[디지털데일리 최민지기자] 박근혜 정부 이어 문재인 정부도 강조했던 액티브X 퇴출 정책이 여전히 ‘반쪽짜리’라는 지적이 제기되고 있다.

특히 전자상거래 등에 필요한 보안프로그램의 경우, 웹표준화의 미비로 이용자가 반드시 설치해야 하는 불편함은 계속되고 있다. 이는 아무것도 다운로드하지 않아도 서비스를 이용할 수 있는 논플러그인(Non-plugin)과는 거리가 멀다.

정부는 내년부터 2020년까지 공공분야의 모든 웹사이트에서 액티브X를 단계적으로 제거할 예정이다. 문제는 실행파일(EXE)이 일부 액티브X를 대체하는 방식이다.

문재인 정부는 당초 액티브X·실행파일 설치 등이 필요 없는 논플러그인 정책을 주창했지만, 막상 뚜껑을 열어보니 과거 정부와 크게 다르지 않은 방안을 내놓았다. 앞서 '천송이 코트' 논란을 계기로 정부는 2014년부터 액티브X를 퇴출하겠다고 밝혀왔다.

전자상거래 등을 이용할 때 각종 프로그램을 다운로드하고 액티브X를 반복 설치하는 불편함으로부터 벗어나자는 것이 처음의 목적이었다. 그러나 액티브X 제거는 실행파일 다운로드 방식으로 바뀌었고, 여전히 프로그램을 설치해야 하는 이용자 입장에서는 기존과 비교해 편의성을 느끼지 못하고 있다.

보안업계 관계자는 “이용자가 원했던 것은 아무것도 설치하지 않아도 편하게 서비스를 이용할 수 있는 환경”이라며 “액티브X를 실행파일 방식으로 바꾸면, 이용자가 다운로드해 설치하는 절차는 같기 때문에 똑같이 불편한 것은 마찬가지”라고 지적했다.

정부는 웹표준 기술만으로 사용할 수 없는 부분은 실행파일로 대체하고, 이용자 불편함을 줄이기 위해 실행파일 최소화를 꾀하겠다는 방침이다. 결국 논플러그인 정책을 내세웠지만, 현재 기술로는 완벽하게 구현할 수 없다는 주장이다.

특히 키보드보안·방화벽·백신 프로그램 등 현재 상용화된 보안프로그램들은 웹표준을 제공하지 않고 있기떄문에 실행파일로 대체할 수밖에 없다는 것이다.

KISA 관계자는 “전자문서 관련 기능들을 포함해 10종의 기술은 웹표준 기술로 가능해졌지만, 나머지 10종 중 8개 기능은 실행파일을 사용할 수밖에 없고, 나머지는 연내 기술 개발에 들어갈 예정”이라며 “대표적으로 보안프로그램은 브라우저 밖에서 일어나는 서비스로, 웹표준을 제공하지 않아 실행파일을 이용해야 한다”고 설명했다.

또 “이용자 불편을 최소화하지 위해 방화벽, 암호화, 백신 프로그램 등을 한 번에 세트로 다운로드 하도록 하고, 설치가 됐다면 더 이상 다운로드하지 않도록 조치하고 있다”며 “안전성을 갖춘 기술이 나오기 전까지는 실행파일과 병행해서 사용할 수밖에 없다”고 말을 보탰다.

그러나 액티브X를 EXE로 대체해 사용하는 기술방식은 근본적 해결책은 아니라는 목소리도 높아지고 있다. 보안사고에 대한 책임소지가 분명하지 않은 상황에서 설치파일이라는 차악을 선택했다는 지적이다.

보안업계 관계자는 “액티브X의 파일구조를 EXE로 바꾼 것이라 큰 변화로 보기 어려우며, 근본적 해결책은 아니다”며 “보안을 고려한다면 실행파일까지 모두 걷어내기 조심스러울 수 있고, 사고에 대한 책임소지가 분명하지 않기 때문에 정책과 보안사업 부분을 함께 검토해 접근해야 한다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr