액티브엑스
* 관련 문서: 컴퓨터 관련 정보, 인터넷 관련 정보, 만악의 근원, 악습
> 액티브X, 아주 액티브하게 엑스 쳐주시면 감사하겠습니다.[* 과거 인텔이 인텔 펜티엄III 시리즈 광고에서 인텔 펜티엄II 시리즈 로고에 X표를 친 것에 착안한 것.] > - [전경련] 부회장 이승철
attachment:/ActiveX.png?align=right&height=100
개요
attachment:/InstallActivex.gif
~~만악의 근원~~ --액티브X레기--
마이크로소프트에서 만든 COM(컴포넌트 오브젝트 모델)과 OLE(오브젝트 링킹 앤 임베딩)기술에서 컨텐트를 네트워크에서 다운로드 하기 위한 소프트웨어 프레임워크. 좁은 의미로는 이를 월드 와이드 웹에서 적용 시키는 기술이다.[* 액티브X는 거대한 소프트웨어 프레임워크지만 대한민국에서는 '인터넷 익스플로러에 붙어서만 실행되는 MFC 응용프로그램' 정도로 인식되는 것이 일반적이다.]
1996년에 소개된 이 기술은 기본적으로는 윈도우에 종속되는 것은 아니지만 실제적으로 액티브X 컨트롤은 x86 *****U에서 컴파일된 코드를 가지고 있었기 때문에 결국은 윈도우 또는 윈도우 에뮬레이터를 필요로 했다.
강력한 기능을 가지고 있으나 웹 시대가 흐르면서 웹표준에 대한 여론이 대두되며 웹표준을 지키지 않는 IE와 더불어 퇴출 운동에 시달렸다. 이후 여러 기반 기술의 발전으로 점점 사라지고 있는 추세. MS가 액티브X를 없애려 했는데 대한민국 정부가 액티브X에 대한 기술 지원을 요청했다느니 하는 말은 사실 무근의 거짓말이다. MS가 '사용 자제를 권고' 했다고는 한다.
후술할 여러 문제점으로 인해 컴덕들이나 관련 개발자들은 액티브X를 ~~스티브 U만큼이나~~ 상당히 증오하고 있다. ~~라임이 척척 맞네~~
특성
OLE2.0이 복잡하고 MFC에서 COM을 거의 지원하지 않자 이것들을 더 단순하게 만들어 액티브X를 내놓았다. 거기에 인터넷 익스플로러 3.0을 결합하여 HTML 안에 액티브 X 컨트롤을 관리할 수 있는 지원을 추가하게 되었다. 덕분에 브라우저가 OBJECT 태그를 통하여 액티브X 컨트롤을 발견하면 컨트롤을 자동으로 내려받아 설치하였다. 사용자의 간섭 없이도.
덕분에 개발자는 마이크로소프트의 수많은 개발 자원을 고스란히 이용하여 웹사이트에 붙일 수 있게 되었다. COM을 따르기만 한다면 어떠한 언어로도 개발한 프로그램을 붙일 수가 있었고 어떠한 기능이든 마음대로 붙일 수가 있었다. 바야흐로 동적 웹 페이지의 인터넷 전성시대를 연 일등공신이기도 하다.
문제
액티브X 기술은 대단히 편리한 기술임에는 틀림없다. 각종 다운로드 서비스, 게임 실행, 음악 재생 등 사용자의 인지 없이도 온갖 프로그램을 웹페이지 접속만으로 실행할 수 있었으며 한국이 일약 인터넷 강국으로 떠오르게 된 발판이기도 하다. 당시의 기술로는 액티브X가 없었다면 저런 것은 만들 수조차 없었거나 매우 느려서 쓸모가 없었다. (90년대 당시 자바애플릿을 채용한 곳도 있었으나 너무나 느렸기 때문에 사용자로부터 외면을 받았다.)
하지만 앗차, 너무나 편리한 나머지 이 기술은 다른 치명적인 문제점도 가지고 있었다. 위에서도 써놨듯 사용자의 간섭 없이도 자동으로 설치된다는 것은 곧 보안의 허점을 의미했다.[* 사실 이미 IE6때부터 자동으로 설치되는것은 막아져 있었고, 설정만 한다면 아이에 activeX가 실행되지 않도록 할 수도 있었다] 때문에 웹페이지 접속만으로 온갖 악성 프로그램이 실행되는 것은 일상다반사였고 컴퓨터는 아는 사람은 물론이고 모르는 사람의 PC에는 허구헌날 바이러스와 악성코드가 창궐하기 일쑤였다. 이것은 단순히 액티브X만의 문제는 아니었고, 그것을 허용하게 하는 윈도우 운영체제의 허술함도 크게 기여했다. 이 문제는 결국 사용자의 관리자 권한을 제한하는 윈도우 비스타에 와서야 겨우 해결책이 생겨나게 되었다.
이놈이 왜 대한민국에서 널리 퍼지게 되었는지에 대해서 알고 싶다면 일단 SEED 문서를 참고하기 바란다. 덤으로 공인인증서 문서에서도 액티브X가 대한민국에서 널리 퍼지게 된 사정에 대한 이야기가 적혀있으니 이쪽도 같이 읽어두면 좋다.
액티브X의 작동시 문제점
운영체제와 웹 브라우저 차별
액티브 X는 인터넷 익스플로러에서만 지원하며 앞에서 언급한 대로 웹 브라우저 안에서 사실상 윈도우즈 실행 파일(exe)을 실행시키는 것이다. 즉, 액티브X가 들어간 웹 사이트의 내용물은 윈도우즈가 아닌 다른 운영체제에서는 실행이 불가능하다.[* 이러한 이유로 매킨토시용 인터넷 익스플로러에서는 액티브 X를 실행시킬 수 없었다. 애초에 실행시킬 exe가 운영체제에 안 깔리니...] 그리고 같은 윈도우즈 사용자라도 파이어폭스 등 다른 브라우저를 사용할 경우 액티브X를 사용한 페이지가 제대로 표시되지 않는다. 대한민국 웹 사이트에서 인터넷 금융 결제를 리눅스나 매킨토시 등에서는 절대 못하는 게 바로 이 때문.[* 사실 은행들은 크로스 브라우징을 지원하고 있다. 정부 기관은 아니지만] ~~윈도를 wiki:"강요받고 있는 거다!" 강매하고 있는 거다!~~ 게다가 윈도가 한두푼 하는 것도 아닌지라[* 가장 싼 Windows 8만 해도 9만원이나 한다.] 대놓고 복돌이가 되라는 꼴이다.
