기본분류

[취재수첩] 외양간 고치려면 제대로

이민형 기자
[디지털데일리 이민형기자] 지난 3일 청와대를 비롯한 주요 웹사이트 40곳을 대상으로 발생한 분산서비스거부(DDoS, 디도스) 공격이 있었다.

이번 DDoS 공격에 사용된 악성코드들은 주로 P2P(Peer to Peer, 웹하드 등)사이트들이나 액티브엑스(Active-X)를 통해 유포된 것으로 알려졌다.

인터넷익스플로러(IE)의존도가 높은 우리나라의 경우 액티브엑스 사용빈도 역시 매우 높다. 은행사이트를 비롯해 대부분의 서비스들이 액티브엑스를 기반으로 구동되기 때문이다.

액티브엑스는 마이크로소프트(MS)의 IE에서 구동되는 추가 소프트웨어(플러그인, RIA)로 특정 기능을 사용하기 위해 설치된다. 개발이 쉽고, 접근성도 높다.

그러나 IE를 쓰는 대부분의 사용자들은 ‘악성코드 감염’에 대한 위험의식 없이 액티브엑스를 설치한다. 앞서 설명한 ‘개발이 쉽고, 접근성이 높다’라는 점을 해커들이 이용하기도 한다. 액티브엑스를 설치하는 순간 악성코드에 감염돼 좀비PC가 되도록 말이다.

이를 의식한 탓일까. 8일 방송통신위원회는 이달 중 액티브엑스를 대체할 수단을 마련할 것이라고 밝혔다. 그러나 방통위는 액티브엑스를 ‘퇴출’하는 것이 아닌 ‘대체’할만한 수단을 마련할 것이라고 했다.

그 대체수단이 국내 독자 기술을 개발한다는 의미라면 액티브엑스 때보다 문제가 더 심각해질 수 있다.

특정 플러그인 없이 웹브라우저에서 기능을 사용할 수 있도록 만드는 것이 우선이지, 액티브엑스 대신 다른 플러그인을 설치해서 해결하려는 것은 조삼모사와 다를 바가 없다.

이를 해결할 수 있는 방법은 웹표준을 적극 도입하는 것이다. HTML5와 같은 웹표준 마크업언어를 사용해 사이트를 구축하고, ‘https’ 프로토콜을 활용한다면 굳이 액티브엑스와 같은 플러그인을 쓸 필요가 없다.

이베이(eBay), 아마존(Amazon), 페이팔(Paypal)과 같은 해외 커머스 사이트들이 플러그인 설치 없이 안전하게 서비스하는 것을 보면 기술적으로 불가능한 것이 아님을 알 수 있다.

즉 방통위에서는 ‘액티브엑스를 대체할 플러그인’을 찾기보다는 ‘웹표준 가이드라인’을 확대 적용할 의지를 보여주는 것이 먼저라고 보인다.

소잃고 외양간을 고치려면 정말 튼튼하게 고쳐야하지 않을까?

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널