대한민국의 액티브X 사용 실태

최근 수정 시각:


1. 개요2. 실태3. ActiveX 퇴출 시행 - 현실은 시궁창
3.1. 사용자에게 불편을 초래하는 제품들과 기업 목록
4. 결론5. 비리 의혹과 괴담6. ActiveX 대체 시도?7. 기타

1. 개요[편집]

액티브X, 아주 액티브하게 X(엑스) 쳐주시면 감사하겠습니다.#[1]


- 전경련 부회장 이승철

마음이 급하죠. 잠이 오지 않을 지경입니다. VIP께 진행사항을 보고 해야 하거든요. ‘천송이코트’부터 기자간담회까지 VIP가 수차례 말씀하셨거든요. 아마존 사이트와 국내 쇼핑몰 사이트를 접속해 비교하는 시연을 해야 할지 모르죠. 그러니까 지금 이렇게 서두르고 있습니다. 사실 크게 달라지는 건 없어요. 겉에서 보기엔 큰 변화가 있는 것 같겠지만.#


- 2014년 말부터 시작된 정부의 액티브 X 퇴출운동에 대한 모 미래창조과학부 관계자의 솔직한 소감


대한민국에서 액티브 X를 얼마나 애용하는지를 적은 문서.

2. 실태[편집]

ActiveX란 놈이 왜 대한민국에서 널리 퍼지게 되었는지에 대해서 알고 싶다면 일단 SEED 문서를 참고하기 바란다. 덤으로 공인인증서 문서에서도 액티브X가 대한민국에서 널리 퍼지게 된 사정에 대한 이야기가 적혀있으니 이 쪽도 같이 읽어두면 좋다. 당시엔 쓸 수밖에 없었다 할 수 있으나, 그렇다고 그것이 지금엔 쓰지 말아야 함에도 불구하고 써야 하는 이유가 되진 못한다.

한국에서는 인터넷뱅킹이나 쇼핑몰 결제시스템은 물론 토렌트, 파일공유 사이트에서도 많이 사용된다.

그리고 결국 2015년 4월 1일, 미래창조과학부2017년까지 주요 사이트에서 ActiveX를 제거하는 ActiveX 프리 사이트 플랜을 발표하게 된다. 문제는 날이 날이다보니까 아무도 안 믿었다는 것. 호응이 영 없어서인지 4월 2일 추가 발표를 내놓았다.

파일:attachment/activex_no_001.png

파일:attachment/activex_fail_linux.png

ActiveX를 지원하지 않는 다른 운영체제아예 사용하지 못하게 한다. 참고로 왼쪽은 OS X, 오른쪽은 데비안 계열 리눅스다.


국세청에서 환급금을 조회하기 위해서는 15개나 되는 액티브X를 설치해야 한다(…) 파일명이 참 찰지다

파일:attachment/ActiveX_stap2.jpg

대한민국 쇼핑몰 시스템과 해외 쇼핑몰 시스템을 비교한 표. 결제 한 번 하는데 무슨 최후의 성전마냥 보다시피 이중 삼중 사중의 관문을 거쳐야 한다. 그나마 2015년 이후로 옥션, G마켓, 11번가, 쿠팡같은 대형 쇼핑몰 사이트들은 스마일페이나 시럽페이 같은 원클릭 결제시스템을 채용하면서 많이 나아지고있으며, 네이버 페이도 결제계좌를 등록시켜놓으면 원클릭 결제를 할수있는 시스템이 적용되었다. 결제를 위해 등록한 비밀번호를 한번 입력하는거나 ARS전화를 받는 과정이 필요하긴하지만 이 과정에서 어떠한 외부 프로그램도 실행되지않는다는 점에서 많이 간소화된것이다. 이런 결제시스템으로 결제를 하면 윈도우 10에서 엣지로도 문제없이 쇼핑을 할수있다.

파일:Active X가 가져온 컴퓨터계의 재앙.png

뱅킹과 결제용으로만 쓰는 가상머신에 깔린 발암물질 액티브엑스와 exe 목록.#

무엇보다도 금융거래 등을 할 때 법적으로 사용하도록 되어 있는 공인인증서 액티브X가 들어간다. 꼭 공인인증서가 아니더라도 대한민국의 경우에는 이걸 아무 데나 쓸 뿐만 아니라 보안 설정이 높아서 액티브X가 안 깔리는 경우 해당 액티브X를 제공하는 홈페이지에서 아예 보안 수준을 낮추어 달라고 공갈을 한다. 물론 설치 후 원래대로 돌려놓으라는 말은 절대로 없다. 보안 수준을 원래대로 돌려놓으면 설치된 액티브X가 동작하지 않을 수도 있기 때문인 듯.