혹시 "리눅스, 매킨토시가 뭐죠? 그거 먹는 건가요?" 라고 하는 분이 계시다면 스마트폰 안드로이드와 아이폰에서 쓰는 운영체제라고 말씀드리면 될 것이다.[* 하지만 모바일로 뱅킹이나 쇼핑을 할 수 있게 하기 위해서 스마트폰에서는 별도 어플을 ~~강제로~~ 깔게 만든다. 그러나 스마트폰 어플들은 구글 플레이와 앱스토어의 검열을 통과한 정상품들이므로 욕할 거 없다. 또한 지울 때도 깔끔하게 사라진다.][* 참고로 안드로이드는 경량화된 리눅스 커널을 사용하며, 아이폰에서 쓰는 iOS는 변형된 OS X 커널을 사용하고 있다.]
인터넷 익스플로러에서의 버전 간 호환성 관련 문제
인터넷 익스플로러의 버전이 높으면 높을수록 액티브X의 능력을 확장시키기는 커녕 오히려 제한하기 때문에[* 보안 문제와 속도 문제 때문] 익스플로러에 있어서 버전 간 호환성 관련 문제를 일으키고 있다. 이를테면 인터넷을 돌아다니다 "Internet Explorer 6(IE6)은 오래된 브라우저입니다. Internet Explorer 8을 설치하세요!" 와 같은 글을 보고 IE8을 설치한 상태에서 타 사이트로 가서 기존에 쓰던 액티브X를 실행했더니 안 되는 경우가 대표적인 사례라 할 수 있다. 이건 뭐... --게다가 인터넷 익스플로러를 다운그레이드 하려면...--
이제 윈도우 8으로 가면 운영체제 자체(메트로 UI)에서 기능을 제한한다(플러그인 실행불가). 특히 윈도우 폰, ARM 버전 윈도우 8, 그리고 PC 버전 윈도우 8과의 통합을 위해 제한한다(스마트폰과 ARM *****U에서 액티브X가 작동할 리 없고 결국 통합에 방해물이 될 뿐이다).
위에서 언급되었던 운영체제와 웹 브라우저에 대한 차별 문제가 윈도우즈를 사용하지 않는 유저나 인터넷 익스플로러를 사용하지 않는 유저에게 스트레스와 트라우마를 선사해 주는 문제라면 이쪽의 경우에는 반대로 윈도우즈와 인터넷 익스플로러를 사용하는 유저에게 스트레스와 트라우마를 선사해 주는 문제라 할 수 있다. ~~어떤 운영체제와 웹 브라우저를 사용하는지를 불문하고 모든 유저들에게 공평하고 평등하게 스트레스와 트라우마를 선사해 주는 그 막장스러움에 대해 대체 웃어야 할 지 울어야 할 지~~
낮은 접근성
낮은 접근성은 웹 사이트를 이용하기 불편하고 짜증난다는 뜻이다. 특히 컴퓨터를 잘 다루지 못하는 속칭 컴맹이나 어린이, 노인 같은 경우는 더 하다. 거기다 장애인, 특히 시각장애인이라면 더. 특히 온라인 게임의 경우 액티브X를 쓰는 경우가 많았지만 IE7(인터넷 익스플로러 7)부터는 액티브X를 설치했어도 실행시 매번 물어보는 경우도 있기 때문에 접근성이 매우 낮아졌다. 따라서 접근성 향상을 위해서는 브라우저에서 실행하는 것보다 게임 자체를 실행하게 하는 편이 낫다. 게임 설치 후 아이콘만 더블클릭하면 되니까.
또한 NT 6.x 커널의 운영체제[* Windows Vista(NT 6.0.6002(SP2)), Windows 7(NT 6.1.7601(SP1)), Windows 8(NT 6.2.9200), Windows 8.1(NT 6.3.9600).]에서는 100%의 확률로 UAC가 뜬다. --우아씨-- 대부분 시스템 영역에 접근하기 때문. 이 때문인지 금융권 등의 홈페이지는 UAC를 끄라는 안내로 점철됐을 정도다(...) UAC는 컴덕들의 경우 귀찮아서 끄는 경우도 있지만 이러면 일반인인 경우는 보안 측면에서는 쥐약이다.
다만 접근성이 낮은 것은 액티브X만의 문제는 아니다. [어도비 플래시|플래시]를 떡칠한 경우나 웹 페이지 디자인을 이상하게 한 경우[* 가독성 낮은 글꼴, 안구를 공격하는 텍스트 색상, 어지러운 웹 페이지 배경 등.]도 포함되기 때문이다. 플래시 남용의 경우는 모바일 기기에서 접속이 거의 불가능해 지므로 ActiveX남용과 비슷한 케이스라고 볼 수 있다. 물론, 모바일 기기와 관련 없는 사업을 하는 (예를 들어 PC에서만 돌아가는 게임 등)경우에는 간혹 보인다. 그러나 ActiveX는 PC건 아니건 반드시 필요한 웹 사이트들에 만연해 있기에 더 문제가 심각하다. 한편, 웹 페이지를 그냥 무질서하게 만든 경우는 이 문서 주제와는 별반 관계가 없다. 웹 페이지 디자이너의 자질 문제지 기술적인 장벽에 해당하는 문제가 아니기 때문.
2014년 하반기에 들어서 MS는 더 강화된 액티브X 보안정책을 실행한다. 구형 액티브X의 실행을 적극적으로 막아버린다. 이제 구형 액티브X는 실행허용을 누르기 전에는 작동하지 않는다. 이제 버튼이 어디있는지 찾아야 한다. 브라우저 버전별, 운영체제별로 뜨는 메세지나 위치가 다르다. --그리고 이제 공지사항으로 임시 실행법과 보안패치 금지령이 내려지겠지-- 첫 대상은 구형 자바 애플릿이다. 실행차단 목록은 보안패치로 지속적으로 갱신될 것이며 그 대상을 확대한다고 한다. [공식 발표]
액티브X 설치시 웹 브라우저 강제 종료
액티브X를 --확실하게 침투-- 안정적으로 설치하기 위해 무작정 현재 작업 중인 모든 웹 브라우저 창을 강제종료 시키는 경우도 있다. 대부분은 강제종료 여부를 물어보지만 간혹 가다 안 물어보는 액티브X도 있어서 문제. 사실 이 프로그램들은 컴퓨터의 제어권을 취득하고 커널에 기생하는 특수한 경우를 제외하고는 웹 브라우저 강제종료가 필요 없다.[* 다만 파이어폭스 구형 부가 기능의 경우 파이어폭스 재시작을 요구하기는 한다. 그런데 얘들이 상행위와 직접적으로 관련되는 경우는 없다.] 단순히 웹 브라우저 창을 새로고침만 하면 되는 문제다.
