액티브엑스
액티브엑스(Active X)는 마이크로소프트에서 개발한 재사용이 가능한 객체 지향적인 소프트웨어 구성 요소 개발에 사용되는 기술이다. 컴포넌트 오브젝트 모델(Component Object Model, COM)과 객체 연결 삽입(OLE)을 적용하여 다운로드받은 콘텐츠들을 이용하는 데 이용된다.
개요
기존의 응용 프로그램에서 작성된 문서 등을 웹과 연결하여 그대로 실행할 수 있게 해주는 플러그인 기술로, 일반적으로 각종 보안 플러그인, 결제 관련 프로그램 등과 같은 웹 서비스를 이용할 때 설치 및 실행하도록 운영되고 있다.[1] 시간이 지나면서 단순한 텍스트 외에도 음악을 감상하거나, 은행 업무를 보는 등 다양한 인터넷 이용이 가능해졌다. 하지만 기존 웹 브라우저와 HTML 문서만으로 새로 생겨난 기능들을 제대로 이용할 수 없게 되어 이러한 문제를 해결하고자 웹 브라우저와 연동되는 외부 프로그램인 '플러그인'을 사용자의 컴퓨터에 설치하게 하여 원활한 진행을 도왔다.[2]
등장 배경
한국에서 인터넷 뱅킹이나 다양한 금융 거래들이 활발해지면서 보안의 필요성을 느끼고 국가 기관에서 보안 지침을 내리게 되었다. 문제는 보안 지침 중에 암호화 알고리즘을 국내 기술로 된 것으로 한정을 지었다. 그러나 기반이 되는 웹 브라우저가 국내 기술로 된 것이 아닌 마이크로소프트의 인터넷 익스플로러가 대다수였고, 그 외의 웹 브라우저 역시 엔진 자체가 인터넷 익스플로러 기반이든지 아니든지 해외 웹 브라우저였기 때문에, 국내 암호화 알고리즘을 자체적으로 지원해줄 방법이 없었다. 결국 플러그인 방식을 도입하였고, 가장 많이 사용하는 윈도 기반의 인터넷 익스플로러에서 동작하기 위해 액티브엑스를 쓸 수밖에 없었다.[3]
특징
거의 무한대로 기능을 확장할 수 있다. 즉, 서비스 제공자의 편의성이 매우 높다. 액티브엑스는 한 번만 다운로드를 하면 컴퓨터에 자동으로 설치가 되므로, 이후에 빠르게 실행할 수 있다. 웹 사이트 쪽에서 사용자 PC의 기능을 제어하는 과정도 매우 간편해진다. C++, 파스칼, 베이직 등의 프로그래밍 언어로 개발할 수도 있고, 개발 비용도 자바(JAVA)에 비애 저렴하다. 하지만 인터넷 익스플로러에서만 사용이 가능하고, 윈도 기반의 컴퓨터가 아닌 스마트폰이나 태블릿 컴퓨터에서는 액티브엑스를 전혀 사용할 수 없다. 즉, 모바일 연계가 어려워 접근성 면에서 한계가 존재한다. 또한, 보안 문제가 취약해서 액티브엑스의 입지가 줄어들고 있다. 사용자의 PC에 직접 설치된다는 특징을 악용하여 악성코드를 심거나 개인정보를 유출하는 경우도 종종 발생하여 액티브엑스를 설치하는 과정에서 원하지 않는 기능까지 함께 설치되는 경우도 있다. 그리고 액티브엑스를 설치하는 창이 보안 프로그램인지 해킹 프로그램인지 알아보기 어렵고, 때에 따라 액티브엑스를 설치 또는 실행할 때 웹 브라우저의 보안 등급을 낮춰야 하기 때문에 바이러스나 디도스(DDoS) 등 보안 문제의 주범으로 꼽힌다. 또한, 컴퓨터 메모리 용량을 많이 소모하여 전반적인 처리 속도가 크게 저하되고, 기본 사양이 낮은 컴퓨터는 성능을 저하해 전원이 꺼지는 등의 단점이 있다.[1][4]
관련 기술
액티브엑스 컨트롤(ActiveX Control)은 웹페이지에 내장되어 실행 가능한 객체로 C/C++, 비주얼 베이직, 델파이 등과 같은 다양한 언어와 개발 툴로 작성할 수 있다. 액티브엑스 도큐먼트(ActiveX Document)는 웹브라우저를 통해 볼 수 있는 HTML과 무관하게 작성된 도큐먼트로, 마이크로소프트 워드나 엑셀 파일 등을 의미한다. 액티브 스크립팅(Active Scripting)은 액티브엑스 컨트롤이나 자바 애플릿에 포함할 수 있는 스크립트 언어로, 비주얼 베이직에 기반한 VB 스크립트가 대표적이다. 액티브엑스 서버 프레임워크(ActiveX Server Framework)는 웹서버에 기반한 기능으로, 즉 보안이나 데이터베이스 연결을 가능하게 하는 서버 사이드 아키텍처이다.[4]
문제점