이게 얼마나 말이 안 되는지는 한국 액티브X 사용 실태를 아는 외국의 프로그래머들이 액티브X 관련으로 한국을 까는 걸 보면 알 수 있다. 한마디로 정부가 나서서 해커들의 물꼬를 터주는 격이라는 것. 해커들 뿐만이 아니라 사용자들도 까고 있다. 마이크로소프트 포럼 링크

울산의 북쪽에 위치한 모 구청은 이 액티브엑스로 된 엔프로텍트를 설치해야만 구청 홈페이지에 접속할수 있게 해놓은 관계로 IE쓰지 않거나 쓸 수 없는 구민들을 엿먹이고 골탕먹이고 있다.

심지어는 티맥스 윈도우에서도 액티브X가 투입이 되고야 말았으며 한술 더 떠서 2010년 4월 파이어폭스구글 크롬 같은 IE(Internet Explorer) 이외의 브라우저에서도 액티브X를 돌리는 프로그램 베라인이 나와버렸다. 수많은 사람들이 액티브X에서 벗어나 웹표준을 지키는 것을 기대했지만 현실은 시궁창.

거기다 대한민국 정부가 제공하는 종합 민원포털사이트인 민원24마저 ActiveX가 없다면 민원은 커녕 메인화면조차 볼 수가 없다.

의외로 병무청은 웹표준을 철저하게 지키는것을 보면. 이사람들 안하는게 틀림없다.

결국 마이크로소프트에서는 윈도우즈 비스타와 IE7(인터넷 익스플로러 7)에서 액티브X의 지원을 줄였으나 이거 하나 때문에 대한민국에서 사용자들의 원성이 심하며, 오히려 대한민국 사이트에 들어가기 위해 비스타가 기본으로 깔린 완제품 데스크탑이나 노트북 사용자의 경우 XP로 다운그레이드하는 사례들이 수두룩하다.[2] 그런데도 불구하고 대한민국 기업들은 아직도 액티브X에 상당히 의존적이다.

설상가상으로 2008년 하반기 출시된 IE8(인터넷 익스플로러 8)에서 액티브X 지원을 더 줄이고 웹표준에 맞추려는 것 때문에 한국의 기업들은 우왕좌왕하는 모습만 보여줬다. 더더욱 어이가 없는 것은 이것이 2007년 1월경 윈도우즈 비스타가 출시되었을 때도 똑같은 협박이 일어났던 사건이라는 것. 1년이 넘는 시간이 지나도록 별다른 상황 개선을 하지 않고 허송세월한 셈이다.[3] 관련 기사(쿠키뉴스)

알라딘은 2015년 7월 현재 ActiveX 없이 결재 가능하다. 사실 알라딘은 일찌감치 금융 전산을 이용해 액티브X 없이 결제하는 시스템을 구축하는 용자 행위를 했으나 여러 금융사들로부터 조리돌림급으로 시달린 뒤 포기해야 했다. 카드사들이 단체로 결제 거부 담합을 한 것. 외국의 여러 은행, 아마존닷컴, 페이팔을 한국과 비교해 보면 그 차이를 잘 알 수 있다.

이렇게 금융권 웹사이트가 액티브X를 애용하는 이유는 책임을 피하기 위해서이다. 후술하겠지만 사용자 부주의(백신 미사용 등)로 해킹 등의 금융 사고가 발생한다 하더라도 웹사이트를 운영하는 금융권 쪽에서 책임을 져야 하는 조항이 있으며, 금융 사고 예방책으로 사용자에게 보안 프로그램을 제공해야 하는 의무가 있는데 이 보안 프로그램들이 전부 액티브X 기반이다. 결국 각종 보안 프로그램을 잔뜩 설치하게 함으로써 은행 측에서는 책임 회피(키보드 보안 플러그인 설치했나요? 전자서명 설치했나요? 보안 모듈은요? 가상 키보드는요? 왜 nProtect를 평소에 실행시키지 않았죠? 등)를 할 수 있고, 사용자의 PC는 액티브X로 떡칠이 되는 것이다.

그래도 우리은행, 국민은행, 신한은행, 하나은행 등이 액티브X 일색의 환경에서 탈피하여 윈도우즈/익스플로러 외의 운영체제/웹 브라우저에서도 금융 업무를 볼 수 있도록 오픈뱅킹 서비스를 시작했다. 그러나 그냥 IE로 접속해서 은행 업무를 보는 것에 비하면 오픈뱅킹 서비스도 여전히 불편하다. 별도의 홈페이지로 접속해야 하는 건 기본이고 OTP 단말기까지 요구한다는 게 가장 번거로운 점. 게다가 중요한 건 이 오픈뱅킹 기술이 땜빵인 경우가 많다는 점으로 상당수가 액티브X와 매우 유사하며 더 오래되어 취약한 NPAPI를 사용하고 있다. 그리고 이건 2013년 12월부터 지원이 종료됐다.

