액티브X 없는 인터넷뱅킹, 열릴듯 잘 안열리네..

금융권 행보 아직도 소극적

(지디넷코리아=손경호 기자)국내서 수 년 동안 보안을 이유로 설치해야만했던 액티브X, NPAPI 기반 플러그인 기술이 국내에서도 수명을 다하기 일보 직전이다. 인터넷뱅킹 서비스를 제공하고 있는 은행들은 대체기술을 적용해 액티브X와 NPAPI를 서서히 대체해 나가려는 모습이다. 그러나 움직임이 그렇게 빠르지는 않아 보인다. 다수 금융회사들이 다른 곳은 어떻게 하나 지켜보고 움직이려 하는 듯한 장면도 엿보인다.

마이크로소프트는 윈도10을 출시하면서 내놓은 엣지 브라우저에서 아예 액티브X 기반 플러그인 지원을 끊어버렸고 구글도 현재 크롬44버전에서 제한적으로 허용되고 있는 NPAPI를 오는 9월부터는 아예 쓰지 못하게 막아버린다는 계획이다. 크롬45 버전부터는 기존 NPAPI 기술을 활용하는 국내 웹서비스를 쓸 수 없게 된다는 뜻이다.

이에 따라 당장 민원이 폭발할 것으로 예상되는 곳은 인터넷뱅킹서비스를 제공해 온 은행들이다. 금융당국이 올해 초 금융IT융합지원방안을 내놓으면서 일명 키보드보안, 개인방화벽, 공인인증서 구동 프로그램 등 일명 '보안3종세트'를 쓰지 않고서도 필요한 보안기술을 자율적으로 적용할 수 있도록 규제를 완화했으나 은행권에서는 여전히 대체기술 도입을 놓고 눈치만 보는 분위기다. 대체기술이 제한적인데다가 도입했을 때 또 다른 민원이 발생할지도 모른다는 우려가 큰 탓이다.

은행권에서 액티브X, NPAPI 대체기술을 검토하고 있으나 기존 방식을 유지하면서 점진적으로 도입할 것으로 예상된다.

31일 업계에 따르면 현재 액티브X, NPAPI를 대체할 수 있는 기술로 고려되고 있는 것은 크게 두 가지다. 먼저 기존에 사용해 온 보안기술을 사용자 PC(클라이언트)에 미리 설치한 뒤에 해당 서비스에 접속했을 때만 관련 기능을 호출하는 '커스텀URI스킴(Custom URI Scheme)' 혹은 'URL프로토콜핸들러(URL protocol handler)'라고 불리는 방식이다.

커스텀URI스킴은 이미 2010년께 공개된 기술로 웹브라우저가 기본 지원하지 않는 별도 응용프로그램을 호출하거나 반대로 응용프로그램이 웹브라우저 상에서 특정 웹페이지를 호출할 수 있게 하는 것이다. 미래창조과학부와 한국인터넷진흥원(KISA)이 액티브X 대체기술 중 하나로 소개했던 'exe파일' 방식이 바로 그것이다.

인터넷뱅킹서비스를 위한 통합보안모듈설치프로그램을 공급해 온 위즈베라의 백효성 대표는 "커스텀URI스킴의 경우 플러그인을 쓰지 않는다는 점에서 대체기술이 될 수는 있지만 응용프로그램과 웹서비스 사이에 암호화되지 않은 평문(plaintext) 형태로 데이터가 전송된다는 문제가 지적돼 왔다"고 설명했다. 이 기술을 인터넷뱅킹에 적용했을 경우 공격자가 마음만 먹으면 중간자공격 등을 통해 정보를 가로챌 위험성이 높다는 것이다. 이와 함께 플러그인 방식에 비해 인터넷뱅킹서비스 속도가 느려질 수 있다는 점도 도입에 어려움으로 작용한다.

때문에 사용자 PC 혹은 노트북 내에 설치된 응용프로그램과 인터넷뱅킹 사이트 사이에 통신구간에 대한 암호화가 필수다. 이를 위해 해당 사이트에서 HTTPS(SSL/TLS) 방식의 암호화 통신 기술이 기본적용돼야 한다.

