바이러스, 악성코드보다 독한 불량 액티브X

입력 2010. 7. 9. 15:14 수정 2010. 7. 9. 15:14
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

[쇼핑저널 버즈] 어느 날부터 인터넷만 열면 PC가 버벅이다가 다운되기도 한다면 99% 액티브X 문제다. 보안과 편의를 위해 도입한 액티브X가 바이러스나 악성 코드보다 더 유해한 존재로 취급받고 있다. 액티브X가 왜 문제가 되는지 알아보고, 적절히 통제할 수 있는 방법을 찾아보자.

■ 인터넷과 액티브X, 웹 브라우저액티브X는 MS가 개발한 인터넷 관련 기술을 아우르는 말이다. 웹 브라우저에 해당하는 기술은 액티브X 컨트롤, 오피스 문서를 웹 브라우저에 표시하는 액티브X 도큐먼트, VB스크립트나 자바스크립트 등의 언어를 이용하는 액티브X 스크립트 등이 있다. 액티브서버페이지(ASP), 인터넷서버 API(ISAPI) 등도 관련 기술이지만 웹 서버에서만 작동하기에 누리꾼과는 직접적인 연관이 없다.

문제는 액티브X 컨트롤인터넷 익스플로러에서 문제를 일으키고 있는 것이 액티브X 컨트롤이다. 액티브X 컨트롤은 특정 페이지에 접속하면 서버로부터 파일을 내려 받아 인터넷 익스플로러에 기능이 추가되는 형식이다. 웹 페이지에서 음성이나 동영상을 재생하거나 서버와 클라이언트 사이에서 정보를 주고받는 등 여러 가지 일을 한다.

지바 애플릿과 비슷한 방식이지만 코드 실행에 대한 제한이 적어 보안이 취약하다는 점이 큰 차이다. 응용 프로그램이나 데이터를 손상시키는 것이 가능할 정도로 위험성을 안고 있다. 이러한 취약점을 노리고 제작한 악성 코드나 악성 프로그램들도 부지기수다. 이를 막기 위해 액티브X 컨트롤을 내려 받기 전에 디지털 서명과 인증서를 확인해 문제가 없는 프로그램인지 확인할 수 있는 보완책을 뒀지만 문제 해결에는 별 도움이 되지 못하고 있다.

액티브X를 설치할 때 제작자나 인증을 받았는지 확인할 수 있다.

인터넷 서핑을 하거나 PC를 쓰다가 메시지가 뜨면 습관적으로 'yes'나 '예'를 누른다. 이를 악용해 액티브X를 설치하도록 유도한다. 보안 프로그램이라는 말에 속아 'yes'를 누르는 순간 바이러스, 악성코드, 광고 프로그램 등이 숨어들기도 한다. 이를 막으려면 액티브X의 서명을 주의 깊게 살펴봐야 한다.

무조건 yes만 클릭하다 보면 인터넷 익스플로러에 수십 개의 액티브X가 깔리게 된다.

액티브X는 보안뿐 아니라 웹 호환성 문제도 일으키고 있다. 우리나라에는 웹 표준을 지키지 않고 인터넷 익스플로러에서만 작동하는 비표준 기술을 써 다른 웹 브라우저에서는 이용이 거의 불가능한 웹사이트가 상당히 많다. 파이어폭스, 사파리, 크롬, 오페라 등 외국에서는 널리 쓰이는 웹 브라우저를 쓰면 모양이 깨지거나 주요 서비스를 아예 이용하지 못하는 일이 많다. 액티브X가 필요한 서비스가 대표적이다. 관공서의 홈페이지에서 전자민원을 설치하려면 반드시 액티브X를 설치해야 하는데 이는 특정 회사의 웹브라우저 이용을 강요하는 것이나 다름없다.

페이지 레이아웃이 흐트러지거나 특정 부분이 표시되지 않거나 이상하게 보인다.