대한민국 언론에서는 컴퓨터에 대한 전문지식이 부족하고 액티브X에 대한 관심이 적은 탓에 무시하고 있었지만 아이폰안드로이드 계열 스마트폰의 보급이 본격화 되면서 이젠 언론들도 까기 시작했다. 관련 기사(노컷뉴스). 결국 마이크로소프트사에서 개발중인 윈도우폰 7에서도 액티브X가 배제되면서 이러한 여론은 더욱 확산될 전망이다.#

그나마 국가정보원에서 액티브X 컨트롤까지 싹 삭제해주는 프로그램까지 개발해서 배포하는 중이며[4] 이곳에서 다운받을 수 있다.[5] 그리고 2010년도 초반부터는 Java어도비 Air 등의 대체 기술을 사용해서 타 브라우저 지원을 해 주는 경우가 점점 늘어나고 있다. 이거 2009년꺼다. 애초에 설치환경도 XP랑 Vista밖에 없고 그나마도 첨부파일은 삭제됐다.

그러나 이스트소프트에서 Webkit 엔진을 기반으로 액티브X를 지원하는 브라우저를 개발해 내고야 말았다. 브라우저 이름은 스윙 브라우저. 사실 소개를 조금만 읽어보면 일반 모드는 익스의 트라이던트로, SPEED 모드는 웹킷으로 돌린다는 것을 알 수 있다.

보면 알 수 있듯 한국 IT계는 세계 1위의 인터넷 속도 발전과는 달리 보안계에 있어 정말로 취약한 모습을 보인다. 대한민국 기업이나 국가기관에 가끔씩 일어나는 사이버 테러나 해킹 등에 대해 언론들은 해외 해커들이 실력 있고 고단위의 방식을 쓰는 것처럼 보도하지만 중국홍객연맹 등의 중국발 해커로부터 계속 국민들의 주민등록번호 및 개인정보가 털리는 이유는 사실 중국 해커들의 실력이 정말로 세계 일류라서가 아니라(물론 실력이 뛰어난 건 사실이지만) 한국이 정말로 보안을 못해서 계속 털리고 있다는 게 중론이다. IT 강국이라고 자부하는 나라가 기실 인터넷 속도 올리기에만 열을 올렸지 보안 관련에는 떨어진다는 해외의 평가가 아직까지는 틀리지 않은 셈.

게다가 이것은 1차적으로 국내에서 만든 외국용 사이트들도 이 현상을 당하고 있는데, 외국인을 위한 전자 정부 사이트마저도 액티브X 설치를 요구하고 있는 실정이다. 모바일 크롬으로 들어가니 멀웨어가 있다고 한다.. 캐나다정부 홈페이지도 이 정도는 아니다.[6]

여기에 더해 2차적으로는 '''국내에 진출한 해외 기업들도

강요받고 있다는 게 더 큰 문제. 일례로 블리자드 엔터테인먼트배틀넷의 경우 국내판에서는 ActiveX를 설치해야만 결제 행위가 가능하며[7] 심지어 한국 애플 온라인 스토어의 경우 애플에서 만든 OS에서 애플 물건을 사지 못하는 어이없는 상황이 벌어지고 있다.[8] 다만 이는 '국내지사가 있는 해외업체', 즉 '한국 내에 한정하여 한국법의 저촉을 받는 업체' 에만 해당되는 것인지라 그저 '한국어판을 서비스하는 미국 업체' 엔 해당되지 않는다. 일례로 스팀은 공인인증서고 뭐고 없이 한국어로 미국식 결제 시스템을 누릴 수 있다! 반대로 국산 기업이지만 해외 지사의 경우는 당연히 ActiveX 같은 건 거들떠보지도 않는다. 일례로 온라인 게임 테라의 해외 서비스 지사인 En-Masse가 있다. 모든 서비스(로그인, 계정 관리, 캐쉬 구매 및 소모)가 ActiveX 없이 잘만 돌아간다.


이러한 여론을 받아들였는지, 정부의 규제 완화 바람과 함께 2015년부터는 공인인증서 없이도 전자상거래가 가능하도록 법을 개정할 예정이라고 한다.#

파일:attachment/ActiveX/Example.jpg
ActiveX 퇴출의 결정타, 중국에서 구매할 수 없었던 천송이 코트. 스마트폰(비 윈도우OS)조차도 밀어내지 못한 ActiveX를 드라마 한 편이 바로 잡을 했다.

