방통위가 액티브X를 퇴출시킨다고… 가능할까?

사용자 삽입 이미지어제, 대부분의 IT언론사와 주요 일간지들을 통해 방통위에서 액티브X를 몰아내기 위해 대체 기술을 도입하고 이를 적극 권장한다는 기사들이 올라왔습니다.

방통위, ‘액티브 엑스’ 대체방안 확산 추진

네, 저도 개발자로서 이런 발상 자체는 대환영입니다. 사실 제가 주력으로 사용하는 개발툴인 델파이가 액티브X 개발에 아주 광범위하게 사용되고 있기는 하지만, 기형적인 웹 환경을 바로잡을 기회 자체를 박탈해버리는 액티브X를 몰아낼 수만 있다면 어떤 종류의 시도도 반갑습니다.

ETRI에서 개발한 스마트사인이라는 공인인증 대체 기술을 적극 알리고, 또 HTML5를 권장하여 표준 웹 환경으로의 이전을 확산해나가겠다고요. 네, 좋지요. 아마도, 한 1년쯤 지나는 동안 몇몇 사이트에서 시범적으로 시도하고, 몇군데는 또 성공하기도 할 것이고요. 그러면 방통위에서 대대적으로 성공 사례로 기자들에게 보도자료를 뿌려대겠지요.

한편에서는, 액티브X 기반의 공인인증서를 만들고 확산시킨 두 주범, ETRI와 방통위(과거의 정통부)가 다시 액티브X의 문제점을 내세워 대대적으로 이런 움직임에 나서는 데 대한 불편한 시선도 있습니다.
방통위, ETRI, “스마트 사인”?

하지만, 확신하건대, 이러한 시도에서 실제로 의미있는 결과가 나올 가능성은, 0%라고 확신합니다. 실제로 국내 웹 환경에서 액티브X를 퇴출시키는 것이 전혀 불가능한 데에는 복잡하게 얽힌 여러 이유들이 있는데요.

그중 한 가지는, 공인인증 같은 것 외에 광범위하게 사용되는 액티브X 기반 서비스들 중 HTML5 등 표준 기반 웹 기술로 대체가 가능한 것보다 전혀 불가능하거나 불가능에 가까운 것들이 더 많기 때문입니다. 예를 들어, 키보드 해킹 방지 솔루션을 HTML5로 만드는 것이 가능할까요? 웹리포트 같은 것을 HTML5로 재개발하는 일이 그리 간단할까요?

하지만, 그보다 더 근본적인 문제점이 있습니다. 방통위의 이번 발표에서는 인터넷, 즉 일반 사용자들이 사용하는 포털 등의 대외 서비스 사이트들을 거론하고 있는데, 인트라넷, 즉 웹 기반 내부 업무 시스템들에 대한 언급이 없습니다. 그런데 국내에서 액티브X가 도배되다시피한 것은 인터넷이 아니라 인트라넷 환경입니다.

웹 기반이어야 할 개연성이 희박한 내부 업무 시스템을 억지로 웹으로 이전하면서, 웹의 부족한 네트워크 보안성을 보완하기 위해 보안 솔루션들, 부족한 로컬 보안성을 보완하기 위해 키보드 해킹방지 솔루션들, 부족한 인쇄 지원을 위해 웹 리포트 솔루션들, 부족한 문서 보안을 보완하기 위한 DRM 솔루션들이 기본적으로 웹브라우저의 옆구리에 찰떡처럼 붙어다닙니다.

이런 액티브X들을 써야 하는 가장 큰 이유는, 근본적으로 웹이라는 기술은 업무 시스템을 위한 적절한 기반 플랫폼이 아니기 때문입니다. 웹은, SSL 같은 통신 레이어에서의 기본적인 보안 처리 이외에는 아무런 보안성이 없으며, 화면이든 프린터든 출력도 단순한 포맷만 가능합니다. 그외에 웹에는 실시간성도 없고, 속도도 느리며, 연결 유지도 되지 않습니다. 이 모든 구질구질한 웹의 단점들을 모두 패치하기 위해(정말 반창고 패치처럼 더덕더덕) 액티브X 플러그인들로 땜빵을 하는 것입니다. 최근에 웹 접근성을 위해 그나마 액티브X의 현실적인 대안으로 너도나도 갖다붙이고 있는 플래시조차도, 결과면에서의 웹 접근성에 있어서는 나쁘지 않겠지만, 웹 표준화의 관점에서는 역시 낙제점입니다.

1383360098큰소리 떵떵 치고 있는 방통위 자신도 역시 사용하고 있을 전자정부 프레임워크 egov도 역시 온갖 회사들에서 나온 액티브X들로 가득 차 있습니다. 물론 작년부터는 비 액티브X 기반의 대체 솔루션을 강구하는 움직임이 있는 것을 알고 있지만, 사실 국내에서 업무 시스템을 웹 기반으로 넘어가면서 모든 모자라는 기능들을 액티브X로 다 땜빵을 하는 관행을 앞장서서 전파한 곳이 정부 기관들입니다.

