블로터

문재인 대통령은 취임 초기, 국정과제로 이 녀석의 ‘청산’을 약속했다. 박근혜 대통령마저 이를 ‘콕 찍어’ 없애라고 지시했다. 표준화되고 개방된 웹을 지지하는 진영에선 이미 10년 전부터 한국 웹을 고립시키는 주범 중 하나로 지목했다. 보수·진보, 여야를 아우르는 공공의 적, ‘액티브X’ 얘기다.

액티브X의 폐해는 새삼 거론하기 무색할 정도로 많다. 액티브X는 마이크로소프트가 1996년 ‘인터넷 익스플로러'(IE)용으로 도입한 플러그인 기술이다. 초기엔 개발과 서비스 적용이 쉬워 많은 웹서비스가 이를 도입했지만, 윈도우-IE에만 쓸 수 있는 폐쇄성과 보안에 취약한 점이 알려지며 웹을 오염시키는 주범으로 전락했다. 이용자 원성도 높았다. 금융이나 공공 서비스를 이용할 때마다 각종 플러그인을 덕지덕지 깔아야 하고 웹브라우저도 수시로 강제 종료하는 등 각종 불편함이 뒤따랐기 때문이다. 개발사인 마이크로소프트조차도 2015년 웹브라우저 ‘엣지’를 내놓으며 액티브X 지원을 중단하겠다고 밝혔다.

※ 관련기사

• ‘액티브X’ 걷어내기 ‘동상이몽’
• ‘크롬’과 ‘액티브X’로 보는 한국 웹표준 잔혹사
• 미래부, “액티브X 퇴출 지원하겠다”
• “공인인증서 없앤다더니 액티브X 쓰라고?”
• “굿바이, 액티브X”…간편결제 서비스 3종
• [핀테크] ⑥“금융결제, 책임 지웠으니 자유도 줘야”

2014년 박근혜 대통령은 외국인들도 자유롭게 온라인에서 쇼핑할 수 있도록 지원하자며 액티브X와 공인인증서 폐지를 주문했다. 이른바 ‘천송이 코트’ 사건이었다. 같은 해 5월 금융감독원은 인터넷쇼핑에서 공인인증서 의무 사용을 폐지했다. 이듬해 1월에는 금융위원회가 방화벽, 키보드 보안 프로그램, 백신 등 이른바 ‘보안프로그램 3종세트’ 설치 의무 조항을 폐지했다. 액티브X는 그렇게 웹에서 퇴출되나 싶었다.

2017년 정권이 바뀌었건만, 액티브X는 유구하다. 올해 3월 문재인 대통령은 ‘ICT 현장 리더 간담회’에서 “정부가 관리하는 모든 사이트에서 액티브X를 없애고 새로 제작하는 정부·공공사이트는 예외없이 노플러그인 정책을 관철할 생각”이라고 밝힌 바 있다. 지난 7월에는 국정기획자문위원회가 “2020년까지 공공분야 웹사이트에서 액티브X를 모두 제거하겠다”라고 밝히기도 했다. ‘좀비 기술’ 액티브X, 이번엔 인공호흡기를 뗄 수 있을까.

• 일시 : 2017년 12월 7일
• 장소 : 블로터 회의실
• 참석 : 이동산 페이게이트 이사, 전종홍 한국전자통신연구원 책임, 정윤기 행정안전부 전자정부국 국장(가나다 순), 이희욱 <블로터> 편집장

이희욱 : 포럼 시작에 앞서 먼저 묻고 싶다. 이 자리에 모인 세 분은 액티브X로 대변되는 플러그인 방식의 인증 수단이 사라져야 한다는 데 동의하시나?

일동 : 그렇다.

이희욱 : 액티브X에 대한 기본 입장은 확인했다. 이제 시작해보자. 오픈웹 진영에서 액티브X에 대해 문제를 제기한 지 10년이 넘었다. 그런데 왜 안 없어질까? 먼저, 지겹더라도 액티브X의 문제점에 대해 간단히 짚고 넘어가자.

전종홍 : 우선 전제로 짚고픈 점이 있다. 저는 이 토론을 액티브X로 한정할 게 아니라 비표준 기반 사용 환경 전반을 포괄하는 의미로 쓰면 좋겠다. 액티브X라고 콕 집으면 특정 기술, 특정 업체를 지칭하기 때문이다.