위에서도 언급했듯이, 사실 우리나라에서 ActiveX를 비롯한 플러그인이 정말 문제되는 곳은 보안 프로그램 쪽이다. 여담으로 말하자면 이는 ActiveX만의 문제가 아니다. 인터넷 익스플로러가 다소 인기가 시들해져서 구글 크롬 사용자가 늘자, 보안프로그램이 크롬에서도 작동하도록 만들었는데, 그런 보안프로그램들을 보면 대부분 NPAPI같은 기능을 쓰고 있다. 항목을 가서 보면 알수 있겠지만 NPAPI는 액티브액스랑 별반 다를바 없는 물건이다. 기본으로 사용 못하게 되어있는걸 설정들어가서 바꿔서 쓰라고 강요하면서까지 억지로 플러그인 사용을 강제하고 있는데, 결국 보안 프로그램쪽이 문제다.

금융 사고를 막기 위해 보안 프로그램 제공을 의무화하는 규정이 마련되어 있기 때문. 이를 알았는지 2014년 10월 6일, 정부에서 보안 프로그램 의무 설치 규정을 폐지하겠다고 밝혔다.# 이제 정말로 ActiveX가 국내 인터넷에서 퇴출될 가능성이 높아지고 있는 듯하다. 그래서 지금까지 이 모양 이 꼴이야?

이렇게 금융 관련 일을 할려면 깔아야 하기 때문에 한 유저가 한국으로 돌아가기 위해 여행사에서 서류작성 후 카드결제 할려고 하자 자동적으로 액티브 엑스가 깔리게 되었는데 이걸 본 여행사 직원이 뭐냐고 물어보고 깔지 말라고 했다.

3. ActiveX 퇴출 시행 - 현실은 시궁창[편집]

그러나 정부에서 엄청난 뒤통수를 후려 갈겼다. 보안 응용프로그램을 직접 다운받아 설치하는 방식으로 대체하겠다는 것. ActiveX를 퇴출하는 대신 exe 파일을 직접 다운로드 받아 설치하여 쓰란 소리다. 그게 액티브X랑 뭐가 달라 이 미친 인간들아! 이 때문에 국가에서 운영하는 사이트들에 들어가면 빡치는건 시간문제다. ActiveX는 최소한 익스플로러에서 인증서 체크라도 하는데, 응용 프로그램을 직접 다운받아 설치하면 그런 거 없다. 보안 측면에선 더 위험하다. 이건 SSL 프로토콜만으론 보안이 완벽하게 이루어지지 않는다는 업계들의 요청을 받아들인 조치이다.[9] 하지만 그 대처법으로 선택한 게 ActiveX보다 보안상으로 더 취약한 방법인 것이다. 무엇보다 프로그램 직접 다운로드 방식은 쇼핑몰에서 약간 장난을 치면 애드웨어를 이것저것 설치할 수 있다. 이미 설치 프로그램에 애드웨어 설치 동의를 끼워넣는 마케팅은 활성화된지 오래이다. 게다가 IE 뿐만이 아니라 다른 브라우저에서도 사용가능하다는 말이 눈가리고 아웅인게, 기존의 ActiveX는 결제시에만 플러그인으로 불러서 쓰던걸 아예 윈도우 프로그램으로 설치를 해버려 시스템에 상주를 시켜버려 리소스를 좀먹게 된다. 그렇기 때문에 어떤 브러우저를 쓰든 플러그인으로 불러올 필요는 없는 대신에 컴퓨터가 느려지거나 오류를 내뿜게 되는 것이다.

이 때문에 여론의 반발이 매우 커지자, 금융당국에서는 exe 파일을 강제 설치가 아닌 선택 설치할 수 있도록 입장을 바꿨다.# 그러나 안전성에 대해서는 여전히 의문이 제기되고 있는 상황이다. 또한 exe를 깔지 않으면 사용자가 보안에 책임을 져야 한다는 것도 충분히 문제인데, exe는 윈도에서만 돌아가는 포맷이다. 즉 유닉스 계열(리눅스, OS X, BSD 등) 유저들은 사용할 수 없다. exe 파일의 보안성을 논외로 치더라도(이부분에서 이미 글러먹었다), 이미 정책의 대상에서 윈도 밖의 OS를 쓰는 유저들은 철저하게 외면당하고 있다는게 문제이다. ActiveX가 까이는 점은 단순히 '불편하다'의 문제 밖에도, 엿바꿔먹은 멀티 플랫폼 문제도 있다. 그런데 ActiveX를 대체하는게 어찌꼭 윈도 전용 포맷인 exe인 상황이니...

