[2018 국정감사] 100대 웹사이트서 180개 액티브X 여전히 사용

김경진 의원실 “보안책임은 서비스 공급자가 져야 해”
최근 3년 제거 비용 54억원 지출, 향후 추가 146억원 예상

정부가 ‘액티브X’ 폐지에 나서고 있지만, 아직도 상당수의 웹사이트에서 액티브X가 남아있다는 지적이다.

국회 과학기술정보방송통신위원회 소속 김경진 민주평화당 의원이 과학기술정보통신부로부터 받은 자료에 따르면 국내 민간 100대 웹사이트의 액티브X 수는 2014년 1644개에서 2017년 180개로 89%(1464개) 감소했다.

특히 포털(▲14개 ▲88.7%)과 쇼핑(▲217개 ▲93.1%) 분야가 대폭 개선된 것으로 나타났다. 이용 불편의 주요인으로 지목된 결제(▲194개, 75.2%), 보안(▲459개, 98.1%), 인증(▲345개, 96.4%) 관련 이용 환경 개선(1084개→86개, 92.1%)이 중점적으로 이뤄진 것이다.

액티브X란 마이크로소프트사(MS)가 만든 인터넷 익스플로러용 플러그인으로 금융거래나 개인인증 등에 주로 사용되며, 서비스기업 서버가 아닌 사용자의 PC에서 실행되도록 돼있다. 폐쇄성과 보안성이 문제로 지적되며, 제조사인 MS조차 사용 중단을 권유하기도 했다.

정부가 2021년까지 민간 500대 웹사이트의 액티브X 90% 이상 제거하겠다고 나선 것은 이것이 문재인 정부의 대선공약이자 국정과제이기 때문이다.

정부의 액티브X 제거 비용도 상당한 것으로 나타났다.

민간 100대 웹사이트의 잔여 액티브X 180개 제거에 약 145억8000만원이 드는 것으로 예상되고, 국세청의 경우 22억원을 들였는데도 홈텍스 전체가 아닌 연말정산 간소화 서비스에서만 액티브X를 걷어내는데 그쳤다. 또한 과기부의 경우 최근 3년간 공모사업을 통해 민간의 액티브X 제거 비용 중 일부인 54억여원을 집행한 것으로 나타났다.

김경진 의원은 “현재 민간분야는 과기정통부가 맡고 있고 공공분야는 행정안전부에서 관할하고 있는데, 이원화된 시스템으로 인해 공공분야의 변화가 상대적으로 더디게 이뤄지고 있다”며 “액티브X 제거비용이 상당할지라도 정부는 반대 효용을 고려하여, 민간과 공공분야 전체에 빠른 개선이 필요하다”고 설명했다.

아마존의 경우 기업이 보안에 철저하기 때문에 이용자들은 접속 후 간단한 인증으로 카드 결제가 가능하다. 나머지는 회사 또는 결제회사가 책임지는 시스템으로 개인컴퓨터가 해킹당할 경우 이용자가 책임을 지는 우리와는 다른 시스템이다.

김경진 의원은 “기술과 자본을 보유한 서비스 제공자가 스스로 보안을 강화해야함에도 불구하고 지난 십수년간 이용자에게 보안책임을 넘기면서 사고가 터져도 공급자들은 면죄부를 받았다”며 “해외 유수 사이트들처럼 기업이 보안책임을 지고, 사용자는 아이디와 비번을 가지고 로그인만 하면 보안 프로그램 설치 없이 간단히 결제가 가능하도록 제도를 개선해야 할 것”이라고 말했다.