액티브엑스 없는 연말정산 정말 가능할까?

  • 기자명 지윤성 기자
  • 기사승인 2018.01.10 22:11
이 기사를 공유합니다

국세청 홈페이지 홈택스(hometax)에서 오는 15일부터 연말정산 간소화 서비스를 시작한다. 문재인 정부는 지난해 12월에 2018년 연말정산서비스부터 액티브엑스를 제거하겠다고 발표한 바 있다. 국세청 홈택스의 연말정산 간소화 서비스에 관심이 쏠리는 이유 중 하나다. 그렇다면 정말 액티브엑스가 완전히 제거된, 웹표준과 웹접근성이 우수한 정부 공공시스템을 볼 수 있게 될까? 정부의 액티브엑스 제거 계획의 허와 실에 대해 뉴스톱이 팩트체크했다. 

 

노플러그인과 액티브엑스 퇴출은 문재인 정부 공약

지난해 3월 더불어민주당 문재인 대선 후보는 "정부가 관리하는 모든 사이트에서 액티브엑스를 없앨 것"이라고 밝혔다. 새로 제작하는 정부 공공사이트는 예외없이 노플러그인(No-plugin)을 적용하겠다는 방침이었다. 이어 7월 국정기획자문위원회는 2020년까지 공공분야 웹사이트에서 액티브엑스를 모두 제거하겠다고 밝혔다. 문 대통령은 12월에 공공웹사이트 이용시 액티브엑스 뿐만 아니라 별도 프로그램 설치가 필요없는 노플러그인을 정책 목표로 하고 공인인증서 법제도 개선, 행정절차 변경을 2018년내에 추진하라고 지시했다.

정부의 방침이 확실해지자 공무원들이 움직이기 시작했다. 국세청은 지난해 7~8월 조달청의 '나라장터'에 공고를 통해 “2017년 홈택스 비표준기술(Active-X) 교체 사업을 발주했다. 국정기획자문위원회 발표 뒤 해당 긴급공고가 나온 기간을 봐서는 충분한 현황 분석이나 로드맵없이 사업이 급조된 것을 추정할 수 있었다. 발표대로 국민들은 이번 연말정산부터 액티브엑스 없는 정부 사이트를 경험할 수 있게 될까? 긴급공고를 통해 나온 사업내용으로 실현 가능성을 추정해 보자.

홈택스 비표준기술(액티브엑스) 교체사업은 총 관련 사업비 규모가 20억원이 넘는다. 긴급공고 사업중에서도 규모가 큰 축에 속하는 사업이다.

 

액티브엑스 제거하면서 액티브엑스와의 호환성 요구한 국세청

공고상의 문서를 보면 이 사업의 추진배경은 국세청 홈택스에서 마이크로소프트도 더이상 사용하지 않는 비표준 웹기술인 액티브엑스를 제거하고 웹표준을 따르겠다는 것이다. 특히 이용자가 많고 다양한 PC 환경에서 접속하여 웹 호환성 확보가 시급한 연말정산 분야를 우선적으로 교체하는 사업이라고 명시하고 있다. 

아래 표를 보면 정부공공시스템 (홈택스, 나라장터, 민원24 등)에 접속할 때 설치해야 하는 액티브엑스의 숫자를 알 수 있다. 인증, 보안, 문서작성 등을 위해 최대 17개의 액티브엑스를 설치해야 원활하게 정부공공사이트를 이용할 수 있는 것이 현실이다. 국민들의 액티브엑스같은 비표준 기술을 사용함으로서 치르게 되는 비용과 보안상 취약점을 감안할 때 분명 액티브엑스 폐지는 시급한 과제임이 분명하다. 

그런데 아래 공고문을 자세히 살펴보면, 주목할만한 내용이 포함되어 있음을 알 수 있다. 
아래 표를 보면 국세청 홈택스 이용을 위해 교체해야하는 액티브엑스 숫자가 총 12개다. 그런데 국세청은 "웹표준 기술로 대체가 불가능할 경우 '실행파일' 적용"이라는 조항을 넣었다. 응용 프로그램 수정을 최소화할 수 있도록 기존과 유사한 제품 도입이라는 단서를 달아놨다. 즉, 액티브엑스는 없애지만 대신 실행파일 (exe파일)을 설치하게 만든 것이다. 국민들 입장에서는 액티브엑스나 실행파일이나 정부사이트에서 다운로드 받아 설치하는 것은 마찬가지다.

