공기관 웹사이트의 문제점 1. 액티브 X가 쉽게 사라지지 않는 이유

11분

2021.08.26.

7.3K

문제 투성이 액티브 X의 시작점

액티브 X를 공공기관 웹사이트에서 모두 제거하겠다. 2017년 문재인 대통령이 이야기한 내용입니다. 액티브 X는 매번 다른 사이트에 들어갈 때마다 추가 프로그램을 설치하게 만들었고, 보안 문제도 있었죠. 심지어 설치 과정에서 매번 새로고침을 해야 하거나, 약간의 버전만 달라져도 문제가 발생하는 바람에 큰 불편을 주곤 했습니다. 이런 액티브 X를 2017년 문재인 정부에서 없애겠다고 이야기를 한 것이죠. 다만 2021년 기준으로도 이 목표는 정확히 이뤄지진 않았습니다. 이번 시간에는 이 액티브 X에 어떤 문제가 있었는지, 그 문제가 왜 일어난 것인지 알아보도록 하겠습니다.

일단 액티브 X는 태어나기를 마이크로소프트(MS)가 만든 프로그램입니다. 인터넷 익스플로러 (IE)에서 돌아가지 않는 외부 프로그램을 연결하기 위해 만들어진 프로그램이죠. 액티브 X의 원래 목적은 업데이트를 자주 하지 않아도, 외부 개발 환경과 연결을 할 수 있도록 만드는 중간 역할이었습니다. 말 그대로 급한 대로 쓸 수 있는 임시 장치였죠. 그러나 이런 임시 장치를 기업들이 악용해 오랫동안 사용해온 것이죠. 이런 상황에서 2013년에 익스플로러가 더 이상 업데이트되지 않자 문제가 심각해졌습니다. 임시로 쓰고 있던 방식을 더 개선할 수가 없게 된 거죠. 그럼에도 많은 기업들과 기관들은 인터넷 익스플로러의 편리함을 포기하지 못했습니다.

인터넷 익스플로러는 2013년에 마지막 업데이트를 제공했습니다. MS는 이후 Edge 브라우저로 사용자를 옮겨오려 했지만, 크롬 브라우저의 등장으로 상황이 변했죠. 사용자들은 느려 터진 인터넷 익스플로러보다 더 빠른 브라우저를 원했습니다. 그래서 점차 젊은 사용자 위주로 익스플로러를 버리기 시작했죠. 이런 상황에서 익스플로러에 맞춰진 오래된 사이트들과 액티브 X는 당연히 문제가 되었습니다. 사용자들이 크게 변하고 나서야 기업들과 기관들도 조금씩 문제를 확인하게 됩니다. 사용자들이 자주 사용하는 크롬이나 다른 브라우저로는 접속이 안되고, 기능도 사용할 수도 없었던 거죠. 이 문제를 해결하려면 자신들의 서비스 기반이 되는 익스플로러를 버려야 했습니다. 공기관과 기업들이 신규 브라우저에 맞춰 새로운 서비스를 개발을 해야 했던 겁니다.

대부분의 기업, 기관들이 상황을 지켜보고 있던 이유는, 세 가지가 있습니다. 첫 번째는 신규 개발을 위해 비용이 많이 든다는 점이죠. 두 번째는 굳이 새로운 브라우저에 맞춰 개발하지 않아도, 대부분의 사용자가 인터넷 익스플로러 사용자였다는 점입니다. 세 번째는 이 문제를 해결하라는 법령이나, 외부의 요구가 없었기 때문이죠. 이런 이유에서 기업들은 ‘아직도 많은 사람들이 인터넷 익스플로러를 사용한다’며 액티브 X를 버리지 않았습니다. 심지어 다른 브라우저로 접속하면 ‘인터넷 익스플로러로 접속하세요’라는 메시지를 보여주곤 했죠.

액티브 X가 한국에서 유독 문제가 커진 것은, 한국의 OS 사용 시장과 연관이 있습니다. 특히 과거 전자정부를 구축할 때 사용한 윈도우 PC들이 문제가 되었죠. 대부분의 이런 컴퓨터들은 오래된 윈도우 XP 버전의 컴퓨터들이었습니다. Edge 브라우저나 크롬 브라우저를 따로 설치하지도 않고, 오래된 익스플로러를 그대로 사용했죠. 심지어 윈도우 7이나 10 버전의 업데이트가 이뤄진 다음에도, 여전히 오래된 OS를 그대로 사용하는 경우가 많았습니다. 게다가 인터넷 브라우저에 대해서도 OS에 깔려있는 것을 그냥 실행하면 된다고 생각하는 경우가 많았죠. 그렇다 보니 오래된 인터넷 익스플로러 구버전을 그대로 사용하는 경우가 대부분이었습니다.