이동산 : 이건 흔히 ‘바이너리 플러그인’이라고 통칭하는 비표준 기술 문제다. 액티브X는 바이너리 플러그인의 대표성을 띄는 기술이다. 바이너리 플러그인을 얘기하려면 모바일 환경도 함께 짚어봐야 한다. 모바일 앱 종속성도 있다. 모바일에선 앱 자체가 액티브X다. PC에서 브라우저에 들어가는 바이너리 플러그인 종속성이 모바일에선 앱에 의존하는 상황으로 간다. 향후 모바일 앱 의존성이 PC의 액티브X처럼 문제가 될 소지가 크다.

정윤기 : 액티브X는 처음 나왔을 땐 환영받은 기술이다. 기존 웹브라우저 한계점을 보완해준 새 기술이었다. 한동안 앞다퉈 액티브X를 활용했다. 그러다보니 너무 많이 확산됐다. 그동안 많이 제거했지만, 아직도 많이 남았다. 그게 정확한 표현일 거다. 일반 국민들은 여전히 불편함 느낄 수 있다. 정부도 민간도 노력은 상당히 많이 기울였다. 2014년 이후 액티브X를 많이 걷어냈다. 그런데도 아직 너무 많이 남아서, 사용자가 보기엔 안 없어진 것처럼 보인다.

이동산 : 액티브X 관련해서 국민들은 공공과 민간 분야를 구분해 보지는 않는다. 대한민국 전체에서 공공분야 실적이 좋더라도 다른 영역에서 문제가 있으면 안 된다. 문서보안과 결제 문제도 얽혀 있다. 꼭 공공부문만 한정해 해결방법을 찾으려는 건 좀 협소하다.

이희욱 : 지금 웹 환경에서 액티브X로 대변되는 비표준 기술을 굳이 써야 하는 이유가 있나?

전종홍 : 웹 관점에서 액티브X나 비표준 기술이 사용된 가장 큰 이유는 사용자가 웹표준으로 제공되지 않는 새 기능을 웹브라우저에서 사용하길 원했기 때문이다. 그걸 웹브라우저에 제공하려다보니 비표준 기술을 사용할 수밖에 없었다. 국내에선 그게 더 도드라졌다. 국내에선 전자정부나 공공 서비스, 기업 인프라 모두 웹기반으로 하되 비표준을 함께 사용하면서 폭발적으로 늘었다. 국내만 가진 독특한 마인드도 한몫했다. 100% 지원 못해도 95%만 지원하면 그게 대세이고, 나머지 5%는 대세를 따라야 하며 다소 희생해도 된다는 마인드다. 이런 마인드가 초창기에 좀 있었다. 국민의 80%가 윈도우-IE를 사용하고 그 기반으로 솔루션을 쉽게 만드니 나머지 20%도 알아서 윈도우 PC가 있는 곳에서 가서 사용하면 될 것이라고 생각하며 밀어붙인 게, 비표준 기술이 지금처럼 확산된 가장 큰 이유였다.

정윤기 : 기술이 가진 문제점과, 기술을 잘못 써서 생긴 문제점을 구분해 봐야 한다. 액티브X는 사용 도중 웹브라우저 창을 강제로 종료시킨다. 한참 입력했는데 액티브X 설치하면 데이터가 싹 지워지고 원점으로 돌아간다. 겨우 다음 단계로 넘어갔는데 또 액티브X 설치하고 원점으로 돌아간다. 한마디로 UI(이용자조작화면) 문제다. 그러면서 국민이 체감하는 불편함이 증폭됐다. 전자정부국은 액티브X를 UI 측면에서 같이 들여다본다. 어쩔 수 없이 당분간 써야 하더라도, 국민이 느끼는 불편함을 업무 절차 재설계를 통해 잡으려 한다.

이동산 : 방송통신위원회와 한국인터넷진흥원에서 만든 ‘액티브X 대체기술 가이드라인‘이 있다. 이 가운데 파일처리나 멀티미디어 그래픽 등은 많이 해결됐고, 주로 보안 영역에서 액티브X가 많이 사용된다. 그 가운데서도 공인인증과 전자서명이다. 그런데 공인전자서명만 봐도 전자서명법에 의해 꼭 공인전자서명을 쓸 필요가 없다는 공감대가 있다. 미국 서부권은 금융거래시 계약의 70%를 전자결재로 처리하는데, 데이터 무결성을 보장하고 본인이 무결성 보장 문서에 동의하면 전자계약을 체결한 걸로 인정을 한다.