액티브엑스의 부작용이 이어지자 마이크로소프트는 윈도 XP 운영체제의 기능을 확장한 윈도 XP 서비스팩 2를 내놓아 개선하고자 했다. 이전에는 특정 웹사이트에 접속하기만 하면 무조건 액티브엑스의 설치를 권유하는 팝업창이 떠 무심결에 설치해버리는 경우가 많았다. 설치를 취소하여도 정상적인 웹사이트 이용이 거의 불가능할 정도로 집요하게 액티브엑스의 설치를 강요하는 경우가 많았다. 하지만 윈도우 XP 서비스팩 2 이후로 윈도 운영체제는 팝업 차단 기능이 강화되어 사용자가 허용하지 않은 액티브엑스 설치 팝업창은 표시되지 않게 되었고, 출처나 보안성이 분명하지 않은 액티브엑스는 설치가 차단된다. 그렇지만 액티브엑스의 근본적인 문제점이 완전히 사라진 것은 아니었고, 일부 웹사이트는 이용자들에게 팝업 차단 기능을 해제하거나 아예 웹브라우저의 보안 옵션 수준을 낮출 것을 요구하기도 했다.[4]
대안
보안 분야에서는 공인인증서를 이용한 전자서명 기술, 개인 방화벽, 키보드 보안, 통신 암호화 기능 및 보안 이메일 기능에 대한 대체 방법을 제시하고 있다. 파일 처리 기술에서는 이메일이나 게시판 등에서 사용되는 다중 파일 업로드, 다중 다운로드 기능 및 웹 사이트에서 파일을 다운로드하는 방법에 대해 대체 기술을 제시한다. 그래픽 및 차트 표현에서는 그래픽 구현 기술 및 데이터를 이용한 그래프와 차트를 구현하는 방법은 스케일러블 벡터 그래픽스(Scalable Vector Graphics, SVG) 기술과 HTML5의 canvas 요소, 자바 스크립트 및 문서 객체 모델(Document Object Model, DOM)을 이용한 대체 사례를 제시한다. 멀티미디어 재생에서는 동영상 재생과 MP3 등 음악 재생 기술도 HTML5 표준에서 제공하는 비디오 및 오디오 태그를 이용하여 구현하는 방법을 제시한다.[4]
- 레주메
삼성SDS가 액티브엑스를 대체할 수 있는 블록체인 전자 인증 플랫폼을 개발한다. 기존 전자 인증 방식보다 보안이 크게 강화되었고, 사용하기도 편리하여 액티브엑스와 공인인증서 등을 전면 대체할 수 있을 전망이다. 레주메(Rezoome)는 기존 액티브엑스나 전화번호 인증, 공인인증서 등 복잡한 보안 절차를 거쳐야 했던 증명서 발급을 간소화하는 기능이 핵심이다.[5]
전망
구내 대다수 인터넷 사이트가 글로벌 웹 표준기술(HTML5)을 사용하지 않는다. 비표준 프로그램인 액티브엑스라는 기술을 사용하기 때문에 인터넷 속도를 느리게 만드는 주요 원인이기도 하다. 액티브엑스를 개발한 마이크로소프트조차도 윈도 10과 최신 인터넷 접속 웹브라우저 엣지(Edge)에서는 이 기술을 사용하지 않기로 했다. 액티브엑스는 일반인도 해킹 기술을 조금만 공부하면 뚫을 수 있을 정도로 보안이 취약하지만, 민간 사이트는 표준 기술을 쓰는 사이트로 전환하는 데 드는 비용으로 인해 머뭇거린다. 마이크로소프트나 구글 등 글로벌 기업들은 액티브엑스와 같은 비표준 프로그램을 더 이상 사용하지 않고 퇴출하기로 결정했다. 즉, 비표준 프로그램이고, 보안에 취약하다는 이유로 해외에서 퇴출당하고 있다.[6]
각주
- ↑ 1.0 1.1 KH정보교육원, 〈액티브 X(Active X)란? Active X의 장점과 단점〉, 《네이버 블로그》, 2013-05-13
- ↑ 〈액티스(Active)X란 무엇인가? (개념, 문제점, 현재 추세)〉, 《티스토리》, 2017-06-01
- ↑ Taeksu Kim, 〈왜 국내에서는 ActiveX를 쓰게 되었을까?〉, 《Medium》,2017-01-12
- ↑ 4.0 4.1 4.2 4.3 〈(보안이슈)최근 보안 이슈, 액티브X(Active-X)에 대하여〉, 《소프트캠프 블로그》, 2015-04-13
- ↑ 유태양 기자, 〈삼성SDS, 블록체인으로 '액티브X' 없앤다〉, 《매일경제》, 2018-01-16
- ↑ 성호철 기자, 〈수명 다한 액티브X... 한국만 끌어안은 채 고립〉, 《조선일보》, 2015-08-10
참고자료
- KH정보교육원, 〈액티브 X(Active X)란? Active X의 장점과 단점〉, 《네이버 블로그》, 2013-05-13
- 〈액티스(Active)X란 무엇인가? (개념, 문제점, 현재 추세)〉, 《티스토리》, 2017-06-01
- Taeksu Kim, 〈왜 국내에서는 ActiveX를 쓰게 되었을까?〉, 《Medium》,2017-01-12
- 〈(보안이슈)최근 보안 이슈, 액티브X(Active-X)에 대하여〉, 《소프트캠프 블로그》, 2015-04-13
- 유태양 기자, 〈삼성SDS, 블록체인으로 '액티브X' 없앤다〉, 《매일경제》, 2018-01-16
- 성호철 기자, 〈수명 다한 액티브X... 한국만 끌어안은 채 고립〉, 《조선일보》, 2015-08-10
같이 보기