혼란은 윈도우10에서 보안·결제 관련 프로그램인액티브X가 제대로 작동하지 않는다는 것에서 비롯됐다. 액티브X는 웹 페이지에 포함된 화려한 화면 구성, 동영상 등 특정 기능을 이전 버전의 HTML(웹 문서를 만들기 위하여 사용하는 기본적인 프로그래밍 언어의 한 종류)이 수용하지 못하는 것을 해결하기 위한 플러그인 기술이다. 과거 웹 브라우저의 수준이 낮아 외부 프로그램이 내 PC의 자원을 이용해 작업을 처리하고 그 화면을 웹 브라우저 화면에 띄워준 것이다.

 

하지만 최근 국제 표준으로 제정된 HTML5는 플러그인의 도움 없이 화려한 화면 구성과 동영상 등의 기능들이 가능하다. 따라서 더 이상의 플러그인의 존재 이유는 사라졌다고 할 수 있다. 또 액티브X가 해킹의 주요 경로로 이용되면서 액티브X를 만든 마이크로소프트(이하 MS)조차 사용 중지를 권유한 바 있다.

 

2000년대 초반 전자정부, 인터넷뱅킹 등 거의 모든 분야에서 액티브X가 퍼졌다. 당시의 부실한 웹 브라우저 성능으로는 다양한 서비스를 제공할 수 없었기 때문이다. 액티브X는 MS가 윈도우 사용자들의 인터넷 사용이 쉽고 편리하도록 인터넷익스플로러(이하 IE)를 기반으로 만든 프로그램이기 때문에 크롬, 파이어폭스 등 IE가 아닌 웹 브라우저에서는 사용할 수 없다. 게다가 액티브X는 보안이 취약하고 이용자에게 불편을 유발한다는 두 가지 큰 단점이 있는데 국내에서는 보안보다 불편에 대한 불만이 크다.

 

액티브X는 보안 측면에서 매우 취약하다. 악성코드가 웹페이지를 타고 PC로 들어가기 쉽기 때문이다. 악성코드는 PC에 심어져 성능을 떨어뜨리거나 광고팝업을 끊임없이 띄우기도 하고 PC의 원격제어도 가능하게 한다. 누군가 내 PC에 있는 모든 정보를 훤히 볼 수 있다는 것이다. 경우에 따라서는 파일에 손상을 입히거나 지우고, 정보를 조작할 수도 있다. 또 틈만 나면 취약점이 발견되는 플러그인 특성상 매번 개발사에서 새로운 패치를 제공해야만 제공해야만 했다.

 

개발사에서 새로운 패치를 제공할 때마다 이용자는 패치를 설치하는 과정을 겪어야 한다. 이 과정에서 매번 설치 동의를 위한 절차를 거쳐야 하지만 설치를 하지 않으면 서비스 이용을 못하니 매번 의미 없는 ‘네(Yes)’ 버튼을 클릭해야 하는 것이다. 그런데 페이지마다 다른 플러그인을 요구하고 패치를 내놓는 주기가 너무 잦아 설치 확인창을 귀찮게 여긴 국내 네티즌들은 PC 보안수준을 최하등급으로 낮추는 방법을 택했다. 알아서 설치하라는 것이다. 어떤 악성코드가 있을지 모르지만 어차피 ‘아니오(No)’를 선택할 수 없다면 매번 설치 동의를 구하는 창은 귀찮게 느껴질 수밖에 없다.

 

한 가지 재미있는 것은 PC에서 악성코드의 유입을 막기 위해 보안수준을 최고등급으로 높이면 외부 프로그램인 액티브X의 설치가 불가능해진다. 보안 프로그램인 액티브X를 설치하기 위해 보안 등급을 낮추는 촌극이 벌어진 것이다.

 

대부분의 국내 관공서와 금융사는 아직도 액티브X를 보안 프로그램으로 사용하고 있다. 대법원이 운영하는 ‘전자가족관계등록시스템’은 액티브X를 지원하지 않는 윈도우10으로 업그레이드하지 말라는 공지까지 내걸었다. 대법원 외에도 많은 관공서와 금융사들이 윈도우10 업그레이드를 하지 말라는 공고를 내걸거나 윈도우10으로 업그레이드한 뒤에도 액티브X를 사용할 수 있는 우회적인 방법을 소개했다.

 

하지만 윈도우10은 7월 29일 혜성처럼 등장한 운영체계(이하 OS·Operating System)가 아니다. MS는 지난 2014년 7월부터 ‘윈도우 인사이더’ 프로그램을 가동해 윈도우10에 맞는 소프트웨어를 개발할 수 있도록 지원했다. 그동안 아무 대책도 세우지 않고 있다가 정식 버전 출시를 전후로 이런 메시지를 쏟아내는 것은 이해하기 어렵다. 윈도우10은 MS가 사활을 걸고 만든 마지막 OS다. 윈도우10 이후의 윈도우는 만들지 않겠다는 것은 그만큼 윈도우10에 모든 것을 걸었다는 뜻으로 해석할 수 있다. MS는 그동안 짝수 번째로 내놓는 버전이 부진했던 ‘짝수의 저주’를 깨고자 윈도우8에서 윈도우9를 건너뛰고 윈도우10이라는 네이밍을 채택했다. MS는 그들의 뜻대로 짝수의 저주를 깨고 출시 3주 동안 별다른 탈 없이 호평을 이어가고 있다. 특히 시장점유율조사업체 넷마켓쉐어(NetMarketShare)의 발표에 따르면 윈도우10은 출시 2주 만에 6,300만 대의 PC에 설치되는 등 어느 때보다도 빠른 전환의 시기를 겪고 있다. 그런데 ‘윈도우’가 OS시장 점유율 95% 이상을 차지하는 국내 관공서와 금융사는 윈도우10 업그레이드를 만류하는 것이다.