원래 프로그램을 설치할 때 컴퓨터를 재부팅하는 경우도 있는데, 겨우 웹 브라우저 껐다 키는 걸 뭐라 그러는 사람이 있을지도 모르겠으나 이는 액티브X를 통하여 응용프로그램을 설치하지 않는다면 애초에 있지도 않았을 일이다. 웹 브라우저를 강제종료 시켜가면서까지 액티브X를 통해 응용프로그램을 설치해야만 제대로 된 서비스를 이용할 수 있는 --짜증나는-- 나라는 한국 외에는 어디에도 없다. 거기다 이미 2000년대 중후반부터는 탭 브라우저가 일반화된 상황이라 브라우저 창 하나에 여러개의 사이트를 띄워놓고 번갈아가면서 웹 서핑을 즐기는 일이 많다. 그런 상황에서 웹 브라우저를 종료했다가 다시 실행해야 한다는 건 상당히 번거로운 일이 된다.
브라우저 속도 저하 및 다운 문제
IE의 플러그인 기술이다 보니 많이 설치될 경우 브라우저가 느려지는 현상이 발생한다. 파이어폭스에서 부가 기능을 많이 설치할 경우 발생하는 현상과 동일하다. 문제는 파이어폭스는 부가 기능은 보통 필수가 아니지만 IE는 국내 웹 환경에서 사용을 강요하는 일이 많기 때문에 이런저런 액티브X가 설치되고 결국은 IE의 속도를 떨어뜨려 사용자의 복장을 터지게 하는 주요 원인이 된다.
발로 만든 일부 ActiveX의 경우 작동 오류가 발생하면서 브라우저 자체를 다운시키는 경우도 있다. 한국의 경우 IE가 다운되는 빈도가 다른 국가에 비해 상당히 높은 편인데 발로 만든 ActiveX를 필수로 설치해야 되는 경우가 많은 것이 원인. 특히 그 ActiveX가 악성코드급의 물건일 경우에는... 묵념.
혹은 멀쩡한 ActiveX 프로그램이라고 해도 해당 프로그램 자체가 무겁다면 아무리 사양 좋은 컴퓨터조차 지옥 같은 경험을 겪을 수 있다. 일례로 대부분의 국내 오픈마켓 사이트들은 ActiveX를 쓰고 있지만 이 정도야 본인 인증 정도의 작업만 하는 가벼운 프로그램들이니 그렇게 문제가 크지 않지만 모 오픈마켓 사이트는 굳이 ActiveX가 필요하지 않은 '판매자 관리 센터' 에조차 ActiveX를 적용시킨 탓에 IE가 아니면 판매자가 자기 상품을 올리거나 관리하지 못하게 만들어 버렸고(말인즉슨 다른 오픈마켓 사이트들은 ActiveX를 관리자 페이지에 쓰지 않아서 속도도 빠르고 IE 이외의 브라우저로도 업로드 할 수 있다) 그나마도 원래 상품 등록 절차가 까다로운 만큼 이에 필요한 온갖 기능들이 이 한 프로그램 안에 우격다짐으로 들어있다보니 속도도 더럽게 느려서 상품 하나 등록하는 것도 미칠 듯이 버겁다.
이 때문에 액티브X는 IE의 발목을 잡는 방해물이 되고 있다. 경쟁 인터넷 브라우저들의 발호, 스마트기기의 대중화 등으로 인해 경량화가 대세가 되고 있는데 그놈의 액티브X가... 액티브X가 예전에 IE6의 석권에 한몫한 점을 보면 아이러니한 부분이다.
악성코드의 온상
액티브X로 인해 악성코드가 퍼지기 쉬운 환경이 되었고 현재까지도 '대한민국' 인터넷 생활의 골치거리로 자리잡고 있다.[* 악성코드를 ActiveX로 배포하기가 쉬워졌다는 뜻. 해외사이트에서 ActiveX를 설치하라는 팝업이 뜨면 80~90%는 애드웨어나 악성코드다.]
신뢰할 수 있는 곳(예를 들면 은행 사이트나 정부 기관, 어도비 사)에서 나온 액티브X라면 악성 코드가 나올 가능성이 희박하나 문제는 제작자와 제작사가 불명이거나 신뢰할 만한 액티브X로 보이도록 가장한 것도 있다는 것이다. 컴덕들이야 척 보면 사기인지 눈치를 채겠지만 일반인들은 그게 안 되는 데다가 정식 사이트에서도 설치하라고 강요하므로 그냥 무의식적으로 설치하게 된다. 이것이 악성 코드 감염의 첫 걸음이다. 습관적으로 설치를 누르기 전에 자신이 신뢰할 수 있는 곳에서 배포한 건지 판단할 수 있어야 한다. 어디까지나 설치의 몫은 사용자의 판단이기 때문이다. 물론 수상한 프로그램을 만드는 사람들은 이것까지 고려하여 비교적 정밀하게 위조를 가해 설치를 유도한다만...
파일 공유 중개 사이트(예: xx다운, xx폴더, xx파일 등)에서 뭔가를 받기 위해 다운로드 버튼을 클릭했을 때 "다운받으려면 다운로드 프로그램을 설치해야 합니다" 와 같은 메시지가 뜨며 "XP SP2에서 설치하는 법" 등의 글이 있다면 의심해보자. ~~백프롭니다~~
악성 코드가 일으키는 증상의 대표적인 예:
- 컴퓨터가 왠지 느려진 것 같다. 처음 켤 때도 그렇고 인터넷 띄울 때도 그렇고.
- 인터넷 주소를 입력하는 곳 밑부분에 예쁘장하게 특정 사이트 광고가 붙어있다.