사실 위의 글을 유심히 보면 ActiveX 플러그인을 object나 embed 태그 사이에 끼워넣어 설치하던 방식에서 사용자가 직접 설치하는 방식으로 바꾸었을 뿐 ActiveX는 전혀 퇴출되지 않았다는 것을 알 수 있다. 설치 프로그램 포맷이 오브젝트 임베디드든 EXE파일이든 플러그인 작동 기반이 ActiveX인 것은 바뀌지 않은 것이다. 여기에, Active X를 사용하지 않고 실행하려다보니 컴퓨터를 켤 때마다 꼬박꼬박 실행돼서 리소스를 잡아먹는다. 백그라운드에서 메모리와 CPU 점유율을 처묵처묵하면서 상주하며 인터넷 트래픽을 체크하다가 특정 웹 사이트에 접근하는 것을 포착하면 활성화되는 방법이라, 항상 실행되어 있어야 하기 때문이다. 실제로 Wizvera(Veraport) 보안 프로그램이 메모리를 100Mb 넘게 점유해 성능 문제가 발생한 경우도 존재하고, nProtect때문에 Windows 8.1에서 프리징이 걸리는 등 여러 문제가 발생하고 있다. 윈도우 10도 예외는 아니다.

사실 근본적인 해결책은 외국과 같이 FDS(부정거래 탐지 시스템)을 탄탄하게 구축하는 것이지만, 누적된 데이터가 필요하기 때문에 시간이 오래 걸릴 것이다. 또한 외국은 이체기간이 1일~5일 가량 되는 지연이체제를 시행하고 있어 FDS를 통해 이체기간 동안의 부정거래를 '사후' 탐지하는 방식이지만, 국내는 즉시 이체가 되는 시스템을 택하고 있기 때문에 각종 보안 프로그램을 설치하는 '사전' 탐지 방식을 쓸 수밖에 없다. 이를 해결하려면 실시간이체제를 포기하는, 즉 한국의 자금 회전율 자체를 뜯어고치는 대격변이 필요하므로 고치기가 쉽진 않을 것이다.

그리고 전자금융거래법 제9조에 따른 문제도 있다. 이 조항에 따르면 전자금융사고 발생시 1차적 책임은 항상 금융회사에 있기 때문이다.[10]

전자금융거래법 제9조:
금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고 때문에 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.


그런데 보안 프로그램을 클라이언트에 내장시키면 이 귀책사유가 줄어든다. 그래서 어떻게든 클라이언트에 보안 프로그램을 집어넣을려고 하는 것이다. 거기다 이 망할놈들은 보안 프로그램을 싼 걸 쓰려고 하기 때문에 또 개판인 물건을 쓰게 되는게 흔한 것이다. 보안프로그램은 금융권의 책임 회피 수단이자 법률 준수 수단이기 때문에, 보안 프로그램 설치가 아예 필요없는 인터넷 뱅킹에 관해선 금융권이 미적거리고 있는 상태다.[11]

물론, 보안 프로그램이라는 손쉬운 방법으로 대응하려 하지 말고 FDS를 고도화하여 사고를 막아야 한다는 지적도 많다. 하지만 상기했듯이 FDS는 지연이체제에서 효과를 발휘하는데, 국내에서는 버튼만 클릭하면 바로 돈이 빠져 나가는 실시간이체 방식이라 FDS가 부정거래를 탐지할 시간이 없다.[12]
근데 2016년 1월부터 스마트폰 지문인식으로 바뀐다는 기사가 떴다!

아직도 정신을 못 차리고 한 술 더 떠서 2015년 중하반기부터는 모든 기업체들이 담합(!), 구글 크롬 브라우저의 경우 TouchEn PC보안 확장이라는 확장 프로그램을 exe 파일과 함께 설치해야만 아이핀 인증과 모바일 인증을 진행할 수 있도록 해 한국권 인터넷 사용자들에게 더욱더 더 큰 빅 엿을 선사해 주었다. 게다가 위 이미지의 게시자 정보를 보면 알겠지만 이젠 대놓고 구글을 사칭하는 중(…). 당연히 평균 별점은 1점이며 리뷰는 불만을 토로하는 유저들로 가득하다. IT 강국 드립은 더 이상 그만 치라며 헬조선 드립까지 나오기도. 부가 설치 프로그램을 없앤다면서 정작 더 만들어내고 있는 희한한 상황(…). 한번 직접 보자.

위모듈중 특히 키보드보안 모듈의 경우 키보드 보안이라는 미명하에 키 입력을 씹어먹어버리기 때문에 일반적으로 쓰이는 멤브레인 키보드와 키보드 입력 구조가 다른 기계식 키보드를 사용할 수가 없다.

2017년에는 한국형 블랙 프라이데이를 노린다며 만든 코리아 세일 페스타에 사용하기 위해 정부가 추진하던 VR 쇼핑몰이 어처구니없는 형태로 ActiveX 때문에 좌초됐다. 사이트와 앱을 만들고 입점한 업체의 제공 상품들을 VR로 보여준 뒤 결제시키기만 하면 되는, 기술적으로 전혀 문제가 될 것이 없는 기획이었지만 순전히 결제 때 결제용 플러그인 윈도우가 반드시 뜨는 것을 어떻게 하지 못하고 결국 장바구니 도우미 사이트로 시늉만 하는 결과를 내게 됐다. 어떤 식으로든 화면 뒤에서 자동화를 할 수 있었다면 결제가 가능했겠지만 그걸 막자고 시스템의 모든 권한을 때려박은게 이 플러그인들이니 어쩔 도리가 없다.