결국 아무리 땜빵을 하려고 해도 불가능한 일부 서비스들을 제외하면 국내에서 업무 시스템은 웹 기반으로 구축하는 것이 현재의 완전한 대세가 되어 있습니다. 웹으로 안되는 것은 또 액티브X를 새로 개발해서 땜빵을 합니다. 이것은 결코 정상적인 상황이 아니며, IT 관리자들이 기술에 대한 잘못된 인식으로 인해 엉터리 짜집기 기술을 대단한 것인양 자랑하는 모습에 불과합니다.

2007년 윈도우 비스타 출시 당시 전자정부 사이트의 공지

2007년 윈도우 비스타 출시 당시 전자정부 사이트의 공지

액티브X를 쓰는 한은, 웹은 웹이 아닙니다. 웬만한 업무 시스템에서 사용하는 기본적인 액티브X들의 설치 시간과 설치 공간 등은 네이티브로 개발한 업무 시스템 전체를 설치하는 것과 큰 차이가 나지 않습니다. 그렇게 열심히 액티브X들을 설치하고 나서도 어쩔 수 없이 웹에서는 불가능한 기능들이 있어 여전히 사용자로서는 불편함을 완전히 해소하지 못합니다. 반면 같은 업무 시스템을 델파이 등으로 네이티브로 개발하면 더 짧은 시간에 더 스무스하게 전체 시스템을 설치하고 더 가볍게 시스템을 구동할 수 있습니다.

일반적으로 네이티브 시스템을 델파이로 개발할 경우 웹 기반 시스템보다 개발 속도, 즉 생산성도 더 높고, 비용도 적게 들며, 유지보수성도 더 높습니다. 성능은 당연히 네이티브가 웹보다 압도적으로 월등합니다.

정부 기관이나 기업의 내부 업무 시스템은, 웹 기반이어야 할 개연성이 거의 없습니다. 업무 처리를 위한 내부 업무 시스템은 개방적인 것이 가장 큰 특징이자 장점인 웹과는 정반대로 폐쇄적이어야 하고 외부인의 접근이 어려워야 합니다. 웹 기반으로 무언가를 만든다는 것은, 기본적으로는 그 주소만 알면 외부인 누구나 접근할 수 있다는 것을 의미합니다. 그래서 온갖 보안 솔루션들을 줄줄이 떡칠을 할 수밖에 없습니다.

클라이언트측의 액티브X들 외에도, 오직 웹 기반이기 때문에 가능한 웹 해킹을 막기 위한 웹 방화벽을 올려야 하고, 또 웹이 주 공격 대상인 DDOS를 막기 위한 솔루션이나 장비도 올려야 합니다. 이런 서버측 보안 솔루션들은 비용이 많이 들기만 하는 것이 아니라, 안그래도 느려ㅊ터진 웹 기반 서비스들을 획기적으로 더 느리게 만들어줍니다. 그래서 같은 성능을 담보하기 위한 장비의 비용도 몇갑절로 뛰어오르게 됩니다.

1154425266당장 전자정부 사이트 주소인 www.egov.go.kr 를 치고 들어가면, www.minwon.go.kr 주소로 포워딩 되는데요. 초기 페이지가 로딩되자 마자 바로 액티브X 하나 설치하라고 권유합니다. 이 사이트의 로그인을 위해 공인인증서 액티브X가 또 필요한 것은 말할 것도 없고요. 민원서식을 출력하려면 또 거창한 액티브X들을 몇개나 설치해야 합니다.

전자정부 프레임워크가 웹 리포트 등 일부 액티브X에 대한 대안을 모색하고 있지만, 역시 액티브X 기반일 수밖에 없는 기반 서비스들이 여기저기 널려 있습니다. 정부 기관들의 유행에 따라 액티브X 도배질로 소위 ‘웹 기반’ 업무 시스템들을 구축한 민간 기업들은 더욱 말할 것도 없구요.

이렇게 내부 업무 시스템에서 사용자들이 액티브X에 완전히 익숙해져 있는데, 일반 사용자들로부터 과연 액티브X에 대한 경계나 적극적인 움직임이 나올리가 없지요. 또 업무 시스템을 사용하기 위해 무조건 IE를 띄우는 것이 손가락에 익은 일반 사용자들이, 과연 포털 등 외부 인터넷 서비스들을 이용하기 위해 IE가 아닌 파이어폭스나 크롬 등을 선택할 리도 만무합니다. 즉, MS도 놀라는 우리나라의 기록적인 IE 점유율은, 바로 여기서 나오는 겁니다.

