2024.03.28 (목)

  • 흐림동두천 1.0℃
  • 흐림강릉 1.3℃
  • 서울 3.2℃
  • 대전 3.3℃
  • 대구 6.8℃
  • 울산 6.6℃
  • 광주 8.3℃
  • 부산 7.7℃
  • 흐림고창 6.7℃
  • 흐림제주 10.7℃
  • 흐림강화 2.2℃
  • 흐림보은 3.2℃
  • 흐림금산 4.4℃
  • 흐림강진군 8.7℃
  • 흐림경주시 6.7℃
  • 흐림거제 8.0℃
기상청 제공

[細細事情]국세청 액티브 엑스의 그림자 'EXE'

'세세사정(細細事情)'은 매우 꼼꼼하고 자세한 일의 형편이나 곡절을 뜻합니다. 조세금융신문 취재기자들이 사회 주요 이슈를 취재해 자유로운 형식으로 써내려가는 꼭지입니다.

 

 

(조세금융신문=고승주 기자)  홈택스는 국민들이 가장 많이 사용하는 대민서비스 중 하나다. 국세청도 그만큼 편의성과 안정성에 특별히 신경을 많이 쓰고 있다. 종합소득세나 양도소득세를 신고한 사람들의 말을 들어보면, ‘이러면 세무사는 어떻게 먹고 싶을 정도로 편리하다며 칭찬일색이다.

 

그런데 보안프로그램 이야기만 나오면 순식간에 이맛살이 찌푸려진다. 홈택스를 쓰려면 온갖 보안브로그램으로 시스템을 도배해야 한다. 이 보안프로그램들은 홈택스를 쓰지 않아도 쉬지 않고 작동하며, 각종 프로세스를 감시·관리한다. 속도저하는 물론 프로그램 충돌도 일어날 수 있다.

 

# 1 ‘썩은 도끼자루’

 

이 한 뭉텅이의 보안프로그램들은 2015년 2월 차세대 홈택스 조기개통 때부터 지적돼왔고, 국회에서도 지적이 됐다. 2015년 행정안전부 주도로 공인인증서 및 액티브 엑스 퇴출이 추진됐을 때였다.

 

국세청은 나몰라라였다. 학자금 대출부분만 손 봤을 뿐이었다. 연말정산 때마다 쌓이는 보안프로그램들은 연례행사처럼 씁쓸한 웃음거리가 됐다.

 

2017년 문재인 정부가 들어서고 7월 정책적으로 액티브 엑스 제거를 추진하자 국세청은 뒤늦게 사업비를 마련해 액티브 엑스 철거에 나섰다. 그 빈자리는 윈도우 전용 실행파일인 EXE가 채웠다. 올해도 보안프로그램의 향연은 계속됐다.

 

 

# 2 ‘도긴개긴’

 

액티브 엑스나 EXE나 시스템에 부담주고, 불편하고, 충돌 날 가능성이 있다는 점은 같다. 기능이 같기 때문이다. 차이는 웹브라우저와 컴퓨터 시스템 사이에 개입하느냐, 아니면 하드디스크에 깔려 시스템 전반에 작용하느냐 정도다.

 

그렇다면 왜?

 

전체 상황을 이해하지 않고는 이 현상을 이해할 수 없다.

 

국가 공인 보안 알고리즘 SEED가 개발됐던 1999년으로 거슬러 올라가보자. 당시는 윈도우 XP와 익스플로러가 대세였던 시대였고, 리눅스나 매킨토시는 소수의 전문가들의 전유물이었다. 그리고 액티브 엑스 플러그인은 익스플로러에서 가장 쉽게 기능을 확장할 수 있는 수단이었다. 이는 공인인증서 시스템의 기반이 됐다.

 

2008년 크롬 출시 전후로 웹브라우저 환경은 급속도로 변했다. 폐쇄성과 보안상 문제 때문에 제조사조차 익스플로러 8.0 등을 시발점으로 액티브 엑스를 폐지를 추진했다.

 

그러나 정부는 '액티브 엑스'를 고수했다. 안정성 때문이었다.

 

SEED 알고리즘이 구현된 ‘액티브 엑스’가 보안상 우수하다는 의미는 아니다. 오랫동안 사용돼왔고, 주무부처들이 공인하고, 국가정보원 인증을 받은 ‘안정적이라고 볼 수 있는 수단’이었다는 의미다.

 

그런데 SEED로 구현된 보안기능을 웹표준기술(HTML5)에 끼워 맞출 수는 없었다. 웹표준기술은 범용성을 기반으로 하는 반면 액티브 엑스는 철저히 윈도우 중심의 비표준 체계였고, 다른 운영체계에는 전혀 맞지 않았다.

 

그럼에도 SEED 보안체계를 쓰지 않으면 불법이었다.

 

액티브 엑스 철거의 해법은 ‘SEED는 액티브 엑스 속에서 구현됐다 → 액티브 엑스는 윈도우에서만 구현이 가능하다 → 윈도우에서만 쓸 수 있는 EXE 파일로 SEED를 구현한다’가 됐다.

