뉴스

사진=한경DB

---

"인터넷 익스플로러 사용의 위험성 (The perils of using Internet Explore)"

2019년 2월 6일, 크리스 잭슨 마이크로소프트(이하 MS) 수석 프로그램 매니저가 '인터넷익스플로러'(이하 IE)를 그만 사용하라고 경고하며 쓴 글의 제목입니다.

---

IE는 MS가 만든 브라우저입니다. 1995년 윈도 PC와 함께 세상에 태어났으니 나이로 24살이나 됐네요. 그런데 MS가 나서서 IE를 기본 브라우저를 쓰면 심각한 위험을 초래할 수 있다고, 이제 그만 사용하라고 애걸복걸 중입니다. 아이러니한 풍경입니다.

인터넷에서 정보를 검색할 때 브라우저를 이용합니다. 인터넷 주소는 집 주소에 비유할 수 있습니다. 브라우저에 '네이버', '다음', '유튜브' 등 서비스의 인터넷 주소를 입력하면 화면에 내용을 보여줍니다.

브라우저는 집 주소를 찾아가는 '탈 것'처럼 보이지만 사실은 일종의 '번역기'입니다. 집 주소를 찾아가면 집의 실물이 눈에 보이지만, 인터넷 주소를 찾아가면 이해하기 어려운 글자들을 보여줍니다. 브라우저가 이러한 어려운 글자를 보기 쉬운 홈페이지 형태로 바꿔주는 것이죠.

자료사진=연합뉴스
IE가 20년이 넘은 구식 브라우저라서 그동안 사용을 중지하라는 권고는 많았습니다.

그럼에도 이번 크리스 잭슨의 경고가 특별한 까닭은 그가 MS의 보안 전문가이기 때문입니다. 보안 담당마마저 자사 제품 사용을 만류할 정도라면 상황이 심각하다는 뜻입니다.

MS와 같은 거대 기업이 자사 제품을 부정하는 #셀프디스, 결코 흔하지 않습니다.

크리스 잭슨이 IE 사용을 만류한 직접적인 이유는 '사용자가 현대적인 신기술을 충분히 누리지 못하기 때문’입니다.

그는 IE를 개발할 때 기본 정책이 '기술부채 우선(technical debt by default)' 기조였다고 고백합니다. 기술부채란 '쉽고 빠른 기술(혹은 방법)을 채택함으로써 감수하는 향후의 손해'입니다. 예컨대 물건을 팔 때 장부를 제대로 기입하지 않으면 빨리 팔 수는 있지만 나중에 돈 계산을 하기 어렵습니다. 당장의 편리함을 위해 나중에 발생하는 불편함을 감수하는 셈이죠.

MS는 주기적으로 새로운 버전의 IE를 출시했지만 기업들에게만큼은 구식 IE를 쓰도록 장려했습니다. 원래 IE를 쓰던 기업이 IE를 구식에서 신식으로 바꾸면서 발생할 수 있는 '위험 요소'를 피하기 위해서였죠. 기업들은 새로운 IE에 맞춰 자사의 프로그램을 업그레이드하지 않아도 되기 때문에 굳이 새로운 IE로 바꾸지 않았습니다. '기술부채'가 쌓이기 시작한 것입니다.

그러나 더 큰 문제는 따로 있습니다. 바로 보안입니다. 2018년 한해만 IE의 매우 심각한 보안 취약점인 '제로데이' 문제가 두 번 터졌습니다. '제로데이'는 취약점이 공표된 날을 뜻합니다.

즉 그전까지는 해당 취약점을 이용한 해킹에 아무런 대책이 없었다는 의미입니다. 해당 취약점을 악용해 은밀하게 해킹이 이루어졌을 가능성도 있습니다. MS는 평소 한 달에 한 번 IE의 보안 업데이트를 정기적으로 진행했지만 제로데이 취약점이 발견된 달에는 비정기적인 업데이트를 진행했을 정도죠.

---

2019년 1월 기준으로 한국의 IE 점유율은 10.2%입니다. 2018년 12월 제로데이 취약점이 발견된 '덕분에' 2018년 11월과 비교하면 5.75%p 떨어졌습니다. 56.0%를 차지한 크롬, 17.36%를 차지한 사파리, 12.2%를 차지한 삼성인터넷에 이어 4위에 해당하는 점유율입니다.

한국만 따지면 그리 높지 않아 보이지만 다른 나라와 비교하면 월등히 높습니다. 전 세계에서 8번째, OECD 국가 중에서는 노르웨이에 이어 두 번째로 높은 IE 점유율입니다.