액티브 X와의 이별?

1980년대 윈도우 OS의 전 세계적인 보급은 인터넷 브라우저 전쟁을 끝마친 계기가 되었습니다. 사람들은 고민하지 않고 윈도우 OS 기반의 PC를 구매했고, 브라우저는 익스플로러를 쓰게 되었죠. 하지만 동시에 인터넷 브라우저를 업데이트하거나, OS를 새로 설치할 필요가 없다고 생각하게 됐습니다. 이 상황이 얼마나 심각했냐 하면, 한국의 IT 대기업인 네이버나 다음이 직접 나서서, 사용자들이 신규 익스플로러를 사용하도록 이벤트를 열 정도였습니다. 사용자들이 오래된 브라우저를 사용하니, 기업 입장에서도 해외의 신기술을 적용할 수가 없었던 거죠. 이런 상황에서 2017년 문재인 정부가 액티브 X를 제거하겠다고 이야기를 꺼냅니다. 해외 신기술을 사용하려는 기업들은 환영할 일이었습니다. 하지만 저렴한 비용으로 유지보수를 해왔던 기업들에게는 불쾌한 소식이었죠.

액티브 X를 들어내라는 정부의 요청에 기업과 기관들은 두 가지 반응을 보였습니다. 첫 번째는 새로운 브라우저에 맞춰 신기술을 적용하자는 쪽이었습니다. 네이버 같은 IT 기업들은 두 손 벌려 이런 상황을 찬성했죠. 두 번째는 최대한 꼼수를 부려 액티브 X만 걷어내고 다른 꼼수를 찾아내려는 쪽이었습니다. 이 경우가 바로 한국의 액티브 X를 더욱 오랫동안 살아남게 만든 주원인이죠. 이런 기업들은 당장 돈을 많이 들고 싶진 않고, 법령은 지켜야 하니 액티브 X를 설치 파일 형태인 EXE로 바꿨습니다. 여전히 사용자들은 추가 프로그램 설치를 해야 했지만, 적어도 법령은 지켰으니 문제는 없는 거 아니냐며 배짱을 부린 것이죠.

변화가 필요한 한국의 IT 환경

사실 이 문제가 이렇게 답답한 상황으로 흐른 데에는 한국의 IT 환경과 연관이 있습니다. 초기 웹 서비스를 개발하던 오래된 회사들이 신규 기술보다, 오래된 기술을 그대로 사용해 돈을 버는데 익숙해져 있었기 때문이죠. 이런 상황을 기술 부채(debt: 빚)라고 말합니다. 기술적으로 해결을 보아야 할 지점인데, 뒤로 미루고 미루다가 한 번에 더 많은 노력을 들여 해결해야 할 상황을 말하죠. 실제 한국의 IT 개발환경에서는 오래된 개발 기술을 그대로 사용해 돈을 벌고 있는 기업들이 많습니다. 예를 들어, 자바스크립트의 오래된 프레임워크인 제이쿼리의 구버전을 그대로 사용하거나, 오래된 버전에 플러그인을 걸쳐 임시 땜질을 해놓는 경우가 상당히 많죠. 이런 땜질 문화는 서비스 개발을 외부인력으로 처리하는 문화와도 연관이 있습니다.

여기 한 회사가 있다고 해봅시다. 과거 기준으로 최신 버전의 기술자를 불러 서비스를 만듭니다. 이후 서비스는 잘 팔리고, 유지가 되어 10년이 지났습니다. 이제 새로운 기술이 나오고, 새로운 개발자들이 뽑혔지만 이 회사의 시스템은 여전히 오래된 상태입니다. 이 상태에서 10년 만의 리뉴얼을 하기 위해 외부 개발자를 불러옵니다. 신규 버전으로 만드는 데에는 10억이 필요하다고 말합니다. 당연히 회사들은 고민합니다. 더 저렴한 가격으로 할 수는 없을까? 생각하죠. 이때 다른 개발 업체가 자신들은 5천만 원에 문제를 해결해준다고 말합니다. 이때 사용하는 것이 임시로 해결하는 땜질 방식이죠.

기업이 아닌 공기관이라면 문제는 더 심각해집니다. 기업은 내부에 개발자들이 있기 때문에, 새로운 기술이 나올 때 나무의 뿌리를 옮기듯이 새로운 환경에 대처할 수 있습니다. 그러나 공기관은 내부에 개발자 집단이 없습니다. 매번 비용을 잡아서 외부 개발자들에게 문제 해결을 요구하죠. 이때 10억이 드는 신규 리뉴얼과 5천만 원이 드는 빠른 해결방법, 둘 중에 무엇을 택하게 될까요? 대부분의 단체는 더 적은 비용으로 빠른 해결방법을 원하게 됩니다. 대신 원천적인 문제는 남겨둔 채, 폭탄 돌리기를 하게 되죠. 이건 기관이나 공무원뿐 아니라 일반적인 기업에서도 비슷하게 통하는 문제입니다. 당장 눈앞의 이득이 큰 쪽을 선택하고, 더 큰 문제가 생길 수 있는 지점은 무시하죠. 이것이 액티브 X 문제에서도 똑같이 일어난 부분입니다.

