국내 인터넷 생태계를 교란시켜 온 액티브X(Active-X)에 이별을 고할 시기가 왔다. HTML5와 같은 웹표준의 확산으로 이제 액티브X 없이도 전자정부, 스마트뱅킹, 인터넷쇼핑 등을 할 수 있도록 도와주는 솔루션이 하나 둘 등장하고 있다.
비(non)액티브X와 HTML5 기반 솔루션이 적용되면 마이크로소프트 인터넷익스플로러(IE)뿐만 아니라 구글 크롬, 모질라 파이어폭스, 애플 사파리 등에서도 자유롭게 스마트뱅킹과 전자정부를 사용할 수 있다. 이에 따라 이용자들의 불편이 크게 해소되고 진정한 개방형 인터넷 생태계가 구축될 것으로 기대된다.
<디지털데일리>는 현재 스마트뱅킹, 전자정부 서비스에 탑재되는 솔루션 동향을 살펴보고, 비액티브X 기술과 향후 발전될 방향을 짚어볼 계획이다. <편집자주>
1.갈라파고스 된 한국 인터넷 생태계, 문제는 ‘액티브X’
2.정부·기업, 액티브X 걷어내기 본격화
3.액티브X 사라지고 새로운 생태계 만들어진다
[디지털데일리 이민형기자] 액티브X를 걷어내겠다는 정부의 의지에 따라 국내 보안업체들의 움직임도 활발해지고 있다.
브라우저에 종속되지 않고 동작하는 보안 솔루션이 등장하기 시작했고, 모바일을 통한 전자서명 서비스, HTML5 기반 전자서명 솔루션도 출시돼 고객사를 찾고 있는 상황이다.
현재 시장에 출시된 비(non) 액티브X 솔루션은 크게 ▲전자서명 ▲문서위변조 방지 ▲키보드보안·개인방화벽 등으로 꼽을 수 있다.
전자서명 솔루션의 경우 순수 HTML5(퓨어 웹)으로 구현된 솔루션과 모바일 등을 활용해 멀티팩터 인증식으로 사용되는 솔루션 등으로 나뉘어진다.
문서위변조 방지 솔루션이나 키보드보안, 개인방화벽의 경우 HTML5로 구현하기 어렵기 때문에 액티브X를 사용하지 않고 URL 프로토콜 핸들러를 사용할 계획이다.
◆“액티브X 없이도 공인인증서 사용 가능”=액티브X 없이도 전자서명이 가능한 솔루션이 등장함에 따라 공인인증서 사용 환경이 개선될 것으로 기대되고 있다.
예티소프트 HTML5 웹크립토API를 지원하는 웹브라우저에서 별도의 플러그인 없이 전자서명을 할 수 있는 솔루션을 개발했다. 국내에서는 최초로 개발된 솔루션이다.
이 솔루션은 인증서 발급에서부터 폐기까지 가능하며, PKCS 라이브러리를 채택해 암호 기능도 갖췄다. 특히 로컬저장소외에 보안토큰, 인증서 지갑, 유심, NFC 등 공인인증서가 탑재되는 모든 저장소와 연동가능하다.
현재 공인인증기관(CA)과의 연동이 아직 진행 중에 있으며 내년부터 본격화될 것으로 기대하고 있다.
이니텍은 지난해 스마트폰을 활용한 전자서명 솔루션을 출시했다. 이 솔루션은 현재 신한은행 오픈뱅킹에 적용돼 있다. 이 솔루션은 액티브X 기반으로 동작하지 않으며 내이티브 앱으로 구현된다. 브라우저에서 전자서명을 요청하면 스마트폰 앱을 통해 이를 구현하는 형태다.
스마트폰을 통해서만 전자서명을 할 수 있다는 단점이 있으나 구축이 빠르고 적용범위가 넓다는 장점이 있다.
소프트포럼은 멀티브라우저를 지원하는 전자서명 솔루션을 HTML5 기반에서 동작할 수 있도록 고도화에 착수했다. 앞서 소개한 예티소프트의 HTML5 기반 전자서명 솔루션처럼 별도의 설치가 없이도 브라우저에서 전자서명이 가능하도록 개발하고 있다. 목표는 올해 말이다.