- 네이버 등지에서 검색을 했는데 쓸 데 없이 "이것으로 **에서 검색해 보시겠습니까?" 라는 메시지가 뜨며 메시지를 클릭하면 뭔가 네이버 짝퉁처럼 생긴 사이트 또는 아예 다른 사이트로 이동한다.
- 위와 마찬가지로 인터넷 익스플로러에서 직접 연결되는 기능을 이용해 Google이나 Bing을 이용해 검색을 시도하면 이 설정을 무시하고 짝퉁 사이트에서 검색된 결과가 나온다.
- 언제부터인가 화면 오른쪽 밑에서 "악성 코드 2222 ~~[홍진호|왜 하필]~~ 개에 걸렸습니다! 치료하시겠습니까?", "고객님의 컴퓨터에 사생활 정보가 12345건 있습니다!" 와 같은 글귀가 적힌 조그마한 창이 뜨기 시작한다. 특히 치료하려고 할 때 요금을 내라고 결제창을 띄우는 경우는 [허위백신|악성코드 제거기를 가장]하여 사기를 치려는 의도.~~당신의 뒤에 잡귀신이 붙어있다고 하는것과 똑같은 소리다~~
- 시작 페이지를 자기 멋대로 설정한 뒤에 사용자가 브라우저에서 바꾸지 못하게 한다.[* 시작 페이지를 바꿀 수 있는 경우는 프로그램을 설치할 때 부주의했을 가능성이 있다. 각종 포털 사이트에서 배포하는 프로그램들.]
- 성인 광고 팝업창을 무작위로 띄운다.
- 악성 소프트웨어를 활용한 특정대상 공격에도 활용이 가능하며 대표적인 예로 2011년 3월 초순에 발생한 DDOS 공격 사건이다. 결국 DDOS 공격에 시달린 정부에서 액티브X를 퇴출할 방안을 모색 중. ~~하지만 대한민국 정부는 액티브X를 너무 사랑하기 때문에 결국 퇴출 못할 거 같다~~
그리고 멀쩡한 액티브X라도 보안 문제가 있을 수 있다. 인터넷 결제 좀 해봤다면 다들 알 SoftForum의 XecureWeb을 응용한 해킹이 바로 2013년 3월 20일 방송국 전산망 마비사태이다. 근데 이건 그래도 액티브X는 아닌 알약도 저지른 일이기도 하고 복잡한 기법이 동원된 일이기도 해서 액티브X 문제는 아니고 어쩔 수 없는 게 아니냐고 할 수 있을지 모르겠다만 이건 액티브X의 근본적인 구조 결함과도 관련되기 때문에 아니라고 하기도 뭣하다.
대한민국의 액티브X 사용 실태
||attachment:/activex_no_001.png|| ||attachment:/activex_fail_linux.png|| ||ActiveX를 [wiki:"OS X"지원하지] [wiki:"리눅스"않는] [wiki:"구글 크롬"다른] 운영체제는 아예 사용하지 못하게 한다.br참고로 위쪽은 OS X, 아래는 우분투 리눅스다.br~~나는 한 번만이라도 주문하고 시픙데! 왜! 니! 리눅서는 물건 주문할 수가 업서!~~ ||
attachment:/ActiveX_stap2.jpg 대한민국 쇼핑몰 시스템과 해외 쇼핑몰 시스템을 비교한 표. 결제 한 번 하는데 무슨 최후의 성전마냥 보다시피 이중 삼중 사중의 관문을 거쳐야 한다. 무슨 지거리야!
무엇보다도 금융거래 등을 할 때 법적으로 사용하도록 되어 있는 공인인증서에 무조건 액티브X가 들어간다. 꼭 공인인증서가 아니더라도 대한민국의 경우에는 이걸 아무 데나 쓸 뿐만 아니라 보안 설정이 높아서 액티브X가 안 깔리는 경우 해당 액티브X를 제공하는 홈페이지에서 아예 보안 수준을 낮추어 달라고 공갈을 한다. 물론 설치 후 원래대로 돌려놓으라는 말은 절대로 없다. 보안 수준을 원래대로 돌려놓으면 설치된 액티브X가 동작하지 않을 수도 있기 때문인 듯(...) 이게 얼마나 말이 안 되는지는 한국 액티브X 사용 실태를 아는 외국의 프로그래머들이 액티브X 관련으로 한국을 까는 걸 보면 알 수 있다. 한마디로 정부가 나서서 해커들의 물꼬를 터주는 격이라는 것. 해커들 뿐만이 아니라 사용자들도 까고 있다. [마이크로소프트 포럼 링크]
심지어는 티맥스 윈도우에서도 액티브X가 투입이 되고야 말았으며(...) 한술 더 떠서 2010년 4월 파이어폭스와 [크롬] 같은 [인터넷 익스플로러|IE(Internet Explorer)] 이외의 브라우저에서도 액티브X를 돌리는 프로그램 베라인이 나와버렸다. ~~[특전사|안 되면 되게 하라]~~ --[빵이 없으면 케이크를 먹으면 되지|액티브X를 못 쓰면 쓸 수 있게 하면 되지!]-- 수많은 사람들이 액티브X에서 벗어나 웹 표준을 지키는 것을 기대했지만 현실은 시궁창.
거기다 대한민국 정부가 제공하는 종합 민원포털사이트인 민원24마저 ActiveX가 없다면 민원은 커녕 메인화면조차 볼 수가 없다. 심지어 여기서 설치되는 보안 프로그램들이 커널 패닉을 일으켜 시스템을 다운시키는 웃지 못할 촌극까지 보여준다.
결국 마이크로소프트에서는 윈도우즈 비스타와 IE7(인터넷 익스플로러 7)에서 액티브X의 지원을 줄였으나 이거 하나 때문에 대한민국에서 사용자들의 원성은 심하며 오히려 대한민국 사이트에 들어가기 위해서 비스타가 기본으로 깔린 완제품 데스크탑이나 노트북의 경우 XP로 다운그레이드하는 유저들이 수두룩하다.[* 어쩔 수 없다. 액티브X의 폐해를 모르는 사용자들은 잘 되던 게 갑자기 안 되니까 불만일 뿐.] 그런데도 불구하고 대한민국 기업들은 아직도 액티브X에 상당히 의존적인 것.