결국 개발자 없는 공기관, 기업들의 기술 부채가 만들어낸 문제

정리해보자면, 액티브 X는 원래 제한적으로만 사용되어야 하는 임시처방 기술이었습니다. 그러나 많은 사용자들이 오래된 익스플로러를 그대로 사용했고, 기업들도 신기술을 미뤄두며 돈을 벌었죠. 그러다가 익스플로러를 떠나는 사용자들이 많아지자, 새로운 플랫폼에 맞춰 개발하기보다, 더 저렴한 임시 처리 방식을 선택하는 기업들이 늘어났습니다. 액티브 X가 아닌 추가 EXE 파일을 사용하거나, 사실상 바뀐 게 없는 서비스들도 남아있는 거죠. 심지어 이런 식으로 문제를 해결해주는 개발 업체들도 많기 때문에, 외주로 문제를 해결하는 공기관이라면 더욱더 문제가 커집니다.

일반 기업이라면 이런 문제 해결을 미뤄둔 기술 부채 문제가 터져, 시장에서 사라지게 됩니다. 그러나 공기관들은 내부에 개발자가 없고, 외부의 개발 업체들에게 문제를 맡기게 됩니다. 결국 더 저렴한 가격으로 문제를 해결해주는 악성 업체들이 살아남게 되고, 더 저렴한 돈으로 문제를 해결하려는 공기관들과 함께 묶여 생존하게 되죠. 과거에는 사용자 탓을 했지만, 신규 OS와 새로운 브라우저로 무장한 사용자들에게 기업들은 무슨 변명을 할 수 있을까요? 이런 기업들은 놀랍게도 ‘아직도 구버전 익스플로러를 사용하는 사용자가 있기 때문에, 어쩔 수 없는 선택’이라고 이야기합니다. 그러니까, 처음부터 사용자의 문제가 아니었다는 이야기죠.

또 다른 문제점, 공인인증서

액티브 X와 연결되어, 이 상황을 잘 설명해주는 커다란 문제가 또 있습니다. 바로 공인인증서입니다. 대부분의 서비스들이 액티브 X를 사용하는 이유는 사용자에 대한 개인인증을 처리하기 위함인데요. 이런 인증은 이메일이나, 전화번호 인증만으로는 도용이나 해킹 등의 문제가 있습니다. 그래서 여전히 법적 안전장치인 공인인증 서비스를 이용하는 것이죠. 하지만 이 공인인증서를 대체할 간편 인증 서비스가 없는 상태에서, 액티브 X만 없애라고 말하니 문제가 된다고 말합니다. 하지만 이걸 조금 정확히 말하자면 문제는 더 단순해집니다. 공인인증서보다 단순한 안전장치를 썼을 때, 문제가 생기면 그 손해는 누가 물어줘야 하는가?라는 문제입니다.

한국의 법에는 서비스의 보안 문제나, 관리 문제 등으로 생긴 개인정보 관련 손해는 기업의 책임으로 되어있습니다. 하지만 대부분의 기업들은 이 상황을 피하고 싶어 하고, 서비스 약관에 이 지점을 교묘하게 섞어 넣어둡니다. 또한 실제 보안 문제가 발생하더라도, 소송을 건 일부의 인원에게만 비용을 지불하죠. 이런 상황에서 기업들은 입을 모아 말합니다.

- 공인인증서를 대체할 기술은 있나?

- 공인인증서 대체 기술 썼다가 ‘보안 문제가 생기면’ 누가 책임지나?

- 공인인증서 기술 쓰지 말라면서, 새로 개발하는 비용 내주는 것도 아니지 않나?

일단, 공인인증서를 대체할 기술은 여러 가지가 논의되고 있습니다. 첫 번째는 생체인증 기술입니다. 다만 이 방식의 경우 인증절차가 까다롭고, 당장 모든 서비스에 적용하기에는 한계가 있는 상태죠. 두 번째는 아이핀 기반의 통합 본인인증 서비스입니다. 이 역시 정부 주도로 진행된 인증 방식 중 하나지만, 가입절차나 연결 등이 불편해 사용자들에게 인기를 얻고 있지는 못합니다. 이외에도 통합 인증 정보를 스마트폰에 담아 연결하는 ‘인증 종합 포탈 서비스’가 등장하고 있지만, 아직까지는 실험적인 연구에 가까운 상태입니다.