라온시큐어는 유심을 통한 전자서명 서비스를 출시했다. 동작방식은 이니텍과 유사하나 공인인증서를 유심칩에 저장한다는 점이 차이를 보인다. 공인인증서 유출을 사전에 차단할 수 있다는 점이 가장 큰 장점이라고 회사측은 설명한다.
이 회사 관계자는 “유심 스마트인증 서비스는 기존 방식으로 공인인증서를 사용하는 모든 사이트에서 사용 가능하다”며 “은행, 증권사 외 온라인 결제, 온라인 민원서비스 등에도 모두 적용할 수 있다”고 전했다.
◆“꼭 필요한 솔루션은 액티브X 대신 URL 프로토콜 핸들러로”=위즈베라, 마크애니, 안랩, 잉카인터넷 등 네이티브 기반 보안솔루션 개발업체들은 액티브X를 비롯해 NPAPI(Netscape Plugin Application Programming Interface) 사용을 서서히 중단하고 있다.
이들 업체들의 솔루션(개인방화벽, 가상키패드, 문서보안, 업데이트 관리 솔루션 등)들은 HTML5와 같은 퓨어 웹으로 구현하기가 사실상 불가능하다. 따라서 액티브X나 NPAPI와 같은 플러그인을 사용해 별도로 설치하는 과정이 필요하다.
액티브X 사용을 지양하기 시작한 보안업체들은 우선 NPAPI로 이동을 시작했다. NPAPI는 구글 크롬, 모질라 파이어폭스 등에서 사용되는 일종의 액티브X다.
업계 관계자는 “멀티브라우저를 지원하는 가장 쉬운방법은 NPAPI를 사용해 플러그인을 구현하는 것”이라며 “비 IE에서 동작하는 플러그인은 대부분 NPAPI를 사용한 것이라 보면된다”고 설명했다.
하지만 최근 상황이 변했다. 브라우저 개발사들이 모두 NPAPI 지원을 종료한다고 발표했기 때문이다. 이유는 NPAPI가 구식인 기술이고, 이를 통해 보안에 문제가 생길 수 있다는 이유 때문이다. 구글은 이미 지난 6월부터 지원을 종료했으며 애플과 오페라 등도 내년중 지원을 중단 할 계획이다.
보안업체들은 액티브X, NPAPI 대신 URL 프로토콜 핸들러(URL을 이용한 앱 실행, Custom URL Scheme) 등을 사용해 플러그인을 설치하고 필요시에만 구동하는 방법을 사용하기 시작했다. 위즈베라, 마크애니, 잉카인터넷 등은 이미 이를 통한 솔루션 개발을 완료했다.
URL 프로토콜 핸들러는 웹에서 내이티브 솔루션을 구동하기 위해 적합한 기술이다. ‘http://’나 ‘https://’, ‘ftp://’와 같이 ‘://’ 앞에 표시되는 문자열에 따라서 뒤따르는 URL과 파라미터들을 입력받는 응용프로그램을 호출해서 데이터를 넘겨줄 수 있다.
가령 ‘http://ddaily.co.kr/report_preview/’와 같은 주소를 입력하면 리포트를 읽을 수 있는 앱이 구동된다. 이를 응용하면 인터넷뱅킹 사이트에 접속했을 때 자동으로 개인방화벽이나 가상키패드 등을 호출할 수 있다.
브라우저로 애플 앱스토어에 접근할 경우 아이튠즈(iTunes)가 자동으로 실행되는 것이 실제 사례로 볼 수 있다.
이와 관련 박기수 마크애니 전자문서사업본부장은 “현재 멀티브라우저를 적용하는 사업에 대해서 이 기술을 적용한 솔루션을 공급할 계획”이라며 “이미 액티브X는 걷어내고 있는 방식이며, 추후 NPAPI 방식이 중단 될 경우 기존 솔루션을 대체하게 될 것”이라고 전했다.
<이민형 기자>kiku@ddaily.co.kr
IT언론의 새로운 대안[디지털데일리]
IT정보의 즐거운 업그레이드[딜라이트닷넷]
<저작권자 © 디지털데일리 무단전재-재배포금지>
.png?type=nf190_130)
.jpg?type=nf190_130)