설상가상으로 2008년 하반기 출시된 IE8(인터넷 익스플로러 8)에서 액티브X 지원을 더 줄이고 웹 표준에 맞추려는 것 때문에 한국의 기업들은 발 벗고 마이크로소프트에 액티브X를 "[다리따위는 장식입니다|자바 가상머신 따위는 장식입니다. 외국인들은 그걸 몰라요. 그러니까 액티브X를 포기하면 가만 안 둡니다]" 라고 으름장을 내놓는 병크]를 터뜨리고 있다. 더더욱 어이가 없는 것은 이것이 2007년 1월경 윈도우즈 비스타가 출시되었을 때도 똑같은 협박이 일어났던 사건이라는 것. 1년이 넘는 시간이 지나도록 별다른 상황 개선을 하지 않고 허송세월한 셈이다.[* 여담으로, Windows XP 지원 종료를 본격적으로 뉴스에 내기 시작한 것도 이 시기였다.]. 관련 기사(쿠키뉴스) ~~공밀레는 이런 데다 해야 하는 거다. 이런 건 자발적으로 갈려줄 공돌이들도 많았을 것이고...~~
알라딘은 모바일 페이지에서는 액티브X 없이 결제가 가능하게 했다. 허나 PC로 접속하면 아직도 액티브X를 요구한다. ~~조삼모사냐~~ 모바일 알라딘 액티브X 폐기[* 그러나 알라딘을 이 부분에서 까려는 것은 좀 자제가 필요할 듯 싶다. 알라딘은 금융 전산을 이용해 액티브X 없이 결제하는 시스템을 구축하는 용자 행위를 했으나 여러 금융사들로부터 조리돌림급으로 시달린 뒤 포기해야 했다.] 외국의 은행, 아마존닷컴, PayPal(페이팔)을 한국과 비교해 보면 그 차이를 잘 알 수 있다.
이렇게 금융권 웹사이트가 액티브X를 애용하는 이유는 책임을 피하기 위해서이다. 사용자 부주의(백신 미사용 등)로 해킹 등의 금융 사고가 발생한다 하더라도 웹사이트를 운영하는 금융권 쪽에서 책임을 져야 하는 부분이 있기 때문이다. __사실상 이 액티브X를 잔뜩 설치하게 함으로써 은행측에서는 책임 회피(키보드 보안 설치했나요? 전자서명 설치했나요? 보안모듈은요? 화면 키보드는요? 왜 nProtect를 평소에 실행시키지 않으시죠? 등등 걸고 넘어질 게 많아진다)를 할 수 있기에 안 버리고 있는 것이다.__
그래도 우리은행, 국민은행, 신한은행, 하나은행 등이 액티브X 일색의 환경에서 탈피하여 윈도우즈/익스플로러 외의 운영체제/웹 브라우저에서도 금융 업무를 볼 수 있도록 오픈뱅킹 서비스를 시작했다. 그러나 그냥 IE로 접속해서 은행 업무를 보는 것에 비하면 오픈뱅킹 서비스도 여전히 불편하다. 별도의 홈페이지로 접속해야 하는 건 기본이고 OTP 단말기까지 요구한다는 게 가장 번거로운 점. ActiveX 사용자는 ~~쓰레기들이 잔뜩 설치될 지언정~~ 이런 불편함은 없기는 하다. 물론, 해외 은행은 그보다 훨씬 편하다는 게 함정.
대한민국 언론에서는 컴퓨터에 대한 전문지식이 부족하고 액티브X에 대한 관심이 적은 탓에 무시하고 있었지만 아이폰과 [안드로이드(운영체제)|안드로이드 계열] 스마트폰의 보급이 본격화 되면서 이젠 언론들도 까기 시작했다. 관련 기사(노컷뉴스). 결국 마이크로소프트사에서 개발중인 윈도우 폰7에서도 액티브X가 배제되면서 이러한 여론은 더욱 확산될 전망이다. # --하지만 윈도우폰7도 MS에서 배제되었다--
그나마 국가정보원에서 액티브X 컨트롤까지 싹 삭제해주는 프로그램까지 개발해서 배포하는 중이며[* 국정원 홈페이지→국가사이버안전센터→보안권고문에서 CleanAX로 검색하면 나온다. 아래에 링크를 타면 국가사이버안전센터로 갈 수 있다.] 이곳에서 다운받을 수 있다.[* 15일, 30일, 60일 동안 사용하지 않은 액티브X 컨트롤을 보여주며 선택하여 삭제할 수 있다. 부가적인 정보도 보여준다. --만약 여기에 목록이 나오지 않는 액티브X가 개발되면 그 개발사는 코렁탕을 먹겠지--]
2010년도 초반부터는 자바나 어도비 Air 등의 대체 기술을 사용해서 타 브라우저 지원을 해주는 경우가 점점 늘어나고 있다. --하지만 IE에서는 액티브X를 쓰게 하는 경우도 많다-- 단, 중요한 건 이 오픈뱅킹 기술이 땜빵인 경우가 많다는 것으로 상당수가 액티브X와 매우 유사한 NPAPI를 사용하고 있다. 그리고 이건 2013년 12월쯤에 망한다(...). 이 문제는 사실상 ActiveX 자체의 문제라기 보다는 공인인증서의 문제다. 애초에 SSL의 인증 방식을 사용하면 ActiveX 플러그인을 강요할 필요도 없어진다. 왜나면 이 ActiveX 플러그인들(혹은 다른 인터페이스 플러그인들)이 하는 일들을 전부 브라우저와 OS가 다 해주기 때문이다.
그러나 이스트소프트에서 Webkit 엔진을 기반으로 액티브X를 지원하는 브라우저를 개발해 내고야 말았다!! 브라우저 이름은 스윙 브라우저. --뭐하는 짓거리야!!!-- 사실 소개를 조금만 읽어보면 일반 모드는 익스의 트라이던트로, SPEED 모드는 웹킷으로 돌린다는 것을 알 수 있다. ~~그러고는 웹표준을 준수한다고 한다~~ 그렇다. 이게 만약 대박을 친다면 SSL은 고사하고 대한민국 인터넷의 갈라파고스화는 시간 문제다. 대부분의 컴덕들은 --당연히도-- 이뭐병 취급이지만 네이버를 중심으로 '가볍고 빠르다'(...)라는 입소문을 타고 있다. 특히나 토글창 오픈과 드래그를 막아둔 소스를 해제해주는 기능을 기본 탑재하고 있어서 사용하는 유저들도 늘어나는 중. --틀렸어 이제 꿈도 희망도 없어-- 아예 국산 소프트웨어라는 점을 강조하며 [은근슬쩍 스윙 브라우저를 추천하는 기사]까지 나오는 판. 물론 현재 추세를 봤을 때 스윙이 대박을 칠 가능성은 제로에 가깝다.