■ 인터넷뱅킹이 액티브X를 살린다초고속 인터넷망이 널리 보급되고 인터넷을 이용한 은행거래와 카드 결제 서비스가 생기면서 보안 문제가 대두된다. 보안 기술을 만들어야 하지만 당시 미국은 128bit 암호화 기술을 공개하지 않았다. 당시 128bit 암호화 기술은 수출 금지 품목이었다.

2000년에 한국정보보호진흥원이 독자적으로 128비트 암호화 알고리즘 SEED를 개발한다. 액티브X를 이용해 웹브라우저에서 구현되는 기술이었다. 이 방식은 국내 표준이 되었고, 금융감독원은 이를 보안성 심의 기준으로 삼는다. 국가가 액티브X를 써야 하는 보안 기술만 허용한 것이다. 하지만 128bit 암호화 기술을 쓰는 SSL(Secure Sockets Layer)이 국제표준으로 인정되면서 대부분의 웹 브라우저는 이 기술을 채택한다. 하지만 우리나라는 애써 만들고 구축한 액티브X 시스템을 SSL로 대체하지 않았다.

또 2000년을 전후로 정보화 교육을 통해 웹프로그래머가 많이 늘었는데 액티브X를 이용하는 프로그래밍을 주로 교육했고, 이들이 웹 개발을 이끌게 된다. 이 탓에 다른 보안 기술을 개발할 인원이 부족해졌고, 인력 문제는 액티브X에 대한 문제를 더욱 꼬이게 만들었다.

해외에서는 액티브X 없이 페이팔(paypal)이라는 서비스로 온라인 결제를 한다.

액티브X에 의존하던 국내 인터넷 환경은 최근 자성의 목소리가 커지고, 모바일 결재 시스템에 대한 업계의 불만이 높아지면서 조금씩 변화하고 있다. 아이폰 등의 스마트폰에서 온라인 뱅킹을 쓸 수 없어 국제 경쟁력이 떨어진다는 목소리가 커지자 최근 공인인증서와 액티브X를 쓰는 보안 프로그램만 인정하는 규제를 폐지했다.

국내 최대 포털사이트인 네이버도 더 이상 액티브X를 쓰지 않는 방향으로 개편할 계획이다. 2010년 1월에는 국세청의 웹사이트가 웹 표준에 맞게 바뀌었다. 행정안전부도 최근 1000개의 기업과 기관 홈페이지의 웹 표준 준수 여부 조사에 나서는 등 대책 마련을 준비를 서두르고 있다.

■ 불량 액티브X 대처 요령반드시 필요한 액티브X만 가려내더라도 금융 사이트에서 배포하는 액티브X 때문에 골치를 썩는 경우가 있다. 온라인 게임조차도 설치할 때도 액티브X로 된 설치 프로그램이나 보안 프로그램을 이용한다. 보안 프로그램, 해킹 방지 도구 등 보통 서너 개의 액티브X가 깔리는 것이 기본이다. 보안 액티브X끼리 충돌을 일으키는 일도 많다. 이쯤 되면 보안은커녕 악성 스크립트와 다를 바 없다. 자주 쓰지 않는 액티브X는 과감하게 삭제하거나 작동하지 않도록 관리하는 것이 좋다.

인터넷 익스플로러 관리 기능 이용하기인터넷 익스플로러에서 문제를 일으키는 것은 액티브X나 BHO(Browser Helper Objects)다. 이를 [추가 기능 관리]에서 제어하면 생기는 오류를 어느 정도 해결할 수 있다. 인터넷 익스플로러 6은 퇴출 운동이 벌어질 정도로 보안 기능이 부족하고, 7은 속도가 느려서 이용자의 불만이 많다. 따라서 인터넷 익스플로러 8을 기준으로 설명한다.

① 인터넷 익스플로러를 열고 [도구] → [추가 기능 관리] 를 클릭한다.

② 왼쪽 창에 추가 기능 유형과 오른쪽에 추가 기능(액티브X와 BHO) 목록이 뜬다. [표시]를 보면 [현재 로드된 추가 기능] 이 선택되어 있다.