한국의 IE 브라우저 점유율이 높은 이유는 많은 공공기관에서 '액티브X'를 요구하기 때문입니다.

---

'대한민국 정부 대표 포털'임을 자임하는 '정부 24'에 접속하면 액티브X와 EXE 파일 6가지를 설치하라는 안내가 뜬다. 사진= 뉴스래빗
[단독] '디지털 文정부', 액티브X 없인 여전히 불가능

뉴스래빗은 지난 #팩트체크에서 문재인 정부 공공기관 100대 사이트의 액티브X-EXE 실태 전수 조사한 바 있습니다. 액티브X 없인 여전히 '대민 업무' 자체가 불가능하다는 점을 다시 꼬집은 바 있습니다.

---

액티브X는 IE에서만 작동하는 기술입니다. 액티브X 기술을 사용하면 키보드 보안 프로그램, 움직이는 애니메이션 등 다양한 기능을 인터넷에서 쉽게 구현할 수 있습니다. 기능이 강력한 만큼 사용자의 컴퓨터에 해코지하는 방법도 다양하기 때문에 보안이 취약한 치명적인 단점이 있습니다.

한국에서는 1990년대 후반부터 IT버블이 유행하면서 액티브X를 활용한 인터넷 서비스가 많이 생겨났습니다. 공공기관 또한 민원을 처리하거나 공인인증서를 활용한 서비스를 제공할 때 액티브X 기술을 남용했습니다. 그 결과 '기술부채'가 점점 쌓여 이제는 천덕꾸러기 취급받는 액티브X와 IE를 버리지 못하고 여전히 사용하는 것이죠. 물론 최근 공공기관에서 액티브X 제거 작업을 꾸준히 하고 있지만 많이 부족해 보입니다.

대표적인 기술이 최근 홈택스에서 도입한 '브라우저 인증서'입니다. 개인을 식별하는 공인인증서를 브라우저에 저장하여 편의성을 제고하겠다는 의지가 엿보입니다. 하지만 브라우저 인증서를 사용하기 위해 공인인증서를 처음 등록하는 절차가 간단하지 않습니다. 기관별로 다른 공인인증서 파일의 위치를 우선 알아야 하고, 이를 찾기 위해 '숨김파일 해제'를 찾아서 설정해야 합니다. 컴퓨터 조작에 웬만큼 능숙하지 않으면 수행하기 어려운 작업들입니다.

문제는 이러한 액티브X 기술을 사용하는 공공기관 웹사이트가 적지 않다는 사실입니다. 2018년 11월 30일 뉴스래빗이 조사한 바에 따르면 주요 공공기관 웹사이트 98개 중 30개의 웹사이트가 여전히 액티브X를 사용하고 있었습니다. 정부24, 국민신문고, 국세청 홈택스, 기업지원플러스 등 일상생활에 필수적인 서비스들이었죠.

이대로라면 'OECD 국가 중 IE 점유율 2위’라는 불명예를 벗어나기 어려워 보입니다.

IE와 불편한 동거를 지속하는 동안 한국 인터넷 생태계의 '기술부채'는 눈덩이처럼 쌓이고 있습니다. 그 빚은 사용자가 개인정보 유출과 해킹 피해로 되갚아야 할 지 모릅니다.

액티브X에서 빠르게 벗어나기 위해 도입한 'EXE 실행파일' 방식, 불법사이트를 차단하기 위해 도입한 'https 차단 방식' 등 편의주의적인 기술을 남용하면 나중에 어떤 부메랑이 되어 돌아와 빚을 갚으로 요구할 지 알 수 없습니다.

침몰하는, MS마저 버린 IE. 도대체 한국 언제까지 살아남을지 지켜봐야할 것 같습니다 !.!

# DJ 래빗 ? 뉴스래빗 대표 '데이터 저널리즘(Data Journalism)' 뉴스 콘텐츠입니다. 어렵고 난해한 데이터 저널리즘을 줄임말 'DJ'로 씁니다. 서로 다른 음악을 디제잉(DJing)하듯 도처에 숨은 데이터를 분석하고, 발견한 의미들을 신나게 엮어보려고 합니다. 더 많은 DJ 래빗을 만나보세요 !.!

책임= 김민성, 연구= 박진우 한경닷컴 기자 danbi@hankyung.com
뉴스래빗 페이스북 facebook.com/newslabit
기사제보 및 보도자료 newslab@hankyung.com