액티브X의 문제점을 줄기차게 제기해 온 곳이 있다. 웹 표준운동 시민단체인 ‘오픈웹 (www.openweb.or.kr)’이라는 곳이다. 오픈웹은 지난 2007년 공인인증 기관인 금융결제원을 대상으로 소송을 냈다. 인터넷 뱅킹 등 온라인 금융을 이용할 때 설치되는 액티브X는 오직 인터넷 익스플로러에서만 지원된다. 오픈웹은 이런 환경이 파이어폭스 등 MS 운영체제 및 웹 브라우저를 사용하지 않는 사람들의 선택권을 제한한다며 손해배상 소송을 제기했다. 지난 3월 서울고등법원은 항소심에서 항소 기각 결정을 내렸다. 비중 있는 사건이 아닌 탓인지 기사로 다룬 언론사도 거의 없었다. 하지만 당시 이 결정을 금융권 일각에서는 주의 깊게 지켜봤다. 판결에 따라 온라인 뱅킹 솔루션을 바꿔야 하는 경우도 생길 수 있었기 때문이다. 한 은행의 정보기술(IT) 기획부 관계자는 “의미 있는 소송인 것은 알지만 지금의 현실에서는 어쩔 수 없지 않겠느냐”라고 말했다. 액티브X의 영향이 가장 큰 곳은 금융권이다. 인터넷 뱅킹 등을 사용하기 위해서는 필수적으로 액티브X를 설치해야 한다. 웹 환경을 비판하는 측이 집중적으로 노리는 곳도 자연스레 금융권이 될 수밖에 없다. 오픈웹이 금융결제원을 상대로 소송을 낸 것도 이런 맥락으로 풀이된다. 현재 국내 전자금융거래에서 액티브X는 보안접속(128bit 암호화 접속)과 전자서명, 그리고 사용자의 컴퓨터에 키보드 해킹을 방지하거나 바이러스를 감시하고 치료 프로그램을 의무적으로 설치하는 데 사용된다. 반면, 비판론자들은 파이어폭스, 오페라, 사파리 등의 비MS 브라우저는 256bit 암호화 보안접속 기능을 기본으로 장착하고 있다며 굳이 액티브X를 강제할 이유가 없다고 주장한다. 금융권에서는 ‘보수적으로 움직일 수밖에 없다’라고 강변한다. 전자금융거래법에 따르면 개인용 침입차단시스템과 키보드 해킹방지 시스템을 설치하도록 지시했다. 하지만 그런다고 해킹이 원천 봉쇄되는 것은 아니다. 한 지방은행 IT 부서 책임자는 “보안 문제로 고객과 분쟁이 생길 경우를 감안하면 은행 잘못이 아니라는 점을 입증하기 위해서라도 강제적으로 설치하는 것이 낫다”라고 설명했다. 금융권의 입장에서는 액티브X로 보안 프로그램을 강제적으로 설치하면 최소한의 안전을 유지할 수 있다. 하지만 고객에게 프로그램의 설치를 맡겼다가 해킹 등으로 문제가 발생할 경우 누구의 잘못인지 알아내기가 어렵다. 은행 관계자는 “고객의 PC에서 백신프로그램이 구동 중인지 원격으로 알아내는 것은 현재 어렵다. 현재 단계에서는 차라리 액티브X를 이용해서 강제적으로 설치하는 것이 가장 확실한 방법이고, 기업의 의무를 다하는 것이다”라고 말했다.

한국정보보호진흥원 “대응시스템 시범운영 중이었다”   ▲ 서울 송파구 가락동에 위치한 인터넷침해사고대응지원센터. ⓒ연합뉴스 정보보호 정책 연구를 담당하고 있는 한국정보보호진흥원(KISA)은 지난해부터 DDoS 공격에 대응하는 체계를 구축하는 사업을 시범적으로 운영하고 있다. 주요 인터넷서비스사업자(ISP)의 인터넷망 연동 구간에 DDoS 대응시스템을 구축하는 것이다. 정부가 연결망 구축에 대한 예산을 지원하고 각 업체와 이상 동향에 대한 정보를 공유하는 방식이다. 지난해 12월 SK브로드밴드, LG데이콤, SK네트웍스 등 인터넷서비스프로바이더(ISP) 3개사를 대상으로 대응시스템을 구축해 시범운영에 들어갔고, 2009년에는 네 개 업체를 추가해 모두 7개 ISP가 참여하는 대응시스템이 가동되고 있다. 사업 예산으로 2008년 20억원이 집행되었고, 2009년에는 29억원의 예산을 편성해 집행하고 있다. 해킹바이러스 대응 체계를 위한 KISA의 총 예산이 2008년 1백1억9천4백만원, 2009년 1백33억7백만원이니 전체의 20%가 넘는 예산을 DDoS 공격을 막아내는 데 사용한 것이다. 정부가 DDoS를 이용한 사이버 테러의 가능성과 위험성에 대해 인지하고 이를 막아낼 체계의 필요성에 공감하고 있었다는 것을 보여준다. 7개 ISP와 이상 동향 정보 공유해 하지만 막상 DDoS 공격이 현실로 닥치게 되자 정부와 민간 모두 적절한 대응을 해내지 못했다. DDoS 대응체계 시스템이 문제가 있거나, 사이버 공격을 막아내기에 충분하지 못한 것이다. 방송통신위원회 네트워크정보보호팀의 정재훈 사무관은 “각 ISP들의 전 연동구간에 DDoS 대응시스템을 구축했다면 이번 사이버 테러에 대한 대응과 통제가 가능하겠지만 DDoS 대응체계 시범 사업은 일부에 국한된 것이었기 때문에 완전 봉쇄는 어렵다. 그래도 이번에 이상 징후를 탐지하는 데 일정 부분 기여를 한 것으로 알고 있다”라고 말했다. DDoS 대응시스템을 완벽히 구축하기 위해서는 막대한 비용이 필요하다. KISA의 시범 사업 대상이 7개 ISP에 불과하고 그나마도 일부 연결망에 국한된 것은 이 때문이다. 정부의 예산이 투입되는 것은 각 ISP사의 장비를 연결하는 부분에 국한되고 실제 장비를 갖추고 소유하는 것은 ISP의 몫이다. 설비투자에 적극적인 민간업체들의 동참이 필요하다. 정재훈 사무관은 “시스템 구축비용을 국가가 전부 지원해야 하는지에 대한 문제는 의문이다. 정부 차원에서 시드머니를 줘 효과성을 입증하면 민간업체가 자연스럽게 따라올 것이라는 것이 시범 사업의 취지이다. 직접적인 투자설비가 어려운 영세업체들에 대해서는 지원을 유도할 수 있을 것이다”라고 말했다. 이번 사이버 테러로 인해 정보 보호의 중요성에 대한 인식이 높아졌다. 정부와 민간 모두 정보 보호를 위한 투자를 늘려야 한다. DDoS 대응시스템 구축에 연간 20억원을 조금 웃도는 예산만이 투입되는 것으로는 부족하다. 그나마 DDoS를 위한 예산은 KISA 예산의 20% 정도라도 되었다. DDoS 말고도 정보 보호를 위협하는 요소가 많이 있는 상황에서 사이버 테러 대응책 전반에 대한 예산 확충이 필요하다. 보안업체 하우리(www.hauri.co.kr) 기술연구소의 장상근 연구원은 “네트워크가 잘 발달되어 있는 한국의 현실에서 이 정도의 예산으로는 부족하다. 앞으로도 다양한 공격 기술 등을 통해 더 많은 사이버 테러가 일어날 것이 예측되므로 더 많은 예산이 확충되어야 한다”라고 지적했다.