다만 이러한 방식을 적용한다고하더라도 기존 PC, 노트북 내 운영체제(OS)의 커널영역에서 구동하는 키보드 보안 프로그램에서 발생하는 여러가지 오류에 대한 근본적인 해결책은 되지 못할 것으로 전망된다. 개인방화벽, 공인인증서 구동프로그램 등은 커스텀URI스킴와 HTTPS를 활용한 암호화 통신을 통해 해결할 수 있지만 커널단까지 건드리는 키보드 보안에 대해서는 가상 키패드 등과 같은 추가 대체기술을 쓰거나 아예 적용하지 않는 방안을 고려해야 한다는 것이다.

또 다른 방법으로 웹표준(HTML5) 기술로 보안기능을 구현하는 것이다. 현재 공인인증서 구동 및 관련 암호화 통신에 대해서는 플러그인 기술을 쓰지 않고, HTML5 기반으로 활용할 수 있도록 기술이 지원되나 대대적으로 이러한 기술을 도입한 은행들은 아직 등장하지 않았다. 웹표준 기술만 적용해 보안기능을 구현하기 위해서는 기존 보안3종세트 등 기능을 아예 쓰지 않는 대신 사업자 스스로 이상금융거래탐지시스템(FDS) 고도화와 함께 스마트폰, OTP발생기 등 추가적인 보안매체를 통한 투팩터 인증 등이 필요하게 된다.

KISA가 발표한 '인터넷 이용환경 개선을 위한 NPAPI 대체 기술안내서'에 따르면 액티브X, NPAPI 대신 사용할 수 있는 대체 플러그인 기술로 구글이 제시하는 네이티브클라이언트(NaCl, PNacl), 크롬과 보안프로그램 사이를 연결해 주는 API를 활용하는 네이티브 메시징 등이 있으나 이 경우에도 구글의 방침에 따라 또 다른 NPAPI 사태를 초래할 수 있다는 점이 한계로 지적된다.

KISA가 올해 진행하고 있는 웹표준 전환 및 비표준 개선 지원사업에 은행권에서 우리은행이 유일하게 참여의사를 밝혔다. 우리은행측은 연말까지 액티브X, NPAPI 대체 기술을 가진 솔루션 업체를 선정해 해당 기술을 도입한다는 계획을 세우고 있다.

그러나 대체기술들이 등장하고 있다고 하더라도 여전히 은행권의 움직임은 더딘 실정이다. 우리은행도 전면개편이라기보다는 기존 인터넷익스플로러(IE)에서 액티브X 기반 플러그인을 설치해 인터넷뱅킹 서비스를 사용해왔던 고객들은 그대로 사용할 수 있게 허용하면서 다른 대체기술도 지원한다는 방침이기 때문이다. 우리은행 관계자는 "기본적으로 새로운 기술을 도입한다고 하더라도 예전 방식대로 써왔던 고객들이 있기 때문에 점진적으로 개편한다는 입장"이라고 밝혔다.

이밖에 다른 은행들도 우선 9월 중단이 예고된 NPAPI에 대한 대체기술을 우선 도입한 뒤에 각 사 일정이나 예산안에 맞춰 인터넷뱅킹사이트에 대한 개편을 추진한다는 계획이다.

→ 한 뼘 더 깊은 IT 보고서‘리소스 라이브러리’에서 만나보세요!

손경호 기자(sontech@zdnet.co.kr)

▶ IT 세상을 바꾸는 힘 <지디넷코리아>
▶ IT뉴스는<지디넷코리아>, 글로벌 IT뉴스는<씨넷코리아>, 게임트렌드는<뉴스앤게임>
▶ 스마트폰으로 읽는 실시간 IT뉴스<모바일지디넷>
[저작권자ⓒ메가뉴스 & ZDNet & CNET. 무단전재 및 재배포 금지]