 

개발 비용이 적게 든다는 이유로, 개발이 쉽다는 이유로, 또 보안의 책임을 고객에게 돌리기 위한 이유로 유독 한국에서만 액티브X가 편애 받고 있다. 이에 액티브X를 실행하기 위한 브라우저인 IE도 한국에서만 높은 점유율을 자랑하는 기현상이 펼쳐지고 있다. 웹분석 업체 스탯카운터(Stat Counter)가 제공한 정보에 따르면 2014년 7월부터 2015년 7월까지 전 세계적으로 구글사(Google社)의 크롬이 51.49%로 2위인 IE(21.34%)와 배 이상의 차이를 보이며 1위를 이어가고 있다. 3위에 랭크된 파이어폭스도 18.46%로 IE를 바짝 뒤쫓고 있다. 하지만 국내 사정은 정반대다. IE가 70.34%로 2위인 크롬(26.06%)을 압도적인 차이로 누르며 1위 자리를 굳건히 지키고 있다. 파이어폭스, 사파리, 스윙 등 다른 웹 브라우저는 쓰이지 않는다고 봐도 무방한 수준이다.

 

현재 우리나라의 인터넷 환경은 액티브X 문제를 해결하더라도 액티브Y, 액티브Z가 남아있다. 공인인증서를 비롯하여 아이핀과 마이핀 등 이름만 바뀐 채 끊임없이 생산되는 보안인증 기술들이 그것이다. 미국 실리콘밸리 출신 연쇄창업가인 김유현 들음닷컴주식회사 대표는 자신의 블로그를 통해 “이런 시스템의 문제는 시스템 자체가 해킹당하면 속수무책이 될 수밖에 없다”며 “이것은 또 다른 액티브X가 될 공산이 매우 크다”고 우려의 목소리를 냈다.

 

액티브X를 고집하는 것에 대한 국민의 반발이 거세지자 정부는 특단의 조치를 취했다. 정부가 주도해 액티브X를 몰아내자는 것. 한국인터넷진흥원(KISA)는 지난 8월 19일 보도자료를 통해 약 100억 원을 투입해 액티브X를 몰아내겠다고 밝혔다. 보도자료의 제목 또한 ‘ActiveX 확실히 걷어내자!’며 거창하게 내걸었다.

 

하지만 보도자료의 내용은 형편없는 수준이었다. 인터넷진흥원의 액티브X 대책 지원사업은 세 가지 분야로 나뉘었다. 웹 표준 기술로 바꾸는 ‘전환사업’, 비표준 대체기술을 위한 ‘도입지원사업’, 대체기술 개발을 돕는 ‘개발지원사업’ 등이다. 이 중 액티브X를 걷어내고 웹 표준 기술로 서비스를 전환하는 ‘전환사업’은 가장 이상적이고 국민이 바라던 사업이다.

 

문제는 다른 두 가지 사업이다. 도입지원사업과 개발지원사업은 결국 비표준 기술을 고집하겠다는 뜻이다. 액티브X가 문제되니 EXE확장자(프로그램 실행 파일) 형태의 보안프로그램으로 대체하겠다는 것인데 이 역시 지난해부터 논란이 돼왔다. 그러니까 웹 표준을 따르기 위한 ‘액티브X 타도’가 아닌 ‘액티브X 타도’를 위한 (액티브X를 대체할) 프로그램 개발을 하겠다는 것인데, 어차피 외부 프로그램에 의지해야 하고 윈도우와 인터넷익스플로러를 써야한다면 액티브X를 계속 쓰는 것이 낫다. 달라지는 것은 겉으로 보이는 껍데기일 뿐인데 눈 가리고 아웅 하기 위해 세금을 들여 플랫폼을 바꿀 필요는 없으니까 말이다.

 

정부는 아직 비표준화의 문제점을 제대로 파악하고 있지 못하는 것 같다. 표준화를 요구하는 이유는 어떤 OS를 탑재한 어떤 기기에서 어떤 브라우저를 이용하든 언제 어디서나 이용이 가능하게 하기 위함이고, 지구촌 전체라는 광범위한 범위를 공유하는 인터넷의 특성 때문이다.

 

액티브X를 포함한 플러그인 자체 문제점을 인식한 ‘월드와이드웹 컨소시엄(W3C·World Wide Web Consortium)’과 웹 브라우저 개발사들이 2008년부터 플러그인 없이 모든 작업을 브라우저 내부에서 처리할 수 있는 HTML5의 개발에 착수했다. W3C는 2012년 12월 HTML5를 새로운 웹 표준으로 지정할 것이라고 밝혔다. 그리고 2014년 10월 28일 새로운 웹 표준으로 정식 확정했다.

 

HTML5가 웹 표준으로 확정된 지 10개월, 예고된 지는 무려 2년 8개월이 지났다. 개발하는 데 시간이 부족했다는 변명은 하기 힘들다. 한국은 세계에서 가장 뒤떨어진 IT 후진국 중 하나일 뿐이다. 그리고 우리는 머지않아 100억 원을 투입해 만든 EXE 형태의 보안프로그램을 버리고 HTML5의 웹 표준을 따르자는 메시지를 다시 보게 될 것이다.