이미 국정기획자문위원회 발표때부터 이런 우려는 나왔다. 대체기술로 실행파일을 쓰겠다는 정부의 방향성은 결국 동일한 실수를 반복할 가능성이 높기 때문이다. 사실상 무늬만 퇴출이라는 지적도 나왔다. 비슷한 사례는 과거에도 있었다.  박근혜 대통령은 드라마 <별에서 온 그대>가 외국에서 크게 흥행했지만 공인인증서와 액티브엑스 때문에 외국인이 '천송이코트'를 국내 쇼핑몰에서 구입할 수 없게 되자 시정을 지시한 바 있다. 그러자 금융권에서는 액티브엑스 대신 exe 파일을 다운로드하게 만들었다. 한마디로 조삼모사였다.  

이런 내용은 공고문 곳곳에서 확인 할 수 있다. 국세청은 “홈택스에서 사용중인 각종 소프트웨어와 완벽히 호환되어야 한다”고 명시하고 있는데 이는 사실상 근본적인 서비스 설계변경이나 서버단 설계 변경과 같이 시간과 비용이 더 많이 들어 가는 부분은 그대로 두고 사용자(클라이언트) 부분에서만 일단 액티브엑스 사용이 보이지 않도록  사업을 진행하겠다는 의미다. 웹표준 기술인 HTML5는 주로 서버단에서 대부분 업무 프로세스가 운용되는 것을 감안한다면 반쪽짜리 대응이라고 밖에 볼 수 없다. 

이는 예산 낭비로 이어질 수밖에 없다. 당장 가시적인 성과를 낸 것처럼 보이기 위해 포장은 했지만, 이후 전면적인 액티브엑스 퇴출을 위한 사업 진행에는 다시 세금을 투입해 사업자를 선정해야 한다. 정부의 액티브엑스 퇴출 의지가 확고하다면 국세청의 이런 긴급사업은 예산낭비가 될 것이고, 이런 방식으로 모든 정부공공사이트에서 액티브엑스 퇴출이 이뤄진다면 '눈가리고 아웅'식의 땜질 처방이 될 수밖에 없다. 특히 대체기술 또는 자체개발 S/W를 적용해야 한다라는 문구는 결국 실행파일인 'exe'는 불가피하게 허용할 수 있다라는 구멍을 미리 만들어 놓은 것이다.

아래 요구 사항에서는 아예 액티브엑스 플러그인 통합 설치를 지원해야 한다고도 쓰여 있다.
본 긴급공고의 추진배경인 액티브엑스 비표준 기술 교체와는 전혀 상반된 내용이다. 액티브엑스를 페지한다는 취지로 급하게 시작한 사업이 액티브엑스 플러그인 통합설치를 지원해야 한다는 요구를 하고 있는 것이다.

 

액티브엑스와 실행파일은 무엇이 다른가

비표준기술(Active-X) 교체 사업과 유사한 정부 발주 사업들의 공고 내용들을 보면 노플러그, Non-ActiveX같은 용어들이 마치 웹표준기술인양 쓰여져 있는 경우가 많다. 그리고 마이크로소프트 운영체제에서만 돌아가는 'exe'를 노플러그인 기술인 것처럼 묘사하고 있는데 이는 정말 무식하고 무책임한 말이다.

액티브엑스는 OLE(Object Linking and Embedding)의 확장으로, 쉽게 설명하면 하나의 응용프로그램이 다른 응용프로그램 안에서 연결되어 사용할 수 있도록 해주는 마이크로소프트의 기술이다. 실행파일을 인터넷익스플로러 브라우저 안에서 실행될 수 있게 해주는 규약에 지나지 않는다.

MS워드안에서 엑셀이 실행되는 것과 같은 기술이 OLE로서 인터넷익스플로러 안에서 다른 실행프로그램이 구동되도록 하는 기술이 OLE를 기반으로 하는 액티브엑스이다.

MS워드에서 엑셀이 실행된다. 한 프로그램이 다른 프로그램에서 구동되도록 돕는 것이 OLE의 핵심이고 그 대표적인 것이 인터넷 익스플로러에서는 액티브엑스다. 구조적으로는 실행파일('exe')과 ActiveX('ocx')는 확장자만 다를 뿐 동일한 것이다. 과거 개발자 입장에서는 하나의 개발도구와 하나의 소스로 PC와 웹을 동시에 지원할 수 있어 국내에서 많이 사용되었다. 하지만 무분별한 액티브엑스 설치로 인해 그 안에 숨겨진 악성코드가 확산되자 마이크로소프트도 액티브엑스를 버렸다. 이제는 제조사도 지원하지 않는 구닥다리 비표준 기술이다. 

