[보안 이슈] 최근 보안 이슈, 액티브X(Active-X)에 대하여

 

 

꽃들이 활짝 피어나는 4월이 시작되었습니다.
굳게 닫혔던 창문을 활짝 열면서, 마음의 창문도 활짝 열고 봄기운을 가득 담아보시는 건 어떨까요?
겨우내 움츠렸던 일상의 단조로움을 깨고 새로운 희망의 기지개를 켜는 희망의 달이 되었으면 좋겠습니다.
여러분 모두 환절기 건강 조심하시고 사랑과 행복이 마구마구 쏟아지는 행복한 달 되시기 바랍니다.
 
이번 포스팅에서는 보안 이슈의 중심에 있는 액티브X(Active-X)에 대해 알아보고 대체 기술은

어떤 것들이 있는지 알아보겠습니다.

Active-X란?

 

먼저 Active-X는 무엇일까요?

 

■ Active-X 란?    윈도우 사용자들이 인터넷을 쉽고 편리하게 이용하도록 마이크로소프트사에서 개발한  것으로, 기존의 응용 프로그램으로 작성된 문서 등을 웹과 연결시켜 그대로 사용할 수 있게  하는 기술. 인터넷 익스플로러를 위해 고안되었으며, 실생활 페이지에 접속하면 자동으로  내려 받기 되어 설치된다. 선 마이크로시스템스사의 자바(Java)에 대항하는 기술이다.

<출처 : 한국정보통신기술협회>
 
윈도우 사용자들에게 인터넷을 쉽고 편리하게 이용하도록 만들어진 Active-X 가 현재는 많은

숙제를 가지고 있습니다.
이런 Active-X가 어떻게 변화 되어 왔는지 알아보겠습니다.

Active-X 역사

 

OLE 2.0이 복잡하고 MFC에서 COM을 거의 지원하지 않는 문제가 일자 마이크로소프트는  이들을 더 단순하게 만들기 위한 규격을 세워서 1996년에 액티브X라는 이름으로 기술을 다시   상품화하였다. 이렇게 단순화한 뒤에도 사용자들은 컨트롤에 여섯 가지 핵심 인터페이스를 추가  할 것을 요구 받았다. 이에 대응하여 마이크로소프트는 마법사, ATL 기반 클래스, 매크로, C++   언어 확장을 만들면서 컨트롤을 더 간단히 기록할 수 있게 만들어 놓았다.    인터넷 익스플로러 3.0 (1996년)을 기점으로 마이크로소프트는 HTML 콘텐츠 안에 액티브X  컨트롤을 관리할 수 있는 지원을 추가하였다. 브라우저가 OBJECT 태그를 통하여 액티브X  컨트롤을 지정한 페이지를 발견하면 사용자의 간섭 없이 컨트롤을 자동으로 내려받아 설치하였  다. 이로써 웹을 더 풍성히 만드는 데 기여하긴 하였으나 윈도우에서만 실행한다는 호환성  문제와 더불어 보안 문제까지 나타나게 되었다.

<출처 : 위키백과 (자료)>
 
향 후 출시되는 windows 10 에서는 IE를 대체하는 스파르탄(코드네임) 이라는 새로운

웹 브라우저가 출시 된다고 합니다.
이 스파르타 웹 브라우저는 기존의 IE와 달라지는 부분이 많을 것으로 예상되고 있습니다.
과연 기존의 IE의 문제점들을 해결할 수 있을까요?
 
Active-X와 관련된 기술은 어떤 것이 있는지 알아보겠습니다.

 

Active-X 관련 기술 및 장/단점

 

Active-X 관련 기술은 아래와 같습니다.

 

 <출처 : KOREA HTML 5>
 
적을 알고 나를 알면 백전 백승이라는 말이 있죠.
Active-X의 장점과 단점을 정확히 알고 있다면 어떤 부분에서 잘 사용되고,

부 적절하게 사용되는지 알 수 있다고 생각됩니다.
 

■ Active-X의 장점     - 거의 무한대로 기능을 확장할 수 있는 것이 가장 큰 장점   액티브엑스의 가장 큰 장점이라면 서비스 제공자의 편의성이 매우 높다는 점이다.   액티브엑스가 설치되면 사용자의 PC에서 이를 실행하는 것 만으로 손쉽게 웹사이트와 기능이   연동되므로, 웹사이트 쪽에서 사용자 PC의 기능을 제어하는 과정도 매우 간편하다.   또한, 여러 가지 액티브X를 설치함에 따라 웹브라우저 및 웹사이트의 기능을 거의 제한 없이   확장할 수 있는 것도 장점이다. 실제로 멀티미디어 콘텐츠 구동용, 은행이나 주식 등 금융   거래용, 그리고 사용자의 신원을 증명하고 공문서를 출력하는 등의 기능을 가진 관공서용 등,    셀 수 없을 정도로 많은 액티브X가 개발되어 쓰이고 있다.