그렇다면 현실적인 대안은 무엇이 있을까요? 최근 기준으로 정부기관들이 선택하는 건, 카카오톡 등을 이용한 간편 인증서비스입니다. 카카오톡 기반 인증의 경우 실제 정부기관들 중 일부가 적용해 공인인증서 없이 로그인이 가능합니다. 다만 아직 일부 기관이 시험적으로 운영하고 있는 상황이고, 기업들이 기존에 주장하던 법적 문제가 이것으로 해결될 수 있는지는 미지수입니다. 또한 모바일 중심으로 설계된 카카오톡 기반 인증은 기존 기업들이나, 공기관들에게는 선뜻 선택할 수 없는 지점이기도 하죠.

새로운 기술이 없는 것이 아니라, 무엇이 더 좋은 선택인지 모르는 것이 문제

액티브 X 문제는 공인인증서 문제와 함께 진흙탕처럼 얽혀있는 상태입니다. 일반적인 기업들은 법적인 문제를 방패로 들고, 공인인증서를 대체할 기술을 내놓으라고 이야기하죠. 하지만 그것을 대체할 기술이 없는 게 아닙니다. 이미 세상에 여러 대체 기술들이 나와있지만, 사용자 편의를 위해 문제를 해결하려는 의지가 없는 것이죠. 이런 문제를 해결하려면 일단 공기관 내부에 자체적인 개발자 조직이 필요합니다. 무엇이 문제인지도 모른 채, 악성 개발업체에게 문제 해결을 맡기는 공기관들이 악성 개발 업체를 먹여 살려주고 있기 때문입니다.

매번 문제를 1회성으로 외주 처리하는 환경에서는 더 저렴하고 빠른 해결책에 눈길이 갈 수밖에 없습니다. 개발자가 없으니 무엇이 왜 나쁜 선택인지도 알지 못한 채, 더 저렴한 선택지만을 바라보게 되죠. 공기관 내부에 개발자 조직이 생겨나면, 문제를 장기적으로 바라보는 계획을 세워야 합니다. 그래야 기술의 트렌드를 읽고, 거기에 맞춘 유지보수를 할 수 있죠. 정부 역시도 공인인증서처럼 오래된 기술이 아니라 사용자가 간편하게 쓸 수 있는 기술에 대해 지속적인 자문을 받아야 합니다. 공인인증서만을 사용해서 서비스를 만들라고 가이드라인을 내린 탓에, 지금 같은 환경이 만들어지기도 했으니까요.

다만, 개발자 조직이 생긴다 해서 모든 문제가 해결되는 건 아닐 겁니다. 공기관 내부 개발자 조직이 또다시 오래된 기술을 그대로 사용한다면 문제는 반복되겠죠. 그래서 국가 레벨에서 권장하는 개발환경인 전자정부 표준 프레임워크를 잘 지키고 있는지 확인해야 합니다. 또한 서비스 개발 가이드라인의 범위를 서비스 기획 분야까지 확장해야 합니다. 각각의 공기관들이 제멋대로 저렴한 기술을 붙여서 만드는 것이 아니라, 권장하는 기술들 중에 선택할 수 있는 방식이 되어야 합니다. 그리고 그러한 기술들은 지속적인 업데이트와 민간 자문이 꼭 필요하다고 봅니다.

이번 글에서는 액티브 X의 문제가 무엇인지, 그리고 어떤 이유에서 계속 엉망인 공기관 웹사이트들이 만들어지는지 알아보았습니다. 결국 문제들을 정리하면 다음과 같습니다.

- 공기관 내부에 개발자가 없어, 기술 트렌드나 장단점을 알지 못한다.

- 외주 업체로 문제를 처리하다 보니, 문제 해결보다 저렴한 가격에 비중을 두게 된다.

- 정부의 가이드라인에 따르지만, 사용자 편의성에 대해 생각하는 경우는 드물다.

- 이러한 공기관 상황에 맞춰 임시방편을 제공하는 개발업체들이 공존하고 있다.

다음 시간에는 실제로 공공기관들이 어떤 방식으로 문제를 해결하고 있는지, 또 그런 선택이 어떤 지점에서 문제가 되는지 실제 사례를 통해 확인해보겠습니다. 만약 액티브 X와 공인인증서 관련 문제에 대해 좀 더 알고 싶다면, 아래 참고 자료를 살펴보시면 좋을 것 같습니다.

<참고 자료>

허핑턴포스트: 기사 원문

로그인하고 자유롭게 의견을 남겨주세요.