이런 촌극을 벌이고도 정부 관계자는 “올해 VR 쇼핑몰은 테스트 단계로서 국민과 전 세계에 VR 쇼핑몰의 가능성을 선보이기만하는는 데 의의가 있다”고 주장했다.

3.1. 사용자에게 불편을 초래하는 제품들과 기업 목록[편집]

  • nProtect - INCA Internet

  • Xecure 시리즈 - SoftForum

  • TouchEn 시리즈 - RaonSecure

  • VeraPort, Delfino - Wizvera

  • INI 시리즈 - INITECH

  • MagicLine 시리즈 - DreamSecurity

  • XPlatform, MiPlatform - TOBESoft

  • Issac 시리즈 - Penta Security

  • AhnLab Safe Transaction - Ahnlab

  • SecureKeyStroke - SoftCamp

  • AnySign for PC - SoftForum

  • 이 외 각종 DRM - Fasoo, MarkAny


새로운 쓰레기 프로그램이 등장 할 경우 추가 바람. 가장 악질 기업을 꼽으라면 nProtect 시리즈의 INCA, Xecure 시리즈의 SoftForum, TouchEn 시리즈의 RaonSecure. 해당 3기업의 제품은 국내 모든 행정 관련 사이트에서 최소 한 개 이상 빠지지 않고 설치 되는 것을 알 수 있다. 사실상 대한민국 내부의 ActiveX 퇴출 운동이 실패 할 수 밖에 없는 만악의 근원 3 기업이라고 할 수 있겠다.
또한 이니텍의 금융보안 모듈 INISAFE Web 액티브X(ActiveX) 컨트롤의 업데이트 기능을 악용한 악성코드 유포행위가 2016년 11월 25일 발견된 사례가 있었다.[13]

4. 결론[편집]

공인인증서, i-PIN, 등과 더불어 ActiveX는 한국 인터넷의 만악의 근원 가운데 하나라고 할 수 있다.[14]

모바일 기기까지 등장한 마당에 타 OS를 절대로 지원하지 못하는 막장의 범용성[15], 그리고 무조건 다운받도록 만들어서 보안성을 해친 것, 심지어 멋대로 시스템에 접근 가능함에 따라 자칫하다가는 웹을 통해 컴퓨터를 좀비PC로 만들 수 있다는 것 등 기술 진보로 편리해져야 할 온라인 생활을 아직도 20세기 수준으로 떨어뜨리는 19세기 아닌가, 그야말로 대한민국 IT 역사의 수레바퀴를 거꾸로 돌리는 악성 종자라 볼 수 있다.

즉, 제아무리 ActiveX를 특정 상황의 퍼포먼스가 좋다고 실드 쳐봐야 GUI는 전부 가져다버리고 80년대 CLI를 써야 한다는 수준의 개소리일 뿐이며 스스로 퇴물이라 인정하는 것이다. 오죽하면 MS에서 마저도 이딴 거 쓰지 말라고 버렸겠는가?

그러나 대한민국에서는 이런 거 없고 생활에 필수적인 사이트[16]에까지 이곳저곳에 액티브X가 남용되고 있어서, Windows Vista나 Windows 7를 깔고 있는 사용자들로 하여금 현기증이 절로 나게 하고 있다. 설상가상으로 국내판 구글 어스랍시고 나온 브이월드조차 액티브X 아래에서 실행된다. 즉, 대한민국의 기업과 정부 기관을 까자.

5. 비리 의혹과 괴담[편집]

한국 웹에서 액티브엑스가 기어코 퇴출 당하지 않는 이유로 한국정보인증(KICA)을 중심으로 한 비리의혹이 있다.# 한국정보인증(KICA)은 공인인증시스템 업체 다섯 군데[17]중 가장 유명한 '민간업체' 인데 이러한 사업을 통해 매년 수백억원에 달하는 이윤을 남기고 있다. 문제는 사단법인이라는 것이 국가 허가에 의해 만들어진 '공익적' 단체여야 한다는 점이고 비영리법인이어야 한다는 점이다. 즉, 주무관청인 금융위원회에게 관리감독을 받으면서 비영리업무를 수행하는 법인이어야 한다는 건데 금융위원회의 고위공무원[18]이 퇴임하면 금결원의 감사 자리를 꿰찬다. 그리고 3억에 달하는 연봉을 받아간다. 공인인증서를 결코 포기하지 못하겠다고 발버둥치는 금융위와 기재부의 고위 인사들이 퇴임 후에 금결원과 한국정보인증 같은 곳으로 몰려가는 이유가 대체 뭐가 있을까. 이런 정경유착(회전문 인사) 행태는 샵메일에서 재현되고 있다. 샵메일도 KICA 일당(…)들과 퇴직한 국회의원들의 또다른 사업 영역이다.
전국민이 싫어하고 꼭 개선해야하는 액티브X를 이렇게까지 붙드는 것을 보면 액티브X 관련 로비가 성횡하는 것이 분명하다.

