능성이 크다.

회사는 당신이 자주 이용하는 홈페이지를 알 수 있다.

자주 사용하는 동영상 플레이어가 있었다. 주로 영화를 볼 때 많이 사용하는데 한 번은 호기심이 생겼다. 이 프로그램은 착한 프로그램일까? 만약 이 프로그램이 내가 자주 재생하는 영상 정보를 수집해 간다면 거기에 맞춰 영상 서비스를 홍보하거나 사용자들의 성향을 데이터베이스화 해서 다른 곳에 판매도 가능하지 않을까 하는 의심이 들었다. 그래서 sniffer 검사를 한 적이 있다. 별다른 특이점은 없었지만 한 번 의심을 갖었더니 쉽게 사라지지 않는다. 그래서 지금은 그 프로그램 대신 다른 프로그램을 사용하고 있다.

exe 프로그램은 당신의 컴퓨터에서 무엇이든 할 수 있다. 개인정보를 수집 할 수도 있고 PC를 조작 할 수도 있다. 어떤 프로그램을 자주 실행하는지, 어떤 작업을 주로하는지, 키보드로 자주 입력하는 문자가 무엇인지, 자주 방문하는 사이트가 어디인지 모든 정보를 수집하고 빼돌릴 수 있다. activeX처럼 특정 조건에 구애받지 않기 때문이다. 만약 activeX대신 exe 설치가 일반화 된다면 최고의 보안은 인터넷 뱅킹을 하지 않거나 기업의 양심을 믿는 것 뿐이다. 그렇다 하더라도 해커들은 또 어떤 방식으로 사용자를 속여 PC에 exe를 설치하도록 유도 할지 모른다.

좀더 지켜봐야 알 수 있지만 activeX 대신 exe 설치를 강요하게 된다면 더 많은 금융사고들은 불 보듯 뻔한 일이다. 당분간은 PC에서의 금융거래나 쇼핑 대신 스마트폰이 더 안전 할 듯 하다. 세계적으로 IE와 크롬의 점유율이 30~40%로 서로 대등하다. 크롬의 점유율이 점점 높아지는 추세다. 국내에서도 애플 컴퓨터 사용자가 늘어가고 해외에서는 IBM 호환 기종과 애플 제품의 점유율이 대등하거나 애플이 더 높은 나라도 있다. 국내 뿐만 아니라 세계인 절반 정도는 국내 쇼핑몰을 이용 할 수 없는 건 마찬가지다. 인터넷 뱅킹, 쇼핑을 하기 위해 내 컴퓨터에 별도의 보안프로그램을 강제로 설치해야 한다는 건 시대를 역행하는 발상이다.