액티브X는 E2E 암호화 플러그인으로도 많이 쓰인다. 이건 철학적 이슈가 있다. 이용자 PC를 서비스 공급자가 어느 수준까지 보호해줘야 하는가의 문제다. 지금은 서비스 공급자가 사이트에 접속하는 개인 PC까지 보호해줘야 한다. 그러니 개인 PC 보호를 위해 개인 방화벽이나 키보드 해킹방지, E2E 암호화 플러그인이 들어간다. 한편에선 개인 PC 침해는 일정수준 개인이 책임져야 한다는 공감대도 있다. 이런 공감대가 확산되도록 캠페인 등 기술 외적으로 해결하는 것도 필요하지 않을까.

전종홍 : 액티브X 같은 비표준 기술이 확산되는 몇 단계가 있었는데, 그중에서도 본격적으로 확산된 시기가 PKI(공개키 기반 구조) 이용한 인증 시스템과 보안 체계를 만들면서다. 시스템을 만들어 배포하고 인터넷뱅킹이나 전자정부에서 사용하고 보니 이젠 다른 방법으로 되돌릴 수 없게 됐다. 그게 지금 상황이다.

이희욱 : 대통령까지 나서서 공개적으로 폐지를 주문했던 기술이다. 그런데 왜 안 바뀌는 걸까?

전종홍 : 액티브X 폐지와 관련해선 2008년부터 방송통신위원회나 국무총리실 산하 규제개혁위원회, 행정안전부 등과 꾸준히 얘기했다. 당시엔 이게 이슈가 되면 쉽게 개선될 수 있으리라 생각했다. 막상 각 기관과 얘기하다보니 대통령이 나서도 힘들겠다 생각했다. (웃음) 이후 미래부에서도 전문가위원회를 구성해 진행했는데 잘 안 됐다. PKI 공인인증 기술을 표준 브라우저에서 지원 가능하도록 하는 대체 기술도 없고, 그런 것을 만들 수 있는 예산도 없고, 전체 시스템을 다시 변경할 예산도 없으니 잘 안됐던 것이다. 인터넷뱅킹이나 민원처리 같은 건 표준이 새로 등장하거나 완전히 비표준을 걷어내는 업무개선이 돼야 하는데, 그게 안 되니 지금까지 왔다.

이동산 : PKI 등에 사용되는 액티브X를 웹표준으로 기술적으로 대체하는 게 불가능한 건 맞다. 법, 시행령, 규칙도 많고 가이드라인도 여러가진데 다양한 액티브X들을 일대일 매칭해 동일한 성능을 대치하는 웹표준 기술을 넣으라고 하면 못한다. 하지만 각각의 액티브X가 도입된 근본 원인을 해소하는 대체방식을 적용하는 건 충분히 가능하다고 생각한다. 이것은 꼭 기술적 접근이 아니라도, 프로세스 개선으로도 접근 가능하다. PKI를 안 쓰더라도 예컨대 이메일, 휴대폰 인증을 받았다거나 ARS 녹음에 동의했다는 식으로 본인 의사를 명확히 표현하면 인정해주는 식으로 제도가 바뀌어야 한다. 민간에서 여러가지 실험해 볼 수 있는 환경을 갖추는 게 중요하다. 금융쪽은 특히 심하다.

전종홍 : 액티브X를 얘기할 때 관련된 헤게모니 집단이 있다고 한다. 공인인증서만 해도 발급 시장이 1년에 4천억원이다. 그 시장이 없어지는 데 대한 거부감이 있는 세력 있다. ‘보안프로그램 3종세트’ 즉 해킹방지, 키보드보안, 공인인증서를 기본적으로 모든 PC에 설치하게 돼 있다보니 신규 보안 체계를 구성하면 자동적으로 3개를 한꺼번에 납품한다. 턴키 방식으로 납품하다보니 굳이 그렇게 안 해도 되는데도 그 기능을 넣어 적용한다. 그게 관행화돼 있다. 현재 가장 문제 많은 영역은 금융은 다른 이슈로 조금씩 해결되고 있는데 공공서비스 부문이다. 그쪽 이슈는 예산이 없다는 것도 있다. 중장기 예산 문제도 있고 해야 하는데 그 과정이 아직은 없으니 대규모로 시스템 만들어 업데이트하기 어렵다.