2013년부터 한 해외 사이트[19]를 필두로 시작해서 액티브X에 대한 괴담이 생겨났는데 우리나라 정부가 무려 수조원 단위를 들여서 마이크로소프트의 액티브X를 인수한다는 것이다 본격 미친ㄴ..읍읍. 사실 MS는 액티브X를 오픈소스로 공개한 지 오래인지라 애시당초 인수의 필요성이 없었다.

그러나, 이후 별 소식이 없는 걸 보면 이 내용은 단순 루머에 불과한 것으로 보인다.

6. ActiveX 대체 시도?[편집]

MS도 ActiveX가 보안부분에 취약하다는 것을 알고 이를 대체하기 위해 노력하고 있다. 대표적으로 MS 리서치에서 개발중인 XAX가 있다. 보안부분은 샌드박스로 보호하고 레거시 코드 동작이나 운영체제에 가리지 않는 차세대 플러그인 기술이다. XAX 설명 이것이 마이크로소프트 엣지 브라우저에 탑재될 가능성이 있다...고 적혀있었지만, 엣지가 IE의 고유 프로그램 코드를 죄다 갈아엎은데다 결정적으로 Win32 프로그램이 아닌 메트로 앱으로만 나왔기 때문에 웹표준과 관련된 몇가지 제한된 플러그인 이외에는 들어가지 않았다.
XAX와 연관된 프로젝트로 Drawbridge가 있다. 이것은 가상화를 지원한다. drawbridge 설명 관련기사

파일:Manse!.jpg
MMORPG 온라인게임 마비노기의 공지사항 중.

하지만, 2015년 8월 들어 윈도우 10이 공식적으로 출시되고 국내에서도 웹 표준화의 중요성이 부각되자, 슬슬 국내 게임업계에서도 두팔을 걷어올리고 액티브X 퇴출을 시작하고 있다. 불필요한 퍼포먼스를 없애고 홈페이지를 간소화하는 등의 움직임을 통해 아직까지는 미온적이지만 이를 보안하기 위한 움직임은 일어나고 있다.

그리고 드디어 ActiveX가 전혀 없는 인터넷 뱅킹이 나왔다! 국민은행은 2015년 9월 플러그인 설치가 전혀 없는 HTML5 형식의 인터넷 뱅킹을 내놓았다. OTP 사용자만 가능하다. 보안 레벨이 OTP가 더 높아서일 듯. 공인인증서는 웹 브라우저 자체의 기능으로 활용하는 것 같다. 사실 공인인증서 기술 자체가 브라우저에 내장된지는 오래되었는데 타성으로 ActiveX만 써댄 것이 문제다.

사실, ActiveX의 뿌리가 뽑히는 대변혁은 애초부터 예고되었다. 2020년 1월 14일에 마이크로소프트에서 윈도우 7, 윈도우 서버 2008, 인터넷 익스플로러 9등의 모든 지원을 중단하기 때문이다. 물론 미래를 생각한다면 이때까지 ActiveX나 EXE 기반으로 프로그램을 돌리지 않는 게 정상이지만, 한국의 인터넷 환경을 봤을 때 글쎄?[20]

뱀발로, ActiveX는 사실 오픈 소스이다. 출시한 지 얼마 지나지 않아 소스를 공개했다고 하는데... 이를 역으로 이용하여 생명연장의 꿈을 이룩할 수도 있겠지만, 높으신 분들의 동향을 보았을 때 별 관심 없는 것 같다.

그리고.. 국정원이 칼을 뽑아들었다!![21]

문재인 정부 들어서는 2018년까지 ActiveX를 걷어내겠다는 발표를 했다.

문재인 정부는 ActiveX는 적폐이며, 2020년까지 ActiveX를 없애는 노-플러그인(No-plugin) 정책을 관철하겠다고 밝혔다.http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=079&aid=0002986587하지만 이후 문재인 정부의 노-플러그인(No-plugin)이라는 내용과는 맞지않게 '보안프로그램 설치가 불가피한 경우 대체기술(EXE 설치)을 적용할 수 있다.'http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=008&aid=0003899916라고 밝혔다. 불가피한 경우라고 전제를 해 두었으나, 불가피하다는 것은 지금까지 한국의 보안프로그램들이 유지되고있는 이유이기도 하다. Active X 같은 골칫거리가 완전히 사라지려면 아직 시간이 필요할 것으로 보인다.

