- 현재 카드사에 적용된 범용프로그램(exe)이 NPAPI의 대안으로 꼽혀

[디지털데일리 이민형기자] 지난 2010년부터 시중은행들이 제공해왔던 오픈뱅킹 서비스에 위기가 닥쳤다.

구글이 최신 크롬 웹브라우저(42버전)부터 넷츠케이프 플러그인 애플리케이션 프로그래밍 인터페이스(NPAPI)를 차단했기 때문이다. 오픈뱅킹에 사용되는 각종 보안프로그램들은 NPAPI로 구현돼 있어, 이 기능이 차단되면 웹브라우저에서 보안기능이 동작하지 않아 전자금융서비스 사용이 불가능해진다.

16일 관련업계에 따르면 크롬 최신 버전에서 오픈뱅킹 등 플러그인 기반 서비스 사용이 힘들어졌다. 이는 구글이 오는 9월 NPAPI 전면 차단에 앞서 선택적 차단이란 조치를 취했기 때문이다. 구글은 오는 9월부터 NPAPI의 사용을 원천 차단하겠다고 2012년에 밝힌바 있다.

오픈뱅킹시 사용되는 개인방화벽, 백신, 가상키패드 등 보안프로그램들을 설치하고 구동하기 위해서는 반드시 NPAPI가 동작해야하기 때문이다. 따라서 NPAPI가 차단되면 현행 오픈뱅킹 시스템의 변화도 불가피하다.

현재 금융회사들은 인터넷익스플로러(IE)를 제외한 웹브라우저에서 보안솔루션을 설치·구동을 위해 플러그인을 사용하고 있다. 개인방화벽, 백신과 같은 보안솔루션은 순수 웹으로 구현될 수 없기 때문에 반드시 실행파일의 형태로 로컬(사용자PC)에 설치돼야 한다.

금융회사와 보안업계에서는 전자금융서비스 사용자 불편을 최소화하기 위해 통합설치 솔루션을 제공하고 있으나 이 솔루션 역시 NPAPI를 기반으로 동작한다.

현재 상황에서 NPAPI가 차단되면 우선 인터넷뱅킹에 로그인조차 할 수 없다. 공인인증모듈 자체가 호출되지 않기 때문이다. 실제 크롬 42버전에서 통합 보안프로그램 설치프로그램인 베라포트(Veraport)를 설치해도 정상적으로 동작하지 않음을 확인했다.

당장 9월부터 구글 크롬에서 NPAPI 사용이 중단되면 인터넷뱅킹이나 온라인게임 시장이 타격을 입을 가능성이 높다. 이에 대응하기 위해 일부 업체들은 NPAPI대신 NaCl(내이티브 클라이언트) 등으로 앱을 개발하고 있으나 아직까지 미비한 실정이다.

◆아직까지 대안은 범용프로그램(exe)=NPAPI 차단에 대한 대안은 있다. 하지만 그 대안이 현재까지는 범용프로그램(exe)뿐이란 점은 아쉽다.

위즈베라, 소프트포럼, 예티소프트, 이니텍 등 금융보안프로그램 개발사들은 카드사에 공급한 exe형태의 보안프로그램을 제1금융권에 제시하고 있다.

웹브라우저에서 플러그인을 사용할 수 없으니 사용자PC(로컬)에 보안프로그램을 설치해 상주시켜두고, 특정 웹사이트(인터넷뱅킹 등)에 접근하면 해당 보안프로그램이 호출되는 형태다.

이는 개인용 백신처럼 프로세스에 상주해 있다가 인터넷뱅킹을 사용할 때 실행이 되는 방식이다.

과거부터 많이 사용됐고, 지금 상황에서는 가장 이상적이지만 시스템 자원을 갉아먹고 기존에 설치된 프로그램간의 호환성을 100% 맞추기 힘들다는 단점이 지적되고 있다. 실제 최근 카드사의 결제시스템 변경으로 인한 사용자들의 부정적인 피드백이 이를 여실히 증명한다.

일부 업체들은 NaCl로 보안프로그램 등을 구현할 방법을 연구하고 있으나 공인인증서를 호출할 방법이 마땅치 않아 어려움을 겪는 것으로 알려졌다.

보안업계 관계자는 “현행 시스템을 유지한채 NPAPI 차단에 대응하기 위해서는 exe 형태를 벗어나기는 어렵다”고 전했다.

한편 크롬에서 NPAPI를 강제로 활성화시키는 방법은 크롬 주소창에 ‘chrome://flags/#enable-npapi'를 입력한 뒤 ‘사용’을 클릭하면 된다.

<이민형 기자>kiku@ddaily.co.kr