S/W 개발자들이 사는 이야기 - 식스맨++

그 글을 읽고 몇 가지 생각이 나는 것들이 있어 블로그에 올려 볼까 합니다.

이 글은 누가 맞고 틀리다는 것을 말하고자 함이 아니고, 몇 가지 오해들에 대하여 화두를 제시해 보고자 쓰는 것임을 먼저 밝혀 둡니다.

왜 금융사이트의 보안 프로그램을 ActiveX로 개발하게 되었을까 먼저 생각해 보았습니다. 아마도 인터넷을 통한 금융거래 시 노출되는 개인 정보에 대하여 개인에게 책임을 묻는 외국과 달리, 금융기관에 책임을 묻고 있는 우리나라의 특수성이 큰 역할을 하지 않았을까? 생각합니다.

보안프로그램의 설치가 법(전자금융거래법)으로 규정되어 있는 우리나라의 특수성으로 거의 모든 금융권 사이트는 보안 프로그램을 적용하게 되었고, 인터넷 뱅킹을 이용하는 불특정 다수의 사용자에게 의무적인 설치가 요구되는 상황이 발생하였습니다.

설치가 요구되는 대표적인 프로그램은 키보드보안과 방화벽 프로그램으로 순수 웹 기술로는 구현이 힘든 기능을 가진 프로그램들입니다. 이러한 프로그램을 별도의 모듈로 만들어 강제 설치를 하는 솔루션이 필요했고, 이러한 대표적인 솔루션이 바로 ActiveX 였던 것입니다. 인스톨쉴드(InstallShield) 등과 같은 설치 전문 프로그램에서도 웹에서 다운로드를 받아 프로그램을 설치해 주는 기능을 제공하고 있지만, 프로그램의 설치여부 판단 및 자동실행, 웹 페이지와의 긴밀한 연동을 위해서는 ActiveX 만한 솔루션을 찾기 힘들었을 것입니다.

실행 파일이라고 부르는 EXE이나 DLL 프로그램과 다르지 않은 ActiveX의 강력한 로컬 시스템의 접근성으로 키보드보안, 방화벽 등과 같이 시스템에 직접적인 접근이 필요한 프로그램의 개발 및 제공이 가능했던 것입니다.

하지만, 이러한 ActiveX의 기능 남용으로 타브라우저 및 OS에 대한 접근성 문제와 보안에 대한 새로운 문제가 발생하게 되었으며, ActiveX를 대신할 새로운 솔루션에 대한 요구가 생겨나기 시작하였습니다.

그 방법의 하나로 제시된 방법이 사용자의 선택에 의한 다운로드 설치라고 합니다. 보안 프로그램을 설치파일로 웹 페이지에 제공하여 설치를 원하는 사용자가 직접 다운로드 받아 설치를 할 수 있도록 제공하자는 것입니다.

그럼 ActiveX 남용으로 발생한 호환성 문제와 보안 문제가 해결이 될까요?

웹 페이지에 제공되는 보안 프로그램이 리눅스나 메킨토시와 같은 OS 환경을 지원하지 못한다면 타 OS 지원은 기대하기 힘들 것이고, 국내 금융거래 시에는 키보드 보안모듈과 공인 인증서 프로그램의 연동이 필요한 현실적인 문제로 설치파일로 배포되는 보안 프로그램도 각 브라우저 마다 플러그인을 개발하여야 한다는 문제가 발생합니다. 따라서 파이어폭스나 구글크롬, 사파리, 오페라 등의 브라우저에 대한 별도의 지원 모듈이 개발되지 않는다면 브라우저 호환성에 대한 부분도 기대하기 힘들 것입니다.

또한 의무설치 방식을 적용하고 있는 국내 금융사이트에서는 보안 프로그램 설치 없이는 금융 거래를 위한 페이지에 접근 할 수 없기 때문에, 다운로드 설치 방식이 사용자에게 어떤 편의를 줄 수 있는지에 대한 의문도 있습니다. ActiveX 설치창이 뜨지 않고 프로그램 설치 안내 페이지가 뜨는 것 이외에는 달라지는 점이 별로 없을 듯합니다.

그럼 무엇이 해결책일까요? 저는 보안 프로그램의 강제 적용 완화가 그 방법이라 생각해 보았습니다. 금융사이트는 순수 웹 기술로 구현 가능한 최대한의 보안 기능을 적용하여 웹 접근성을 강화 시키며, 각 OS 및 브라우저 별로 제공되는 별도의 보안 프로그램을 선택적으로 사용자가 설치하여 개인정보 유출을 막는 방법입니다. 금융업체가 보안 프로그램 구입하여 사용자에게 무료로 배포한다면 더욱 좋은 방법이 되겠지요...

그럼 리눅스나 매킨토시 같은 OS의 보안 프로그램은 누가 만들고 배포하느냐? 하고 반문하시는 분들이 계실 겁니다. 그 방법은 해당 OS에 맞는 보안 프로그램을 개발할 수 있는 환경이 조성되는 수밖에 없지만 현실적으로 어려운 부분이 많은 것이 사실입니다.

ActiveX 설치 반대의 내면에는 OS 호환성 및 브라우저 접근성에 대한 요구가 내포되어 있다고 생각 합니다. 그렇다고 모든 OS와 브라우저에 대한 프로그램 개발을 업체에게만 요구하는 것도 무리가 있는 것이 사실입니다.

온라인으로 이루어지고 있는 금융거래의 모든 보안 취약점을 사이트에 설치되는 보안모듈 만으로는 막아내기 힘들며, 뚫리지 않는 방패는 없습니다. 금융거래 시 일어나는 보안문제에 대하여 이제 개인의 책임과 함께 그에 상응하는 비용 지불이 필요한 시기가 되었다고 생각합니다.

모든 OS와 브라우저에서의 자유로운 금융거래를 원한다면, 금융업체나 보안업체에만 그 짐을 지게 해서는 해결책이 나올 수 없다고 생각 됩니다. 개인의 부주의에 대한 책임도 나누어지며, 호환성 높은 보안 프로그램 개발 환경 조성을 위한 정당한 비용 지불 문제가 해결 된다면, ActiveX 보안 모듈이 웹 페이지에 도배되는 일은 발생되지 않을 것이라는 것이 개인적인 생각입니다.