7. 기타[편집]


파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 ActiveX 문서의 r960 버전에서 가져왔습니다. 이전 역사 보러 가기

[1] 과거 인텔인텔 펜티엄III 시리즈 광고에서 인텔 펜티엄II 시리즈 로고에 X표를 친 것에 착안한 것.[2] 어쩔 수 없다. 액티브X의 폐해를 모르는 사용자들은 잘 되던 게 갑자기 안 되니까 불만일 뿐.[3] 여담으로, Windows XP 지원 종료를 본격적으로 뉴스에 내기 시작한 것도 이 시기였다.[4] 국정원 홈페이지→국가사이버안전센터→보안권고문에서 CleanAX로 검색하면 나온다. 아래의 링크를 타면 국가사이버안전센터로 갈 수 있다.[5] 15일, 30일, 60일 동안 사용하지 않은 액티브X 컨트롤을 보여주며 선택하여 삭제할 수 있다. 부가적인 정보도 보여준다.[6] 여담이지만 여기는 깔끔한 모바일 버전도 존재한다. 역시 선진국은 선진국.[7] 대표적으로 월드 오브 워크래프트의 경우 2010년경에 미국 사이트의 한국어 버전으로 리뉴얼이 되었는데 결제 페이지만은 이전 홈페이지를 그대로 쓰고 있다. 미국 사이트의 결제 페이지에는 ActiveX가 없기 때문에 벌어지는 해프닝이다.[8] 그런데 애플에서 만든 OS에선 ActiveX를 요구하지 않는다.[9] 이것은 엄밀히 말해 사실 호도에 가깝다. 단순 SSL은 인증서의 신뢰성에 관한 문제가 있고, 따라서 공신력 있는 기관으로부터 검증받은 EV-SSL을 사용해야 한다. EV-SSL 적용 여부는 주소 표시줄이 녹색으로 바뀌는 것으로 확인할 수 있는데, 국내 은행 사이트 몇 군데를 한번 돌아다녀 보자. EV-SSL이 적용된 곳은 별로 없을 것이다. 발급 비용이 좀 더 비싸고 인증 조건이 빡빡하기 때문.[10] 사용자가 공인인증서 혹은 보안카드를 직접 넘겨준다면(…) 이야기가 다르겠지만 그럴 가능성은 희박하다.[11] 사실 컴퓨터를 아는 사람이라면 이미 3A(Avast!, AVG, avira) 같은 안티바이러스를 이미 잘 쓰고 있다는 게 함정. 그러나 이런 사람보다 이런 안티바이러스의 존재를 모르는 컴맹이 훨씬 많다는 것도 사실인지라 이런 보안 플러그인을 끼워넣으려고 하는 것이다.[12] 현재 자금 이체 과정에서 불편한 보안 카드와 공인인증서를 요구하는 문제도 실시간이체제가 근원이라 할 수 있다. 백그라운드에서 시스템이 신뢰도 검사를 할 타이밍이 없으니 사전에 각종 절차를 거치도록 하는 것.[13] 보안뉴스 > 인터넷뱅킹용 액티브X 보안 모듈, 악성코드 유포 통로! 금융권 초비상 [14] 하다못해 공인인증서는 다소 불편하긴 하나 보안성 하나는 확실하다는 일장 일단이 있고, i-PIN은 쓰기 싫다면 안써도 그만이지만, ActiveX는 은행이나 민원 업무를 보기 위해서 강제로 설치하게 되므로 장점은 고사하고 선택의 자유 조차 없는 최악의 프로그램이다.[15] 심지어는 윈도 내에서도 호환성 이슈가 일어나는 정도이다.[16] 특히 대한민국 남성들이 필수적으로 방문해야 하는 병무청, 예비군 홈페이지 등등.[17] 한국정보인증(KICA, signgate), 코스콤(KOSCOM, signkorea), 금융결제원(KFTC, yessign), 한국전자인증(KECA, crosscert), 한국무역정보통신(KTNET, tradesign) [18] 여담으로 금융위원회의 관료들은 행정고시계의 엘리트라 할 수 있는 재경직렬 출신이 대부분. 그만큼 '지대추구' 심리가 강할 수 밖에 없다.[19] 아마 ZD넷 등의 IT계열 사이트로 추정된다.[20] 당장 아직도 공공기관에서 윈도우 xp 쓰는게 종종 보인다.[21] 국정원 원본 사이트에는 첨부파일이 증발했기 때문에 부득이하게도 프로그램 리뷰 블로그로 대체

분류