정윤기 : 그래서 3년 전부터는 기획재정부가 액티브X 관련 예산을 적극적으로 편성·집행하고 있다. 2015년 6월 기준으로 공공 분야에서 4460개 홈페이지에 9920개 액티브X가 있었다. 올해 6월 기준으로 1411개 홈페이지에 2780개 액티브X가 남았다. 액티브X 하나 제거하는 데 적게는 몇백만원에서 많게는 3천만원까지 든다고 한다. 많이 줄였다. 특히 문재인 정부에선 액티브X 폐지가 국정과제다. 기획재정부나 행안부 모두 액티브X 제거에 호의적이고 의지도 강하다.

전종홍 : 특히 악성인 데가 공공 분야다. 대표적인 데가 국세청이다. 그중에서도 일반 이용자들이 많이 안 들어가는 업무를 보는 곳이 심하다.

정윤기 : 저는 농담으로 ‘악(惡)티브X’라고 한다. (웃음)

이희욱 : 현실적으로 액티브X를 최소화하거나 없애는 방법은 뭐가 있을까? 제도든, 기술이든.

전종홍 : 제가 관련 부처 회의에서 제안드린 게 있다. ‘일몰제’로 가자는 거다. 이게 강제로 없애라고 해서 없앨 수 있는 게 아니다. 특히 행정부는 부처에서 알아서 업무 프로세서를 바꾸는 걸 고민해야 한다. 예컨대 증명서를 발급받아 다른 데 갖다줘야 하는 경우, 꼭 증명서를 본인 PC에서 출력해 갖다줘야 하나. 그렇지 않고 PC에선 예컨대 QR코드만 보여주고 시스템에서 시스템으로 전달하는 프로세서로 가면 문서보안도 필요 없다. 프로세서 개선으로 얼마든지 가능하지 않냐. 그런 아이디어를 위해선 일몰제로 가자. 2년 유예기간을 주고 2년 뒤 액티브X 없애지 못하면 그 시스템은 일몰시킨다. 그 시스템이 꼭 필요하다면 다른 방법으로든 만들 거 아닌가. 안 그러면 기술이 없어 못한다 하고, 예산이 없어 못한다 하는 핑계의 악순환이 반복된다.

정윤기 : 시스템이란 게 한 번 만들면 5년에서 8년이 내구연한이다. 시스템을 만들었는데 어떤 건 상대적으로 제거가 쉬운 게 있고 어떤 건 개편 전에는 어렵다. 우리는 긴 호흡으로 본다. 공공분야에서 액티브X를 많이 쓰는 게 공인인증서, PKI다. PKI가 정부거래 민원할 때 도장 찍을 일 있을 때 쓰라고 만든 건데, 본인확인용으로 남발한다. 이건 우리가 전수조사 중이다. 서명 목적이 아닌 본인확인용 액티브X와 공인인증서는 전부 걷어내려고 한다.

이동산 : 금융쪽에선 액티브X 안 쓰는 본인 동의 중에 ARS 구두동의를 많이 쓴다. 보험회사에서 많이 쓴다. 이런 것도 충분히 대안기술로 생각해볼 수 있다. 공공 부문도 꼭 서명이 아닌, 신뢰할 수 있는 제3기관을 활용하거나 금융쪽 활용 사례를 참고하는 게 도움이 될 거다.

정윤기 : 서명이 아닌 액티브X는 걷아낸다는 게 기본 방침이다. 서명용으로 남은 공인인증서는 별도로 과기정통부에서 검토 중이다. 머지않은 시기에 결론을 내릴 거다. 공인인증서를 걷어내는 것만으로도 액티브X는 많이 줄어들 거다. 시스템 운영자가 호소하는 애로가 해킹 방지와 프린트 제어다. 프린트해서 출력물 가져가는 걸 전제로 하다보니 자꾸 플러그인을 깔게 된다. 액티브X 제거 가능한 건 한편에서 제거해나가고, 대체기술 없다는 건 프로세스 개선 통해 바꿀 수 없을까. 새로운 방식을 만들어 해법을 찾아야 한다. 몇 가지 가능한 모델을 만들기까지 시간이 좀 걸린다.