이런 실행파일의 문제는 사용자 PC에 설치되어야 한다는 점이다. 보안 취약점을 유발하기 때문이다.  특히 샌드박스(Sandbox, 외부로부터  자신의 시스템으로 들어온 특정 프로그램이 보호된 영역에서만 동작하도록 하여 자신의 시스템이 조작되는 것을 막는 보안 형태)라는 개념이 없어 보안에 취약하다는 점은 액티브엑스나 'exe' 실행파일이나 동일하다. 과거에 일부 액티브엑스를 설치하면 수많은 광고들이 브라우저를 가득 채우는 등 부작용이 발생한 사례가 많다.

많은 사람들이 피해를 보고 있는, 위와 같은 액티브엑스를 설치하면 동시에 수많은 광고바(AD. BAR)들이 브라우저 UI를 가득채운 경험들이 있을 것이다.

한국 정부의 대국민 웹서비스 철학은 무엇인가

미국의 아마존, 이베이, 중국의 알리바바에서 직구를 해보면 알겠지만 카드결제나 거래대금 금융거래를 위해서 어떤 액티브엑스나 실행파일, 모듈을 설치하는 것을 본 적이 없을 것이다.
페이팔의 경우 15년전부터 빅데이터 분석과 딥러닝을 이용해 사용자단에 추가적인 액티브엑스나 실행파일 설치요구 없이 서버단에서 카드 부정사용감지(Fraud Detection)를 적발하고 있다. 

예를 들면 한 군데의 편의점에서 소액결제가 단시간내에 여러 번 승인되었는데 이것이 훔친 카드의 부정사용으로 밝혀졌다면 이러한 데이터를 기반으로 다음에는 동일한 경우가 발생시 수초 안에 승인 정지가 이루어진다. 미국의 대부분 금융사들은 누적된 데이터를 이용해 사용기반 실시간 방지시스템을 전세계적으로 구축하였다고 한다.

서비스에 대한 모든 책임은 서비스 공급자가 지는 것이 원칙이다. 자주 나오는 말이지만 한국에서는 잘 지켜지지 않는다. 액티브엑스나 공인인증서는 사업자가 보안 책임을 사용자에게 떠넘기는 것이다. 국내 금융권이 보안이라는 명목하에 수많은 액티브엑스와 공인인증 모듈을 배포하는 행동은 책임회피를 위한 것이다. 이를 대체할 기술도 있다. 결국은 해당 분야에 대한 투자의 문제다. 
공인인증서의 경우도 우리나라만 국제표준에서 벗어난, 액티브엑스를 사용하는 독자적인 방식을 구축하고 있다. 

PAYPAL CTO Sri Shivananda

페이팔 최고기술책임자 (CTO) 스리 시바난다는 다음과 같이 말했다. “보안 문제가 보안 소프트웨어 하나로 해결되지 않는다. 보안은 내부 통제, 규정, 대응방식, 보안의식 등 비기술적인 요소들에 대한 규정과 규격화 등 시스템 체계화 역시 중요하다. 서비스 설계 시점부터 이를 고려한 설계와 개발이 이루어져야 하고 또한 장기간의 숙련 기간이 필요하다”

노무현 정부 이후에 확산되고 정착한 정부 시스템과 공공 온라인 서비스들의 역사와 규모만 봐도 사실 단 몇개월의 고민이나 투자로 액티브엑스를  웹표준기술로 쉽게 바꿀 수가 없다. 단순히 비표준기술인 액티브엑스를 제거한다는 생각으로는 근원적인 문제를 해결할 수 없다. 우선 왜 정부공공기관이 액티브엑스를 없애야 하는지 서비스 철학부터 점검해야 한다. 철학이 바뀌지 않으면 근본적인 해결책을 찾을 수 없다. 

정부는 2020년까지 액티브엑스를 퇴출하겠다고 밝혔다. 중요한 것은 단순히 액티브엑스를 사용하지 않는 것이 아니다. 이용자가 또 다른 실행파일을 설치해야하는 일이 반복된다면, 이전 정부와 다를 게 없을 것이다. 서비스 제공자가 보안을 책임진다는 자세가 중요하다. 
이번 국세청 홈택스 연말정산서비스의 이용자 편의 수준에 관심이 가는 이유이면서 작년 긴급공고를 통하여 예산이 집행된 사업의 수준을 통해 문재인 정부 임기내에 정부 공공 시스템안에서 액티브엑스를 완전히 배제할 수 있는지에 대한 시금석이 될 것으로 판단된다.

이 기사를 공유합니다
오늘의 이슈
모바일버전