———————————————————–

전자정부 자체와, 그 프레임워크를 도입한 기관들의 하나같은 공통적 문제점은, ‘하나의 포털’ 정책입니다. 내부 직원용과 대국민 서비스용을 분리하지 않고 같은 프레임워크에 같은 서비스로 운영하고 있습니다. 당연히 대내 시스템에 대한 외부 접근 경로가 열려 있는 만큼, 보안에 좋을 리가 만무하거니와, 효율성과 생산성에서도 크게 떨어집니다. 일반적으로 업무 시스템의 대외 서비스와 대내 서비스 사이에는 반드시 공유해야 할 연계점이 그리 많지 않습니다. 대내 시스템이 당연히 압도적으로 양이 많고 대외 시스템은 아주 적으며, 두 부문이 반드시 서버나 프레임워크를 공유해야 할 서비스는 극소수입니다.

즉, 대외/대내 시스템을 통합하여 하나의 포털로 구축해야 한다는 이유 없는 맹신이 만연해 있습니다. 두 시스템을 분리하는 것을 고려하기만 하면 정작 필요한 것은 ‘하나의 포털’이 아니라 오직 ‘하나의 데이터베이스’일 뿐이라는 것이 쉽게 눈에 들어옵니다. 또 대내와 대외 시스템은 사용 환경이 크게 다르고 접근하는 데이터의 양이나 성질이 많이 다르기 때문에, 하나의 프레임워크로 모두 통합하려고 햇을 때의 무리한 방식들도 피할 수 있습니다.

두 시스템을 분리할 경우, 대내 시스템을 반드시 웹 브라우저 위에 올리겠다는 아집을 버리고 더 강력하고 생산성, 유지보수성도 높은 네이티브 시스템을 고려하면, 액티브X는 전혀 필요하지 않을 뿐더러 시스템에 필요한 외부 솔루션들은 액티브X 등의 플러그인이 아니라 시스템 자체에 완벽한 연동과 통합이 가능해집니다.

대외 시스템의 경우, 액티브X가 아니면 제공할 수 없는 서비스라면 약간의 불편을 감수하고라도 아예 서비스를 중단하거나 전용 프로그램 다운로드 방식으로 바꾸어야 합니다. 예를 들어 전자정부의 민원 사이트에서의 증명서 온라인 인쇄 서비스의 경우, 액티브X가 아니면 플래시든 HTML5든 전혀 대체 구현이 불가능합니다. 프린터 하드웨어 인증을 위해 사용자의 로컬 시스템에 저수준 접근을 하기 때문입니다. 반드시 필요하다면, 자체 실행 프로그램으로 만들어 다운로드 링크로 바꾸어 올리더라도 사용자가 그다지 불편하거나 할 일이 아닙니다. 사용자의 입장에서는 프로그램보다 액티브X의 스트레스가 클 수 있구요. “웹이니까 반드시 브라우저 위에!” 라는 맹신이 소위 IT 선진국이라는 대한민국의 웹을 프랑켄슈타인으로 만든 주역들 중 하나입니다.

1195521909실례로 국세청의 종합소득세 신고 프로그램같은 경우 델파이 기반의 네이티브 프로그램으로 되어 있습니다. 웹에서 불가능한 서비스는 아니지만 입력량이 많고 UI 처리가 많이 필요하여 순수 웹보다는 액티브X나 네이티브 프로그램 방식이 훨씬 편리할 수밖에 없습니다. 델파이 기반으로 만들어진 것인데, 프로그램 자체의 사용 편의성 수준이 평균 이하라서 많은 사용자들로부터 혹평을 받고 있습니다만, 그래도 여기까진 좋은데요. 이렇게 프로그램 방식으로 잘 만들어놓고, 국세청 홈택스 사이트에도 또 액티브X들로 도배가 되어 있습니다.

웹 자체는 여러 장점이 있고, 그중 가장 큰 것이 접근성이지만, 반대로 접근성 자체가 내부 업무 시스템에는 큰 단점이 되어 보안 위협의 근본적인 원인이 됩니다. 또한 웹의 다른 수많은 단점들이 있기 때문에 업무 시스템의 기반 플랫폼으로서 웹의 기능성과 성능, UX는 한마디로 낙제점에 가깝습니다. 그럼에도 오직 웹만을 고집하기 때문에, 아니 더 정확히 말해서 웹 브라우저를 고집하니까 온갖 액티브X를 포함한 플러그인들을 무분별하게 올리게 된 것입니다.
방통위가 진정으로 액티브X의 퇴출에 적극적으로 나서서 성과를 내겠다는 의지가 있다면, 기자들을 잔뜩 불러 액티브X를 퇴출시키겠다는 대국민 홍보전을 벌이기 전에, 먼저 전자정부 프레임워크에서 액티브X를 말끔히 퇴출시킨 후에야 실질적인 성공 가능성이 있을 것입니다.

1 comment for “방통위가 액티브X를 퇴출시킨다고… 가능할까?

답글 남기기

이메일 주소는 공개되지 않습니다.