티스토리 뷰

WEB

한국 ActiveX의 원초적 문제

highca 2009. 7. 18. 04:07
IE(인터넷 익스플로러) 점유율이 유독 한국에서만 90% 이상이다. 외국에서는 IE 점유율이 하루가 멀다하고 낮아지는 뉴스가 심심찮게 보이는데, 이건 그야말로 외국만의 얘기다. 내가 운영하는 하루 순방문자 4만명 정도가 되는 사이트의 자체 통계를 보면 IE 점유율이 98%나 된다. 아마 다른 국내 사이트들도 크게 다르지 않을 것이라 생각한다.

그런데 왜 IE 점유율이 높을까? 양키들은 IE 점유율이 60%대로 떨어지기도 한다는데, 왜 한국에서는 그리 높을까? 그것은 정부가 주도하는 MS 강매질과 그에 편승하는 쓰레기 인터넷 기업들 덕분이다. 한국에서 IE를 써야만 하는, 쓸 수 밖에 없는 이유는 크게 다음과 같다.

- 인터넷 뱅킹
- 쇼핑몰 결제
- 정부 관련 사이트 이용
- 게임 사이트 이용
- 웹하드/다운로드 사이트 이용

위에서 나열한 것들은 IE가 아니면 한국에서 제대로 되는 사이트가 별로 없다. 그래서 할 수 없이 소비자들은 IE를 선택해야만 한다. 결코 IE가 좋아서 선택한 것이 아니다. 윈도에 기본으로 깔려있는데다가 IE가 아니면 할 수 없는 것들이 많기 때문에 그런 것이다.

이러한 현실을 놓고 "어차피 국산 브라우저도 거의 없고, 윈도 점유율이 압도적인데다가 윈도에 기본으로 깔려있는 IE를 쓰면 별 불편함도 없는데 뭐가 문제냐"는 저능아스러운 생각을 가진 사람들도 있을 것이라 생각해서 뭐가 문제인지 알려주고자 이 글을 쓴다.


한국인들은 액티브X 설치를 거리낌 없이 하게 됐다.

포맷을 하고 인터넷에 접속하면 플레시 플레이어 이외의 액티브X는 설치하지 않았지만, 금새 설치할 수 밖에 없다.

필요한 유틸리티를 받으러 뇌이버 자료실(심파일)을 이용하고자 하면 다운로드 컨트롤러라는 액티브X를 설치한다.
평소 즐겨하던 게임 사이트에 방문해 게임을 하려고 하면 또 액티브X를 설치하라고 한다.
은행 사이트에 접속하면 무슨 보안 프로그램부터 공인인증서 모듈 등 몇 가지 액티브X를 설치하라고 한다.
싸이월드나 다음 카페 등에 접속해보니 BGM 재생을 위해 액티브X를 설치하라고 한다.
세금 처리를 위해 국세청 홈텍스에 접속하니 또 엑티브X를 설치하라고 한다.
다른 은행에 접속하니 엑티브X를 설치하라고 한다.
다른 게임 사이트에 접속하니 또 엑티브X를 설치하라고 한다.
예비군 연기 신청을 하러 국방부 홈페이지에 접속했더니 엑티브X를 설치하라고 한다.
음악사이트에 접속하니, 재생을 위해 액티브X를 설치하라고 한다.

포맷 후 적어도 며칠 안에 이뤄지는 일상적인 액티브X 설치 예시이다. 이처럼 액티브X가 지랄맞게 남발되다보니 포맷 후 약 1달이면 대략 수십개의 액티브X가 내 PC에 설치된다. 싫어도 대안이 없다. 설치를 안 하면 해당 서비스를 이용할 수 없으니까.

상황이 이렇다보니 일반 사용자들은 액티브X 설치창이 뜨면 내용도 확인하지 않고(사실 볼것도 별로 없다) 반사적으로 "설치" 버튼을 누르기 일쑤다. 정부부터 시작해 일반 홈페이지 등에서 액티브X를 남발하다보니 사용자들은 당연스럽게 설치해야되는 것으로 받아들였고, 액티브X를 어디서 만들었던 그딴건 신경쓰지 않고 무작정 설치하는 단계에 이르렀다.

이렇게 무심코 설치한 액티브X가 나중에 문제가 될 수 있다는 사실은 인터넷 이용자들 대부분이 모른다. 액티브X는 단순한 브라우저 플러그인이 아닌 Win32 기반의 어플리케이션이다. 즉, 윈도용 일반 프로그램과 다를바가 없다. 어떤 개발자가 액티브X를 악의적인 용도로 제작하여 이를 설치하게끔 유도하고, 설치가 되면 해당 PC에 있는 정보를 빼돌리거나 얼마전 일어난 7.7 DDOS 사태처럼 좀비PC로 악용할 수가 있다. 마음만 먹으면 말이다.

아무리 공인인증서니 키보드 해킹방지니 뭐니 해서 보안을 위한 액티브X라 할지라도 이렇게 남발하니 멍청한 한국인들이 "액티브X 설치는 당연한 것"으로 받아들여진다는 것에 진정한 문제가 있는 것이다.


이것이 진정한 보안인가?

이와 같은 이유에서 은행이나 정부 사이트, 게임 등에서 많이 쓰는 키보드 해킹 방지. 피싱 사이트 차단, XXX 백신 등은 보안을 위한 것이라고 말할 자격이 없다. A라는 은행에서 B라는 보안 프로그램을 설치했는데, C라는 은행에 접속해보니 B와 같은 보안 프로그램을 또 설치하고 있다. 이는 이용자 PC의 자원을 강탈하는 행위이며, 브라우저의 다양성을 존중하지 못하는 행태다. 악성코드나 바이러스는 이용자의 PC에 악영향을 끼치는 것인데, 이처럼 중복해서 설치하는 보안 프로그램 또한 PC 자원을 갉아먹는 악성코드나 바이러스와 다를게 없다.

외국에서는 그런 보안 프로그램을 배포할 때 액티브X 형태가 아닌 다운로드/수동 설치 형태로 배포한다. 필요하면 받아 쓰라는 얘기다. 액티브X 설치를 위해 IE의 보안옵션을 낮출 필요도 없을 뿐더러, 액티브X 설치 과정에서 같은 페이지를 몇 번이나 반복해서 드나드는 삽질도 방지할 수 있다.


액티브X를 사용하는 관습부터 바꿔야 한다.

액티브X는 이처럼 치명적인 보안 결함을 사용자에게 유도하는 것도 문제지만, 파이어폭스나 크롬, 사파리, 오페라 등 비IE 브라우저에서 이용할 수 없는 제한이 있기에 액티브X 사용은 최소화 해야 한다.

이것은 인터넷 소비자들만 마음을 먹는다고 해결되는 것이 아니다. 정부와 기업, 관련 개발자들의 적극적인 노력이 필요하다. 액티브X 없이도 가능한 대안들이 얼마든지 있다. 내가 일일이 열거하지 않아도 모든 대안들이 마련되어 있으니 정책적으로 액티브X 근절을 위해 노력할 필요가 있다.
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
글 보관함