③ ▼를 클릭해 추가 기능 보기를 고른다. 각각의 메뉴는 다음 표로 정리했다. [모든 추가 기능]을 선택한다.

모든 추가 기능 웹 브라우저에 설치된 모든 추가 기능을 표시한다.현재 로드된 추가 기능 현재 웹 페이지에서 필요한 추가 기능만 표시한다.권한 없이 실행 MS, PC 제조업체, 서비스 공급자가 사전 승인한 추가 기능만 표시한다.다운로드 받은 컨트롤 32비트 액티브X 컨트롤만 표시한다.

④ 각 항목을 골라 이름, 게시자, 상태 등을 확인하고 [사용 안함]을 클릭한다. 무조건 쓰지 않는 것이 아니라 몇 가지 기준으로 선택한다.

- 게시자가 확인된 것 중 특별히 쓰지 않아도 되는 것을 제외하고 나머지는 [사용]을 누른다.- 게시자가 [확인되지 않음]으로 표시된 것 중 게시자 이름이 없는 것은 모두 [사용 안 함] 으로 설정한다.- 게시자가 [확인되지 않음]으로 표시된 것 중 게시자 이름을 알 수 있는 것 중에 꼭 써야하는 것은 [사용] 으로 선택한다.

추가 기능 관리를 쓸 때 가장 중요한 것은 해당 기능이 어떤 일을 하는지 알아야 하는 것이다. 하지만 모르고 [사용 안함]을 하더라도 큰 문제는 없다. 해당 기능이 필요하면 다시 활성화하면 된다.

■ 알 수 없는 액티브X 제거하기추가 기능 관리를 이용하면 액티브X를 쓰지 않을 수 있게 설정할 수 있다. 하지만 어떤 액티브X가 문제인지 알 수 없다면 기능을 하나씩 [사용 안함]으로 바꾼 다음 문제가 해결되는지 확인한다. 다음과 같은 과정으로 문제가 되는 항목을 찾아내 보자.

① [추가 기능 관리]를 열고 [표시] 를 [모든 추가 기능]으로 선택한다. 게시자가 [확인되지 않음] 인 모든 액티브X를 [사용 안 함]으로 설정한다.

② 문제가 계속 생긴다면 게시자가 [Microsoft Corporation]이 아닌 모든 액티브X를 [사용 안 함] 으로 설정한다. 마지막으로 모든 액티브X를 [사용 안 함]으로 설정하고, 꼭 필요한 액티브를 하나씩 [사용] 으로 설정한다.

③ 문제가 되는 액티브X를 찾으면 오른쪽 클릭하고 [추가 정보]를 누른 다음 [제거] 를 눌러 삭제한다.

오래 쓰지 않는 액티브X를 지우자관리 프로그램을 이용해 지우거나 기능을 해제하려면 우선 해당 액티브X가 무슨 일을 하는지 알아야 하는데, 정보가 없어 알아내기가 쉽지 않다. 이런 고민을 해결해 주는 프로그램이 클린AZ다. 국가정보원에서 만들어 배포하는 프로그램으로서 15일, 30일, 60일 단위로 이용하지 않은 프로그램을 확인해 삭제한다.

프로그램을 실행하고 오랫동안 동안 쓰지 않은 액티브X를 조회하고 삭제한다.

■ 액티브X 관리 프로그램 이용하기문제가 복잡할 때는 인터넷 익스플로러의 [추가 기능 관리]를 이용한 관리는 한계가 있다. 설치되어 있는 액티브X가 워낙 많고, 액티브X가 변경하는 레지스트리도 많아서다. 이럴 때는 액티브X 관리 프로그램을 이용하는 게 좋다.

액티브X 매니저를 설치하고 실행하면 다음과 같은 화면이 뜬다. 화면 구성은 다음과 같다.

