금융권 '액티브X' 걷어내기 곧 마무리...KB증권만 남아

KB증권(대표 윤경은·전병조)이 전자상거래의 걸림돌로 지적돼 온 액티브X(ActiveX)를 여전히 폐지하지 않은 것으로 나타났다. 10대 증권사뿐만 아니라, 은행, 카드. 증권, 생명보험과 손해보험 36개 금융사 중 유일하다.

지난 10일 기준, 36개 국내 금융회사 48개 사이트를 대상으로 액티브X 철폐 여부를 조사한 결과 KB증권이 유일하게 액티브X를 사용하고 있는 것으로 조사됐다.

KB증권 관계자는 "올해 1월에 현대증권과 합병한 이후 올해 5월 중순에 전산통합이 이뤄지다 보니 액티브X 폐지가 늦어진 점이 있다"며 "현재 홈페이지 액티브X 유지상태이지만 9월부터 Non-AcitveX프로젝트를 추진할 계획이며 내년 초 서비스 예정"이라고 밝혔다.

다른 금융사들의 경우 지난해까지만 해도 60%가까이 액티브X를 유지했으나 해를 넘기면서 이를 전부 걷어냈다.

지난 2016년 37개 국내 금융회사 50개 사이트를 대상으로 액티브X 철폐 여부를 조사한 결과 전체의 42%인 21개 사이트만 'Non-ActiveX'가 적용됐다.

당시 조사 때만해도  대우증권, 미래에셋증권, 삼성증권, 한국투자증권, NH투자증권, 현대증권, 대신증권, 하나금융투자, 메리츠종금증권 등 조사대상 10개사 중 액티브X를 걷어낸 곳은 신한금융투자 1곳에 불과했다. 

또 조사대상 13개 보험사 중 KB손해보험과 메리츠화재, 롯데손보, 한화생명 등 4곳만 액티브X를 걷어낸 상태였다. 카드사의 경우 KB국민카드와 하나카드 두 곳이 엑티브X를 사용하고 있었다.

액티브X는 공인인증서를 사용할 때 꼭 설치해야 하는 부가프로그램으로 보안에 취약한 데다 컴퓨터 시스템에 부담을 준다는 지적을 받아왔다. 또 MS 웹브라우저인 인터넷 익스플로러에서만 사용할 수 있고, 자동설치 방식 등 취약점으로 인해 악성코드의 전파 경로로 악용돼왔다.

금융권이 액티브X를 거의 걷어냈지만 이를 대체해 사용중인 EXE 등 실행 프로그램에 대한 우려가 제기되고 있다.

EXE는 윈도 응용 프로그램으로, 크롬과 파이어폭스 등 다른 웹브라우저에서도 사용할 수 있다. 하지만 역시 별도의 설치가 필요하다는 점에서 한계가 있다는 지적이다.

액티브X와 마찬가지로 해커들의 침투 경로가 될 위험이 있는데다 문재인 대통령의 공약인 '노플러그인(No-plugin)' 정책과도 거리가 있기 때문이다.

보안업체 하우리 최상명 실장은 "해커들이 실행코드로 둔갑한 악성코드를 유포할 가능성이 있다"며 "실행파일의 보안을 담보할 방법을 모색해야 한다"고 말했다.

노플러그인 실현을 위한 방안으로는 별도 프로그램 설치가 필요 없는 웹표준(HTML5) 구축이 꼽힌다.

앞서 금융감독원도 '제2차 국민체감 20대 금융관행 개혁 과제'를 발표하면서 금융권의 웹표준화를 적극 추진하겠다고 밝힌 바 있다. 하지만 웹표준 역시 문서 위변조 방지 등 국내에 특화한 일부 보안 기능을 지원하지 않아 이 역시 한계가 있다는 지적이다.  

[소비자가만드는신문=김정래 기자]