 

한 가지 나아진 점이라면 크롬 등 다른 브라우저에서도 쓸 수 있다는 것인데, 윈도우 운영체계에서만 쓸 수가 있다. 리눅스 등에서는 여전히 못 쓴다. 국세청은 22억원을 들였는데도, 홈택스 전체가 아닌 연말정산 간소화 서비스에서만 액티브 엑스를 걷어 냈다. 

 

 

# 3 ‘후안무치’

 

해법은 크롬이 나왔던 2008년에 찾았어야 했다. 액티브 엑스는 제작사조차도 시한부 지시를 내릴 정도로 뒤처지고, 폐쇄적 기술이었고, 이에 기반한 공인인증서 시스템도 마찬가지였다.

 

크롬의 국내외 점유율이 과반를 향해 고속 질주하는 동안 정부와 기업들은 액티브 엑스-공인인증서-익스플로러 삼각편대를 신주단지처럼 모셨다.

 

그들이 마땅히 짊어져야 했지만, 짊어지기 싫었던 ‘책임’ 때문이었다.

 

공인인증서 도입 후 보안에 대한 책임은 서비스 공급자에게서 서비스 사용자에게로 전가됐다. 공급자는 보안수단만 제공하면 책임에서 벗어날 수 있었다. 오픈마켓, 금융사 정보유출사태가 터졌지만, 공급자들은 별 책임을 지지 않았다.

 

주무부처도, 각 행정기관들도, 기업들도, 모두 책임면피의 혜택을 즐겼다.

 

그야말로 웃픈 일이었다. KB사태 때 대통령 신상정보조차 털렸지만, 정작 액티브 엑스 철거의 단초가 된 것은 ‘천송이 코트’였다. 그마저도 지지부진했었지만 문재인 정부에서 재가동 됐다. 

 

그렇다면 액티브 엑스, EXE, SEED에서 탈피하면 되는 것일까?

 

크롬의 NPAPI는 여러 브라우저에서 쓸 수 있었지만, 액티브 엑스보다 더 구형이었고, 보안상 문제로 폐기됐다. 범용성을 이유로 EXE로 전환해도 답이 없는 건 매한가지다.

 

공인인증서도 그렇다. 화장만 고쳐 다른 인증서 시스템이 된다면, 사용자들은 또 지긋지긋한 보안프로그램과 보안 책임의 전가라는 이중고에 또 묻히게 된다.

 

주무부처는 웹표준에 근거한 새로운 공인 보안기술을 제시해야 한다. 기능의 복제가 아니라 새로운 보안 패러다임의 도입이 필요하다. 동시에 공급자에게도 보안책임을 물려야 한다.

 

국세청 등 공공기관들도 주무부처 눈치만 보지 말고, 적극적으로 해법마련을 촉구해야 한다. 중간 관리자들 말고, 기관장이나 국실장급이 목소리를 내야 한다.

 

사용자들도 털고 일어서야 한다. 비용을 문제로 계속 윈도우 XP를 쓴다면, 책임이 전가돼도 이젠 할 말이 없다. 정부와 기업들은 하위체계 사용자를 이유로 공인인증서 체계를 연장시켜 왔다. 성능 좋은 무료 보안프로그램은 많다.

 

도대체 언제까지 대통령을 비롯한 온 국민의 신상정보가 털려도 답이 없는 나라에 머물 것인가. 

 

 

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]












배너

전문가 코너

더보기



[인터뷰] 임채수 서울지방세무사회장 권역별 회원 교육에 초점
(조세금융신문=이지한 기자) 임채수 서울지방세무사회장은 지난해 6월 총회 선임으로 회장직을 맡은 후 이제 취임 1주년을 눈앞에 두고 있다. 임 회장은 회원에게 양질의 교육 서비스를 제공하는 것이 지방회의 가장 큰 역할이라면서 서울 전역을 권역별로 구분해 인근 지역세무사회를 묶어 교육을 진행하고 있어 회원들의 호평을 받고 있다. 올해 6월에 치러질 서울지방세무사회장 선거 이전에 관련 규정 개정으로 임기를 조정해 본회인 한국세무사회는 물론 다른 모든 지방세무사회와 임기를 맞춰야 한다는 견해도 밝혔다. 물론 임원의 임기 조정을 위해서는 규정 개정이 우선되어야 하지만, 임기 조정이라는 입장을 구체적으로 밝히는 것은 처음이라 주목받고 있다. 임채수 회장을 만나 지난 임기 중의 성과와 함께 앞으로 서울지방세무사회가 나아갈 길에 대해 들어봤다. Q. 회장님께서 국세청과 세무사로서의 길을 걸어오셨고 지난 1년 동안 서울지방세무사회장으로서 활약하셨는데 지금까지 삶의 여정을 소개해 주시죠. A. 저는 1957년에 경남의 작은 시골 마을에서 8남매 중 여섯째로 태어났습니다. 어린 시절에는 대부분 그랬듯이 저도 가난한 집에서 자랐습니다. 그때의 배고픈 기억에 지금도 밥을 남기지