보면 알 수 있듯 한국 IT계는 세계 1위의 인터넷 속도 발전과는 달리 보안계에 있어 정말로 취약한 모습을 보인다. 대한민국 기업이나 국가기관에 가끔씩 일어나는 사이버 테러나 해킹 등에 대해 언론들은 해외 해커들이 실력 있고 고단위의 방식을 쓰는 것처럼 ~~언플~~ 보도하지만 중국홍객연맹 등의 중국발 해커로부터 계속 국민들의 주민등록번호 및 개인정보가 털리는 이유는 사실 중국 해커들의 실력이 정말로 세계 일류라서가 아니라(물론 실력이 뛰어난 건 사실이지만) 한국이 정말로 보안을 못해서 ~~물론 이렇게 되는 이유도 공밀레~~ 계속 털리고 있다는 게 중론이다. ~~코버넌트?~~ IT 강국이라고 자부하는 나라가 기실 인터넷 속도 올리기에만 열을 올렸지 ~~이건 땅 파고 구리선, 광섬유만 마구 파묻으면 되는 거다~~ 보안 관련에는 전혀 관심이 없다는 해외의 평가가 아직까지는 틀리지 않은 셈.
게다가 이것은 1차적으로 국내에서 만든 외국용 사이트들도 이 현상을 당하고 있는데 외국인을 위한 전자 정부 사이트마저도 액티브X 설치를 요구하고 있는 실정이다. ~~외교부 전부 코렁탕 먹여야 할 기세~~ ~~WTF is Active X?!~~ ~~외국인용 사이트가 액티브X라니 이게 무슨 소리요!!~~ 한국보다 그다지 발전도가 크지 않은 국가인 ~~농업국~~ 캐나다의 정부 홈페이지도 이 정도는 아니다...[* 여담이지만 여기는 깔끔한 모바일 버전도 존재한다. 농업국이라지만 역시 선진국은 선진국.]
여기에 더해 2차적으로는 국내에 진출한 해외기업들도 강요받고 있다는 게 더 큰 문제. 일례로 블리자드 엔터테인먼트의 배틀넷의 경우 국내판에서는 ActiveX를 설치해야만 결제 행위가 가능하며[* 대표적으로 월드 오브 워크래프트의 경우 2010년경에 미국 사이트의 한국어 버전으로 리뉴얼이 되었는데 결제 페이지만은 이전 홈페이지를 그대로 쓰고 있다. 미국 사이트의 결제 페이지에는 ActiveX가 없기 때문에 벌어지는 해프닝이다.] 심지어 한국 애플 온라인 스토어의 경우 애플에서 만든 OS에서 애플 물건을 사지 못하는 어이없는 상황이 벌어지고 있다. 다만 이는 '국내지사가 있는 해외업체', 즉 '한국 내에 한정하여 한국법의 저촉을 받는 업체' 에만 해당되는 것인지라 그저 '__한국어판__을 서비스하는 미국 업체' 엔 해당되지 않는다. 일례로 스팀은 공인인증서고 뭐고 없이 한국어로 미국식 결제 시스템을 누릴 수 있다!~~그래서 무수한 지갑들이 죽어나간다~~ 반대로 국산 기업이지만 해외지사의 경우는 당연히 ActiveX 같은 건 거들떠 보지도 않는다. 일례로 온라인 게임 테라]의 해외 서비스 지사인 En-Masse가 있다. 모든 서비스(로그인, 계정 관리, 캐쉬 구매 및 소모)가 ActiveX 없이 잘만 돌아간다.
이러한 여론을 받아들였는지, 정부의 규제 완화 바람[* 다른 규제 완화 싫어하는 진보진영 측에서도 이건 반갑다!라는 반응을 보였다.]과 함께 2015년부터는 공인인증서 없이도 전자상거래가 가능하도록 법을 개정할 예정이라고 한다. ~~드디어!~~ # 게다가 공인인증서도 액티브X 없는 HTML5 기반으로 바뀐다고 한다. #
그런데, 사실 우리나라에서 액티브X를 비롯한 플러그인이 문제되는 곳은 전자상거래보다는 보안 프로그램 쪽이다. 한국 전자금융 관련 법에 따르면 '소비자를 보호할 수 있는 대책', 즉 보안 기술을 사업자가 의무로 제공해야 한다는 조항이 있어 보안용 플러그인을 없앨 수도 없는 노릇. 액티브X는 상기한 것처럼 금융권의 책임 회피 수단으로 쓰이고 있는 것이 사실이지만 그와 동시에 법을 지키기 위한 수단이기도 하다. 이러한 보안 프로그램은 자율적인 선택에 맡기도록 법을 바꾼다면 모르겠으나 한국 사회의 정서상 그런 정책이 용납될지는 미지수다.
하지만 2014년 10월 6일, 정부에서 보안 프로그램 의무 설치 규정을 폐지하겠다고 밝혔다. # 이제 정말로 액티브X가 국내 인터넷에서 퇴출될 가능성이 높아지고 있는 듯하다.
결론
ActiveX는 한국 인터넷의 만악의 근원이라고 할 수 있다. 모바일 기기까지 등장한 마당에 타 OS를 절대 지원하지 못하는 막장의 범용성, 그리고 무조건 다운받도록 만들어서 보안성을 해친 것, 심지어 멋대로 시스템에 접근 가능함에 따라 자칫하다가는 웹을 통해 컴퓨터를 좀비PC로 만들 수 있다는 것 등 기술 진보로 인해 편해져야 할 온라인 생활을 아직도 20세기 수준으로 떨어뜨리는 그야말로 대한민국 IT 역사의 수레바퀴를 거꾸로 돌리는 악성 종자라 볼 수 있다. 몇몇 구시대 기술자들은 이걸로 구현하면 자바VM보다 빠르다는 논지를 펴지만 지금은 2010년도이며 자바의 성능은 이미 90년도에 비하면 일취월장했고 그도 모자라 HTML5가 자리잡고 있는 상황이며 그 성능 딸린다는 모바일 기기들도 ActiveX가 퍼질 당시의 PC보다 성능이 좋은 상황이다(게다가 이건 RISC이므로 저전력이기도 하다). 즉, 제아무리 ActiveX를 특정 상황의 퍼포먼스가 좋다고 실드 쳐봐야 GUI는 전부 가져다버리고 80년대 CLI를 써야 한다는 급의 개소리일 뿐이며 스스로 퇴물이라 인정하는 것이다. 오죽하면 MS마저도 이딴 거 쓰지 말라고 버렸겠는가?
