문재인 정부가 공공 웹사이트 액티브X 제거 공약 이행을 공식 선언했다.
국정기획자문위원회는 내년부터 2020년까지 3년간 공공 웹사이트에서 액티브X 제거를 국정과제로 추진한다고 6일 밝혔다.
일단 현재 공공 분야 웹사이트에 채택돼 있는 액티브X는 단계적으로 제거한다. 또 신규로 구축하는 웹사이트는 액티브X 프로그램 설치없는 논플러그인 방식으로 구축한다. 불가피한 경우 실행파일(exe)을 설치할 수 있도록 한다.
■ 업계 "EXE 기술 적용 방침은 아쉬워"
국정기획위는 이를 위해 공공분야 액티브X 사용현황 실태조사를 실시할 예정이다.조사 결과를 바탕으로 세부 추진계획을 수립한다. 실태조사는 행정자치부, 미래창조과학부 등의 논의를 거쳐 진행될 전망이다.
정부에 따르면 지난 2015년 액티브X 제거사업을 시작하기 전 공공분야 홈페이지 1만2천13개가 액티브X를 쓰고 있었다. 사용 중인 액티브X 모듈은 9천129개였다. 정부는 2년간 9천942개 홈페이지에서 5천342개 액티브X 모듈을 제거했다. 2016년말 기준 공공분야 2천71개 홈페이지에 3천787개의 액티브X가 남아있다.
정부가 제시한 자료를 보면 2015년부터 2016년 사이에 액티브X 사용 홈페이지 80% 이상을 감축했다. 따라서 올해부터 4년에 걸쳐 20% 미만의 나머지를 없앤다는 계획은 더딘 것처럼 비친다.
행자부 김엽 정보자원정책과장은 이런 지적에 "앞서 액티브X가 제거된 80% 이상 홈페이지는 상대적으로 손쉽게 제거할 수 있는 것을 우선 조치하는 작업이었다"며 "다음달(8월) 중 기관들의 액티브X 기술 수요와 대체기술 적용 가능 여부를 파악하고 관련 계획 수립과 예산 확보를 위한 시간이 더 필요하다"고 설명했다.
행자부는 6일 불가피한 경우가 아니면 '액티브X’ 프로그램을 자발적으로 제거하도록 각 기관에 협조를 요청했다고 밝혔다.
액티브X를 글로벌 웹 표준인 HTML5로 대체할 수 없는 경우, 대안으로 EXE 기술을 적용한다는 방침에 대해 업계는 아쉽다는 반응이다.
민간 사이트부분 웹 표준 전환을 지원하고 있는 한국인터넷진흥원 관계자는 액티브X제거 사업에서 대체 기술로 EXE 파일을 사용하는 이유에 대해 “HTML5는 국제 웹 표준인데 문서 위변조 방지(민원24 등에 적용) 같이 우리나라에서만 특화해서 제공하는 보안 기능은 웹 표준에서 다 수용하지 못하는 부분이 있다”고 설명했다.
하지만, PC에 설치파일을 설치하는 방식인 EXE는 또 다른 형태의 액티브X일 뿐이라는 지적이 많아 향후 논란의 여지가 남았다. 문 대통령 공약인 “논플러그인(Non-plugin) 정책”과도 동떨어진 다는 비판이 나올 수 있다. 논플러그인은 액티브X뿐 아니라 실행파일 설치가 필요 없는 방식을 말한다.
■ "공인인증서는 전자서명법과 연계돼 의견 수렴 중"
문재인 대통령은 대선 당시 공인인증서와 액티브X 폐기를 주요 공약으로 제시했다. 그러나 국정기획위는 공약 중 액티브X 폐기만 주요 국정과제로 삼았다. 공인인증서 폐기의 경우 불가피한 분야 때문에 행정자치부 차원에서 장기 계획 하에 추진하기로 했다.
관련기사
- 공공 웹사이트에서 액티브X 사라진다2017.07.06
- 공인인증서·액티브X, 확실히 폐기하라2017.07.06
- KISA, 액티브X→웹표준 전환 비용 지원2017.07.06
- 국회의원도 어려운 e쇼핑...공인인증 해결책은?2017.07.06
공인인증서, 액티브X 폐기를 실현하려면 '공인전자서명 독점 체제 폐기', '공인인증서 사용시 금융회사의 사실상 면책 여건 변경', '정부의 온라인 본인확인 관련 기술 개입 중단' 등 조치가 이뤄져야 한다. 이를 위해서 전자서명법 3조 개정, 전자금융거래법 9조 개정, 공공사이트의 추가프로그램 설치 중단, 민간의 동일 관행 중단 유도가 필요하다.
행자부 이세영 정보기반보호정책과장은 "공인인증서는 전자서명법에 규정돼 있고 전자서명법 주무부처는 미래부여서 미래부에서 전문가들 의견을 수렴 중"이라며 "공공사이트의 공인인증서 부분은 미래부의 방향성이 정해지면 그에 따라 대응하려고 한다"고 밝혔다.