이동산 : 보호해야 할 대상이 PC에 있으면 개인 방화벽 같은 게 필요한데, 프라이빗 키 자체가 없다면 굳이 필요없다는 해석도 가능하다. 최근 보안로그 이것도 이상하다. 금융권은 아이피인사이드 이런 걸로 보안로그를 수집한다. 결국 이용자 행동 패턴에 기반해 의심거래를 탐지하기 위해 보안로그를 수집하는데, 그걸 위해 또 바이너리 플러그인이 등장한다. 액티브X나 바이너리 플러그인 없이 의심거래를 탐지해 안전한 금융거래를 보장하겠다는 게 목적이었는데, 그걸 위해 바이너리 플러그인을 깔아 하드웨어키 끄집어내 사기탐지 하니 웃기는 일이다.

전종홍 : 중국 타오바오 같은 사이트 보면 PC에서 로그인하려면 모바일 앱으로 PC를 인증받아야 한다. 웹사이트 QR코드를 모바일로 찍으면 바로 PC 접속이 가능하다. 기기 2대를 사용해 인증하는 모델을 쓰는 것도 된다. 아마존이나 외국 기업들이 하듯 서버에서 계속 모니터링하면서 이 사람의 이상거래를 탐지하는 방식도 사용돼야 한다.

이동산 : 좋은 솔루션이나 아이디어, 서비스가 많다. 이런 걸 민간 사업자가 자율적으로 시험해볼 수 있는 환경이 갖춰져야 하는데 그게 부족하다. 완전하게 무결성이 보장된 솔루션만 시험해볼 수 있다.

정윤기 : 좋은 말씀이다. 공공기관이 개인 PC 통신 해킹에 신경쓰는 이유가 개인정보를 받기 때문이다. 국민 누구나 열람할 수 있는 자료도 굳이 로그인해야 볼수 있는 게 많다. 회원가입과 로그인 절차를 줄여도 인증 절차를 줄일 수 있다. 그것도 우리 대책 중 하나로 잡고 있다.

이동산 : 금융쪽에선 온라인에서 전자서명 등 바이라인 플러그인 많이 사용되는데 각 이용 업체 상황에 맞춰, 예컨대 사전 확인했으면 온라인에선 추가인증 없이, 혹은 사후확인이 가능하다면 온라인에서 복잡한 인증이나 본인 동의 필요없이 처리할 수도 있다. 획일화된 방법으로 하지 않고 민간이 자율적으로 판단해 보안 범위를 결정할 수 있는 자율성이 확대돼야 한다.

전종홍 : 요즘 비트코인 같은 암호화폐 거래소 사이트들은 액티브X 없이 해킹을 방지하는 최첨단 기술을 여러가지 시험해보고 있다. 그런 걸 공공분야에 적용해보는 것도 좋겠다.

이동산 : 결제도 국내결제, 해외결제가 있다. 국내는 전자금융거래법이 적용되지만 해외는 안 된다. 국내는 바이너리 플러그인 사용하지만 해외는 안 한다. 해외결제 사업자가 생존을 위해서라도 어떻게든 안전한 거래 서비스를 만들어야 한다. 그러면서 이용자도 불편하지 않게 해야 한다. 외부에서 보호해준다는 생각이 굳어지면 자발적 노력에 소홀해진다. 보호체계가 없어지면 전투력이 강해진다.

전종홍 : 액티브X와 관련해 정부가 가져야 할 큰 원칙이 있다. 정부가 특정 기술을 가이드하면 안 된다. 그게 지금과 같은 액티브X 사례를 막을 수 있는 유일한 방법 아닐까.

정윤기 : 헌법상 공무원은 모든 국민을 위해 봉사해야 한다. 국민 가운데는 컴퓨터 초보부터 최첨단 이용자까지 다 있다. 정책 설계가 너무 힘들다. 그러다보니 일선 시스템 담당자들은 ‘액티브X를 없앨 수는 있다. 그런데 없앤 뒤 예측 못할 사고에 대해선 나를 면책해달라’고 한다. 공공데이터법 조항을 보면 데이터가 고의 또는 중과실로 변조될 경우가 아니면 담당 공무원 면책 조항이 있다. 그래야 공무원이 안심하고 데이터를 개방할 수 있다. 액티브X도 고의나 중과실로 인한 사고가 아니면 시스템 운영자들의 면책조항이 법률로 반영돼야 하지 않을까.