선 연결Controls 설치된 액티브X 목록ActiveX Control Details 이름, 상태, 프로그램 ID, CLSID, TypeLib 등 액티브X의 자세한 정보를 알려준다.File 액티브X 파일과 경로 정보를 열려준다. 전체 경로, 파일 크기, 생성일, 변경일, 접근일 등이다.Button 액티브X 등록 해제, 삭제, 설치 버튼과 옵션 설정, 프로그램에 정보 버튼 등으로 구성되어 있다.Remove/Unregister 설치된 액티브X를 제거하거나 등록 해제한다. 실제 파일이 지워진 액티브X(빨간색 X)를 고르면 Remove 버튼이 활성화되고, 파일이 남아 있는 경우(파란색 X)에는 Unregister 버튼이 활성화된다.Add Control 하드디스크에 있는 액티브X 파일을 설치한다.Report 액티브X에 정보를 TXT 파일이나 HTML 파일로 저장한다.

Report 버튼을 클릭하고 보고서를 생성한 다음 필요한 액티브X인지 확인한다.

설치되어 있는 액티브X를 골라 등록 해제, 삭제를 눌러 제거한다. 여기에 표시되는 액티브X는 인터넷 익스플로러로 설치한 것뿐만 아니라 운영체제나 응용 프로그램이 설치한 액티브X도 포함되어 있다. 잘못 지우면 에러가 뜰 수 있으므로 확실한 것만 삭제한다. 보고서를 보면 웬만한 것은 알 수 있다. 잘 모른다면 다음 기준을 따라 삭제해보자.

- 빨간색 X로 표시된 것은 파일이 지워진 것이므로 Remove를 눌러 지운다.- File/Location이 C:windowosDownloaded Program Files이면서 알 수 없는 액티브X는 모두 지운다.- File/Location이 C:windowosDownloaded Program Files이 아니고, 어떤 용도의 액티브X인지 확실히 아는 경우일 때만 삭제한다.- 액티브X 컨트롤 이름이 Microsoft로 시작하는 플러그인은 그대로 둔다.

■ 액티브X 재설치 막기액티브X의 설치는 이용자의 선택 사항이지만 처음 설치할 때 옵션에서 해당 프로그램을 만든 회사의 액티브X는 항상 설치한다는 내용에 동의했다면 삭제를 하더라도 재설치되는 경우가 많다. 이때는 해당 액티브X가 아예 설치가 되지 않도록 바꿔야 한다. 레지스트리를 수정하는 방법이 있지만 조금 복잡하므로 여기서는 액티브X 호환성 매니저(ActiveX Compatibility Manager)를 이용한다.

① 프로그램을 실행한 다음 file → add new items를 누른다.

② 창이 뜨면 차단할 액티브X의 CLSID를 입력한다. 아래의 add the above CLSIDs ad disable를 체크하고, OK를 누른다. 해당 액티브X는 설치가 차단되고 관련 메시지도 뜨지 않는다.

CLSID 알아내기CLSID는 인터넷 익스플로러의 추가 기능 관리에서 알아낼 수 있다. 문제가 되는 액티브X를 찾으면 오른쪽 클릭하고 [추가 정보]를 누른다. CLSID를 비롯해 여러 가지 정보가 나타난다. [복사] 를 누르면 내용이 클립보드에 복사되는데 CLSID 부분만 가져다 쓴다. 클래스 ID(CLSID)는 구성 요소를 식별하는 고유 식별자를 뜻한다. 윈도우는 수없이 많은 파일을 가져다 쓰는데 파일을 구분하기 위해 각자 CLSID를 가지고 있다. 이것을 이용해 다른 응용 프로그램이 불러와서 쓸 수 있다.

[추가 정보]에서 CLSID를 알 수 있다.

[ 관련기사 ]▶ 구글, MS `액티브X` 대항마 개발스티마, '티차트액티브X' 한글 버전 출시사용자 빠진 해묵은 '액티브X' 논쟁안쓰는 액티브X, 한방에 삭제한다이버즈 트위터에 추가하기PC사랑 취재부(www.ilovepc.co.kr)'IT 제품의 모든것'-Copyright ⓒ ebuzz.co.kr, 무단전재 및 재배포 금지

Copyright © 전자신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?