그러나 대한민국에서는 [그런거 없다|이런 거 없고] 생활에 필수적인 사이트[* 특히 대한민국 남자들이 필수적으로 방문해야 하는 병무청, 예비군 홈페이지 등등.]에까지 이곳저곳 액티브X가 남용되고 있어서, 윈도우즈 비스타나 윈도우즈 7를 깔고 있는 사용자들로 하여금 [현기증 난단 말이에요|현기증이 절로 나게 하고 있다]. 설상가상으로 국내판 구글어스랍시고 나온 브이월드조차 액티브X 하에 실행된다. 즉, 대한민국의 기업과 정부 기관을 까자(...).
2011년 3월, 방송통신위원회에서 액티브X를 퇴출하겠다고 발표했다. # 물론 네티즌들의 반응은 "퇴출하려면 진작에 퇴출했어야지 여태껏 뭐 했느냐" 는 반응. 그리고 2013년 4월 11일부터 장애인차별금지법에 의한 웹표준 의무화가 30인 이상 사업장으로 확대실시됨에 따라 액티브X는 이제 무조건적인 퇴출의 대상이 되었다. 퇴출 안하면 경찰서 정모도 각오해야 할 판. 그런데 아직도 몇몇 사업장의 어르신들은 나이가 지긋한 경우가 대다수여서 액티브X 이외의 것이 나오면 익숙하지 않다고 꺼려하는 실정이다. --경찰서 정모하고 싶은가 보다-- ~~아니, 애초에 액티브X가 사라지면 달리 설치할 게 없고 더 편할 텐데?~~ 이런 문제는 시간이 해결해 주길 기다려야 할 듯. 그래도 현재는 예전에 비해 IE 외의 웹 브라우저를 지원하는 경우도 꽤 늘어났으며 상기한 대로 결제시 아예 액티브X를 사용하지 않는 사이트들도 생겨났다. 그러나 아직도 액티브X만을 의무적으로 사용하는 사이트가 ~~마치 쓰레기처럼~~ 지천에 깔려 있어서 여전히 갈 길은 멀다.
2014년 9월 23일. 금융감독원에서 전자상거래 결제간편화를 발표하였다. 이 조치에 따라 빠르면 2015년부터 액티브X는 사라질 예정이다. 현재 이미 HTML5 방식으로 보안 솔루션이 구현 가능한 만큼, 이 조치는 곧 시행될 수 있어 보인다.[* 금감원의 권고조치는 "권고"가 아니라 "의무"에 가깝기 때문에 카드사와 은행을 중심으로 바뀌게 될 것이다. 이들의 전산시스템을 사용하는 대부분의 사이트도 바뀔 것이고. 다만 일부 중소규모의 사이트에서는 낙후된 솔루션을 사용하는 까닭에 완전한 퇴치에 걸리는 시간은 훨씬 더 걸리게 될 것이다.]
컴덕들의 대응법
액티브X의 혐오도는 컴퓨터에 관련된 지식이 높을수록 증가하게 된다. 특히 액티브X가 그 사이트에서만 실행되면 몰라도 일부 프로그램은 아예 시작부터 자동 실행되기도 한다. 이쪽 방면으로 유명한 것이 바로 그 --모두의 적-- nProtect와 마크애니. 이런 --쓰레기 같은-- 프로그램들을 강제로 깔아서 리소스 좀먹는 것도 짜증나 죽겠는데[* 특정 버그에서는 키보드 자체가 먹통이 되기도 한다. 강제로 프로세스를 꺼야 키보드가 정상 작동하는 식.] 자동 실행까지 되고 인터넷 익스플로러[* 사실 이 언급도 익스 입장에선 좀 억울하다. --그리고 최근에는 이런 쓰레기가 크롬 버전도 생겼다. 야호!-- 정확히는 액티브X를 지원하는 익스 버전만 가능하게 만들었기 때문. 신버전을 사용하면 도리어 한국 웹에서 구버전이라고 페이지를 안 보여주는 병크를 내지를 않나, OS호환성이 안 맞다고 실행이 안 되지를 않나... 익스 입장에서도 분통이 터지는 상황이다.] 사용을 강요하는 현실에 정말 강한 분노를 느끼게 된다. 특히 이런 문제가 가장 심각한 경우는 한국어가 아닌 운영체제를 쓰는 경우이며 일부 보안 프로그램은 언어가 깨져서 아예 충돌까지 일으키는 경우도 있다. ~~그런데 타국 웹사이트는 어떤 언어에서도 잘만 되더라~~
그런데 그렇게 짜증나는 프로그램들을 아예 전용 컴퓨터에서만 깔아놓고 설치해서 쓰면 어떨까' 라는 생각의 발상을 한 컴덕들은 여러가지 묘안을 생각하게 되었다.
가상운영체제
~~컴덕이라면 가지고 놀았을 법한~~ VirtualBox, VMware 등의 가상운영체제를 이용하는 것이다. 즉 가상운영체제에 대한민국 인터넷 환경이 아주 좋아하는 Windows XP 환경에 인터넷 익스플로러만 달랑 두고 액티브X가 필요한 사이트는 전부 그곳에서만 이용하는 것이다. 특히 Windows 7의 XP 모드를 이런 용도로 쓰는 사람들도 상당히 있다. 하지만 아직 대부분의 은행에서는 이 방법이 통하지만 일부 보안 프로그램 ~~이라고 쓰고 리소스를 좀먹는 악성코드들~~은 가상운영체제의 접속을 아예 막아서 본컴의 사용을 강요하는 경우도 있다. 특히 이런 쪽으로 유명한 프로그램이 nProtect 제품군들. 이런 경우 까지 오면 뒷목이 땡기지만 본컴 외에는 답이 없다. attachment:VMware_ActiveXZone.png 이런 식. VMware Tools 라는 프로그램을 통해 VMware 내에 설치되었음을 알 수 있다.