전종홍 : 제가 제안한 일몰제도 사실 비슷한 철학을 담고 있다. 아무도 새로운 아이디어를 안 내놓으면 자연스레 없어질 거고, 담당 공무원도 책임지지 않아도 된다. 정말 필요한 건 바꾸고, 안 그런 건 없어질 거다.

이희욱 : 액티브X 폐지와 관련해 정부의 향후 일정과 계획은?

정윤기. 이번 정부는 액티브X 제거 의지가 아주 강하다. 행안부의 의지도 매우 강하다. 현재 대체기술이 구현 가능한 건 실무자 협의는 끝냈다. 향후 3년에 걸쳐 예산을 나눠준다. 시스템 개편 비용으로 1700억원 이상이 소요된다. 1년 만에 다 할 수도 없고 1년에 한꺼번에 처리해줄 수 있는 업체도 없다. 3개년에 나눠 2020년까지 다 걷어낸다는 정책이 나왔다. 대체기술이 없어서 걷어내기 어려운 것들은 현재 조사 중이다. 그건 제도와 절차를 바꿔서 해결하는 방법을 모색 중이다. 내년부터 본격적으로 돌아가지 않을까 생각한다.

전종홍 : 액티브X 대체를 못하는 가장 흔한 핑계가 대체 기술이 없다는 것이다. 하지만 대체기술이 없는 게 아니라 그 기술을 꼭 써야 한다고 하기 때문에 문제가 되는 것이다.

정윤기 : 소프트웨어에선 기술이 새로운 업무 프로세스다. 프로세스를 바꾸면 된다고 저는 본다.

이동산 : 공감한다. 사전, 사후 인증을 하면 온라인에서 굳이 인증을 안 해도 된다. 프로세스 바꿔서 해결할 수 있는 건 금융이나 공공쪽 몇 가지 있다.

전종홍 : HTML5 융합기술 포럼 같은데서도 이런 사업을 KISA와 함께 하면 어떨까 제안한 게 ‘악성 액티브X 신고 사이트’ 같은 거다. 그런 걸 신고받아 대외적으로 공표도 하면 좀 바뀌지 않을까 싶다.

이동산 : exe 얘기도 좀 짚고 넘어가야 한다. 시각이 다양하다. 임시로 쓰는 중간기술이라고도 하고, 기존 액티브X 공급업체의 명줄을 이어주는 연결고리가 되고 있다고도 한다. PC에선 exe 파일도 액티브X에 들어간다는 명확한 인식이 있어야 한다. 통계를 잡을 때 ‘exe 제공하니 액티브X 제거했다’고 얘기하신다. 이건 눈 가리고 아웅하는 것이다. 명확히 구분해야 한다. exe를 도입했으면 그것도 어떻게 제거할지 대책 마련해야 한다

정윤기 : 우리는 exe도 없어져야 할 대상으로 구분해 뒀다. 박근혜 정부 때 액티브X 없애라니 하긴 해야겠고 당장 대체제는 없으니 exe 파일을 넣었다. 없어져야 한다고 본다. 다만 exe가 한 가지는 가져왔다. IE 종속성은 많이 탈피했다. 다만, 국민 불편함은 해소 못하고 있다.

전종홍 : 앞으로는 PC가 더 줄어들 것이다. 모바일 사용률이 70%에 육박한다. 전자정부도 앞으로 그렇게 될 가능성이 높다.

정윤기 : 우리는 전 국민을 대상으로 한다. 부동산 가보면 20년 전에 개업해 286 PC를 지금도 쓰는 곳이 꽤 된다. 공무원은 95%가 모바일로 가고 5%가 옛날 PC를 쓴다 해도 5%를 희생할 수 없다. 그래서 공공분야 정책 설계가 어렵다.

이희욱 : 요즘 블록체인 기반 시스템을 대안으로 주목하는 시각도 있다. 어떻게 보나.

이동산 : 인증과 블록체인은 좀 다르다. 인증은 다른 데서 하고 그 결과를 블록체인에 태워서 증명하는 거다. 재미있다. PKI에서 인증서나 인증서폐기목록(Certificate Revocation List, CRL)을 블록체인에 태우는 것도 시도할 만하다.

