매년 사라진다는 액티브X, 실행파일로 변형 中
플래시·액티브X, 악성코드·랜섬웨어 진입 경로로 나타나
기술 지원 중단된 소프트웨어 해킹 당할 위협 ↑

사진=게티이미지뱅크

연말만 되면 화두로 떠오르는 ‘액티브X’ 제거가 최근 exe 등 실행파일 플러그인을 설치하는 식으로 변형되고 있는 가운데, 액티브X 같은 기술지원이 중단된 소프트웨어가 악성코드·랜섬웨어의 주 감염로인 것으로 나타났다. 일각에서는 플러그인을 완전히 제거하지 못하는 것은 고객의 정보보안책임을 기업이 고객에게 분담하기 위해서 인 것 아니냐는 지적도 일고 있다.

3일 관련 업계에 따르면 지난해 말 기준 설치 플러그인을 여전히 사용하는 민간 웹사이트는 408개, 공공 웹사이트는 1103개인 것으로 집계됐다. 과학기술정보통신부와 행정안전부, 금융위원회가 지난해 12월 29일 공개한 ‘2019년 민간·공공 웹사이트 플러그인 현황’에 따르면 민간 웹사이트 중 액티브X가 남아있는 사이트는 73개, 여전히 실행파일을 설치해야 하는 사이트는 77개다.

플러그인은 인터넷 익스플로러(IE), 마이크로소프트 엣지, 크롬 등의 웹브라우저가 제공하지 않는 공인인증서나 전자서명 등에 필요한 기능을 구현하기 위해 별도로 설치해야 하는 프로그램을 뜻한다. 액티브X나 ‘exe’ 확장자를 사용하는 실행파일이 대표적이다. 

액티브X 폐지는 문재인 대통령의 대선 공약 중 하나다. 문재인 정부는 플러그인 제거 사업을 국정과제로 설정하고 범부처 협의체를 구성했다. 행안부는 21억5000만원을 지원하고 각급 기관의 플러그인 제거를 위해 242억5000만원을 배정하기도 했다.

하지만 액티브X를 폐지했다고 해도 exe 플러그인을 사용해야 하는 곳은 여전히 많았다. 공공기관 웹사이트에서 공인인증서로 로그인하기 위해서는 별도의 보안 프로그램을 설치해야 했고, 은행 업무를 볼 때도 마찬가지인 것으로 나타났다. 주로 ▲베라포트(Veraport) ▲애니사인(Anysign) ▲키보드보안(nProtect) 등의 프로그램이다.

이런 프로그램들은 설치하고 나면 컴퓨터가 느려지는 현상이 발생하는 경우가 많아 ‘악질 액티브X 프로그램’이라고 불리기도 한다. 특히 은행 업무를 보는 경우 보안 관련 프로그램을 설치해야 하는데, 2019 민간·공공 웹사이트 플러그인 현황에 따르면 은행의 경우 평균 4.8개의 보안 프로그램을 설치해야 한다. 은행권에서 액티브X나 실행파일 설치 없이 웹사이트를 이용할 수 있는 곳은 국민은행이 유일한 것으로 집계됐다.

이를 두고 일각에서는 고객 정보보안책임을 기업이 도맡지 않기 위해서 플러그인 설치를 포기 못하는 것 아니냐는 비판도 나온다. 아마존, 페이팔, 스팀 등 해외 웹사이트의 경우 별도의 프로그램을 설치하지 않고도 결제 같은 활동이 가능하다. 해외는 고객정보 관련 책임을 기업이 지는데, 한국은 해킹이 발생했을 때 고객도 입증 책임을 나누는 부분이 있다는 것이다.

특히 플래시나 윈도우7 등 기술 지원이 중단된 소프트웨어를 사용할 경우 해킹을 당할 위험이 한층 커진다. 한국인터넷진흥원(KISA)에 따르면 지난해 6월 기준 액티브X를 사용하는 민간 500대 웹사이트 중 28.4%에 해당하는 142개 사이트의 액티브X가 플래시와 연관 있는 것으로 나타났다. 또 KISA의 ‘2019 하반기 악성코드 은닉사이트 탐지 동향 보고서’에 따르면 인터넷 익스플로러(IE) 취약점을 악용한 것이 69%, 플래시 취약점을 악용한 것이 31%로 드러났다.

지난달 14일 마이크로소프트의 지원이 중단된 윈도우7도 보안 위협에 노출될 가능성이 늘었다. 윈도우 운영체제는 주기적인 보안 업데이트를 통해 새로 발견된 취약점을 개선하고 침투 경로를 차단하는 조치를 해왔다. 백신 프로그램 등을 통해 악성코드 감염을 치료하는 방법도 있지만, 근본적인 예방책은 취약점을 보완하고 침입 가능성을 차단하는 게 좋다는 분석이 많다.

한편 윈도우7의 경우 다수의 백신 프로그램 서비스 기업들이 지원을 계속할 방침이다. 관련 업계에 따르면 ▲안랩 ▲AVG&Avast ▲Avira ▲비트디펜더 ▲카스퍼스키 ▲NortonLifeLock ▲MacAfee 등이 향후 2년간 업데이트를 제공한다.

파이낸셜투데이 변인호 기자

저작권자 © 파이낸셜투데이 무단전재 및 재배포 금지