"박지성"~~하이브리드~~ 두 개의 컴퓨터
차라리 가상운영체제니 뭐니라는 전문용어들이 무슨 말인지 하나도 모르겠다 싶고 도저히 본컴에는 깔기 싫을 때에는 그낭 이런 프로그램만 돌릴 컴퓨터를 저사양으로 하나 뽑는 방법도 있다. 다만, 돈이 있어야지 이런 짓도 할 수 있다. 아무리 싸게 산다쳐도 10만원. 10만원 이하의 가격으로 사려고 하면 펜티엄..대 이하를 써야 하는데 정신건강에 별로 추천하지 않으니 주의.
멀티부팅!
물론, 멀티부팅이라는 ~~컴덕에게만~~ 아주 간단한 방법이 있다. 윈도우 7과 XP를 한 저장소에 설치하거나, 하드디스크를 두개 이상 구매해 각각 설치하는 방법이 있다. 어찌보면 두개의 컴퓨터보다 ~~컴덕에게만~~ 훨씬 간단한 방법이 될 수 있겠다.
비리 의혹과 괴담
한국웹에서 액티브X가 기어코 퇴출 당하지 않는 이유로 사단법인 금융결제원을 중심으로 한 비리의혹이 있다. # 금융결제원(yessign)은 공인인증시스템을 구축해서 운영하는 '민간업체' 인데 이러한 사업을 통해 매년 600억원에 달하는 이윤을 남기고 있다. 문제는 사단법인이라는 것이 국가 허가에 의해 만들어진 '공익적' 단체여야 한다는 점이고 비영리법인이어야 한다는 점이다. 즉, 주무관청인 금융위원회에게 관리감독을 받으면서 비영리업무를 수행하는 법인이어야 한다는 건데... 금융위원회의 고위공무원[* 여담으로 금융위원회의 관료들은 행정고시계의 엘리트라 할 수 있는 재경직렬 출신이 대부분. 그만큼 '지대추구' 심리가 강할 수 밖에 없다.]이 퇴임하면 금결원의 감사 자리를 꿰찬다. 그리고 3억에 달하는 연봉을 받아간다. 공인인증서를 결코 포기하지 못하겠다고 발버둥치는 금융위와 기재부의 고위 인사들이 퇴임 후에 금결원으로 몰려가는 이유가 대체 뭐가 있을까.
그런데 이 부분은 올바른 의혹이 아니다. 금융결제원은 사단법인이긴 하지만 은행들이 출자하여 금융공동망을 운영하기 위해 만든 조직으로 금융결제원의 주 사업은 하루에 수십조원이 왔다갔다하는 금융공동망 운영, 어음제도와 지로제도의 운영이고 공인인증서 업무는 극히 일부에 지나지 않는다. 더군다나 금융결제원 공인인증서 대부분은 무료로 배포되는 은행/보험용 인증서이다. 또한 금융결제원 수익사업의 대부분은 공동망 운영에 따른 부가사업 및 신용카드 VAN 운영으로 공인인증서와 관련된 수익사업의 비중은 미미하다. 이러한 금융결제원에서 금융위원회에서 내려오는 감사를 받는 이유는 기관 자체가 관의 영향력이 큰 은행들이 출자해서 만든 기관이라는 역학관계와 무관하지 않으며, 단지 하나의 단위업무에 지나지 않는 공인인증서 때문에 감사를 선임한다는 것은 어불성설이다.
더군다나 2013년부터 한 해외 사이트[* 아마 ZD넷 등의 IT계열 사이트로 추정된다.]를 필두로 시작해서 액티브X에 대한 괴담이 생겨났는데 우리나라 정부가 무려 수조원 단위를 들여서 마이크로소프트의 액티브X를 인수~~라고 쓰고 강매라고 읽는다~~ 한다는 것이다!! 게다가 이걸 국내기술규격으로 확보한다는 내용까지 있으니(...) ~~국내 기술 발전을 원한다면 차라리 웹표준을 직접 만들지 그래? 어차피 갈라파고스 되는 건 똑같잖아!!~~ 만약에 이 괴담이 사실이라면 진심으로 답이 없다.[* 최근 우리나라 정부와 마이크로소프트 사이에 크고 작은 갈등이 있었는데 그 중 하나가 액티브X의 인수에 대한 것이 아닐까 하는 추측이 난무하고 있다.] 다만 위에서도 나왔듯이 정부에서도 액티브X를 그만 사용하라고 하는 것을 보면 루머는 루머일 뿐으로 보인다.
이 괴담에 대한 자세한 정보는 추가바람.
참고
오픈넷 NoActiveX.net 이 곳에서 ~~약을 빨고 만든 듯한~~ 액티브X 관련 짤방도 볼 수 있다. 잘 보면 액티브X 그런 거 없는 구글, 애플, 페이팔을 디스하는 척 하면서 액티브X를 우회적으로 디스하는 짤방도 발견할 수 있다. 이말년도 깐 한국의 액티브 X [1] 액티브X를 "보안첨부파일" 이라는 명목으로 활용하는 각종 회사들을 보다못한 한 유저가 이 "보안" 용 액티브X를 자바스크립트로 돌릴 수 있게 구현해 놓은 것이다! 윈도우즈의 각종 브라우저는 물론 맥OSX, iOS, [안드로이드(운영체제)|안드로이드]에서도 열어보는 것이 가능하다. ~~그럼 이걸로 애초에 구현하면 되잖아!~~ ~~실리콘 밸리였다면 이분 벌써 특허내고 업체 차려서 백만장자 되었을 듯~~[* 그런데 PDF에 동일 기능이 있어서 돈 못 번다.(...) PDF 표준에 보안문서 기능이 있기 때문에 이걸 활용할 수 있다. 2014년 4월부터 KT가 이 방식을 쓰기 시작했다.] "바보야! 문제는 액티브X야." …맞는 소리긴 한데 한국경제의 기사. 기사도 기사지만 맨 위에 있는 베스트 댓글을 보면 액티브X가 있는 사이트에서 물건 구매하는 것이 얼마나 힘든지 알 수 있다. 거의 대부분 공감하는지 공감은 1300을 넘어갔는데 비공감이 20을 넘기지 않았다. --[어이쿠 손이 미끄러졌네|그냥 손이 미끄러진 듯.]--