[정보보호]액티브X 시한부 선고...금융권 "당장은 위험부담 크다"

금융감독원이 전자금융 및 거래 서비스에 사용되는 액티브X에 시한부 선고를 내렸다.

금감원은 최근 은행·증권·보험사에 오는 9일까지 액티브X 등 플러그인 전면 폐지 일정을 제출하라는 내용의 공문을 보냈다. 금융권은 액티브X를 대체할 기술 검토가 끝나지 않은 상황에 당장 폐지 계획을 내라는 금감원 요구에 발등에 불이 떨어졌다.

금감원은 특정 인터넷 환경에서만 동작하고 악성코드 유포경로로 악용되는 액티브X 방식을 폐지하는 정책을 추진했다. 내년 1월부터 액티브X를 강제하는 보안프로그램 설치의무를 전자금융감독규정에서 삭제했다. 금융사 스스로 전자금융 거래 안전성 조치를 마련해야 한다.

문제는 올해가 며칠 남지 않은 상황에 금감원이 연내 카드사와 페이먼트게이트웨이(PG)에 액티브X를 쓰지 않는 방식으로 전환을 요구했다는 점이다. 이에 따라 은행과 증권, 보험사는 액티브X를 폐지하는 구체적인 일정과 대체 방법을 9일까지 금감원에 제출해야 한다.

액티브X 등 플러그인을 쓰지 말아야 하는 프로그램은 공인인증서, 백신, 키보드보안, 방화벽, 통신암호화, 통합보안설치프로그램, 이상금융거래탐지시스템(FDS)용 정보수집 일곱 가지에 달한다. 특히 상당수 은행이 FDS를 이제 막 도입하고 있는데 가동도 하기 전에 시스템을 바꿔야 하는 상황이다.

대부분 은행은 전자금융감독규정 개정을 환영하지만 당장 액티브X를 모두 걷어낼 수 없다는 입장이다. 보안성이 검증되지 않은 새로운 시스템 도입에 위험 부담이 너무 크다는 이유다. 규제를 완화하는 것은 맞지만 당장 계획안을 내는 것은 무리라는 볼멘소리가 나온다. 제출 일정을 지키기 위한 부실 계획안이 될 공산이 크다.

한 금융사 고위 관계자는 “점진적으로 액티브X를 대체할 기술을 도입할 계획이지만 기술적 검토에 상당한 시간이 걸린다”며 “당장 개선하기에 물리적으로 불가능하며 현행 시스템을 유지하면서 추이를 지켜볼 것”이라고 말했다.

보안업계도 비상이다. A사 대표는 “현재 은행권이 도입 중인 FDS는 정보를 수집할 때 플러그인이 없는 방식으로 대체가 불가능하다”며 “고도화하는 해킹과 피싱, 파밍 등 각종 위협으로부터 고객을 보호하려면 한층 강화된 단말 보안 에이전트가 필요하다”고 토로했다.

김승주 고려대 교수는 “기술적으로 봤을 때 현재 일부 프로그램만 플러그인이 없는 방식으로 전환이 가능하지만 당장 전체를 바꾸는 작업은 실현불가능에 가까운 일”이라고 설명했다.

김인순기자 insoon@etnews.com