정윤기 : 우리가 시스템에 도입했다. ‘디지털원패스'(통합인증서비스) 사이트에 들어가 로그인해서 우리가 어느어느 서비스에 적용하겠다고 선택하면, 그 사이트에 대해선 추가 로그인 없이 바로 들어갈 수 있게 했다. 블록체인에 대해선 우리도 많이 검토했는데, 기본적으로 블록체인이 분산기재다. 정부끼리는 큰 문제 없는데 정부와 민간의 블록체인은 공공 정보가 민간에 분산되므로 보안에 문제가 있다.

전종홍 : 액티브X를 넘어서 글로벌 표준 환경으로 우리가 사용하느냐 관점으로 접근하는 게 맞다. 그동안은 표준이 아니어도 써도 된다는 마인드였는데, 이젠 표준 기반으로 하고, 표준이 아닌 걸 쓴다면 글로벌 표준으로 만드는 노력을 하면서 신중히 접근해야 하지 않을까 생각한다.

이동산 : 저는 금융분야 종사자인데, 액티브X 대체 기술을 사용함에 있어 자본금 크기에 따라 사용할 수 있고 없고를 제한해선 안 된다고 생각한다. 현실은 자본금 규모가 일정 수준이 넘는 업체에만 액티브X 대체 기술을 써볼 기회를 준다. 부인방지 기술은 그 사고에 대해 보상할 능력이 돼야 쓸 수 있다. 기술 외적인 문제로 대체솔루션 시행 기회를 박탈해선 안 된다.

정윤기 : 정부는 민간과는 시각이 조금 다를 수 있다. 저희는 액티브X를 국민의 보편적 접근성 문제로 본다. IE 안 쓰는 국민도 보편적 공공 서비스에 접근해야 한다. 액티브X는 당연히 없어져야 할 기술이다. 그간 전자정부가 온라인상의 디바이스 즉, PC나 스마트폰으로 제공되다보니 디지털 격차 문제가 생긴다. 소외층, 저소득층, 고령층이 전자정부 서비스에서 소외돼 있다. 전자정부의 미래영역은 내가 원하는 서비스의 특화된 모델이 될 것으로 본다. 내가 농촌에 사는 고령 노인인데 심장이 안좋다, 그럼 밴드를 차고 있다가 갑자기 맥박이 불안정하면 GPS 기반으로 가장 가까운 119에 경고를 준다. 온라인을 벗어난 서비스가 전자정부의 미래라고 본다. 그때는 PC나 스마트폰이 아니라 임베디드 기반의 전자정부가 될 거다. 그때면 액티브X는 일부가 남거나 없어질 것이다. 적어도 지금처럼 국민의 불편을 주는 건 아니다. 지금은 악성종양이지만 미래엔 관리할 수 있는 종양쯤 되지 않을까 생각한다.

전종홍 : 정부가 모든 것을 다 하려 하기에 이런 저런 문제가 생기고 빅브라더 이슈도 나온다고 생각한다. 정부는 데이터를 많이 갖고 있을 수밖에 없으니 정제해 갖고 있고, 다른 서비스 기업들이 쓸 수 있는 경로를 제공해 국민 편의를 높일 기회를 많이 주면 정부가 직접 하는 것보다 많은 기회를 줄 수 있지 않나.

정윤기 : 과기정통부에서 데이터거래소 관련 아이디어를 갖고 있다. 행안부도 아이디어에 공감하는 사람이 많다. 데이터거래소가 나온다면 공공데이터는 당연히 다 나올 거다. 민간도 자유롭게 데이터 주고받는 날이 오지 않을까 한다.

이동산 : 저는 액티브X 문제에 대해 이런 비유를 드리고 싶다. 영화 ‘설국열차’를 보자. 기차는 쉬지 않고 달리는데 대체 부품이 없으니 어린이가 들어가 부품 역할을 한다. 나중엔 열차를 안 타도 되는 솔루션이나 대안을 찾는다. 우리는 액티브X 문제 해소를 위해 설국열차 안에 타서 해법을 찾으려 헤매는 게 아닌가 하는 느낌이 든다.

정윤기 : 액티브X 폐지는 문재인 정부에서도 큰 과제다. 가시적인 성과도 차츰 나올 것이다. 행안부의 의지도 확고하다. 국민들도 믿어주셨으면 하는 바람이다.