<출처 : 네이버 캐스트>

 

■ Active-X의 단점    - 호환성, 보안성 측면에서 적지 않은 부작용  액티브엑스는 단점 또한 적지 않다. 가장 큰 단점은 마이크로소프트의 인터넷익스플로러에서  만 쓸 수 있다는 점이다. 인터넷익스플로러가 PC용 웹브라우저 시장에서 가장 높은 점유율을   차지하고 있는 것은 사실이지만, 2000년대부터 모질라의 파이어폭스(Firefox), 구글의 크롬  (chrome)과 같은 타사의 웹브라우저가 점유율을 크게 끌어올렸으며, 2011년에 들어서는  전세계 PC용 웹브라우저 시장에서 인터넷익스플로러의 점유율이 60% 이하로 떨어졌다.  더욱이, 윈도우 기반의 PC가 아닌 스마트폰이나 태블릿컴퓨터에서는 액티브엑스를 전혀  사용할 수 없으므로 접근성 면에서 명백한 한계가 존재한다.    또한, 사용자의 PC에 직접 설치된다는 액티브엑스의 특징을 악용해 악성코드를 심거나  개인정보를 유출하는 경우도 종종 발생하고 있으며, 액티브엑스를 설치하는 과정에서 사용자가  원하지 않는 기능까지 함께 설치하는 경우도 많다. 이 경우 인터넷 서핑 중에 갑자기 광고  창이 출력되거나 원하지 않는 웹사이트로 이동하는 등의 현상이 일어나곤 한다.  그리고 과도하게 많은 액티브엑스를 설치한 PC는 전반적인 처리 속도가 크게 저하되는 것도  문제다.

<출처 : 네이버 캐스트 (자료), KOREA HTML5 (이미지)>
 
이러한 기술, 장/단점을 가진 Active-X.
국내에서는 어떻게 사용되고 있을까요?

Active-X 사용 현황

 

국내 민간 기업과 행정기관에서도 Active-X 를 사용하고 있는데요.
행정기관 보다는 민간 기업에서 근소한 차이로 많이 사용되고 있는걸 확인 할 수 있습니다.

 

 

<출처 : KOREA HTML 5>
 
국내 민간 기업과 행정기관에서도 Active-X 를 사용하고 있는데요.
행정기관 보다는 민간 기업에서 근소한 차이로 많이 사용되고 있는걸 확인 할 수 있습니다.

 

<출처 : KISA 보도자료 (방통위, 민•관 주요 200개 웹사이트 대상 2/4분기 Active-X 현황조사 발표)>
 
위의 표에도 볼 수 있듯이 민간 기업은 결재 및 인증 행정기관은 보안 분야에서 가장 많이 Active-X를

사용되는 것으로 확인되었습니다.
 
MS에서는 Active-X의 문제를 어떻게 대응해 왔을까요?
분명 좋은 취지에서 시작됐으나, 현재는 골치덩어리도 인식되고 있습니다.

Active-X 문제점

 

 

■ Active-X에 대한 MS의 대응     - 윈도우 XP 서비스팩 2 출시 이후의 상황     액티브엑스의 부작용에 대한 지적이 이어지자 마이크로소프트는 2004년,     윈도우 XP 운영체제의 기능을 확장한 ‘윈도우 XP 서비스팩 2’를 내놓아 이를 개선하고자     했다. 이전까지는 인터넷 서핑 중에 특정 웹사이트에 접속하기만 하면 무조건 액티브엑스의     설치를 권유하는 팝업창(pop-up:특정 웹페이지 접속과 동시에 나타나는 별도의 창)이 떠서     사용자가 무심결에 ‘확인’을 눌러 이를 설치해버리는 경우가 많았다.     게다가 일단 ‘취소’를 선택해 이를 설치하지 않는다 해도 이후부터 정상적인 웹사이트 이용이     거의 불가능할 정도로 집요하게 팝업창을 계속 출력하며 액티브엑스의 설치를 강요하는     경우가 다반사였다.     하지만 윈도우 XP 서비스팩 2 이후부터 나온 윈도우 운영체제는 팝업 차단기능이 강화되어     사용자가 허용하지 않은 액티브엑스 설치 팝업창은 표시되지 않게 되었고, 출처나 보안성이     분명하지 않은 액티브엑스는 아예 설치가 차단된다.     이로 인해 무분별한 액티브엑스의 남용이 상당이 줄어들게 되었다.     다만 그렇다고 하여 액티브엑스의 근본적인 문제점(호환성 부재, 성능 저하 등)이 완전히     사라진 것은 아니었으며, 일부 웹사이트는 이용자들에게 팝업 차단 기능을 해제하거나     아예 웹브라우저의 보안 옵션 수준을 낮출 것을 요구하기도 했다.     Windows Vista부터 사용자 권한 제어가 대폭 강화되어 기존의 수많은 ActiveX가 새로운     환경에서 동작하지 않는다.

<출처 : 네이버 캐스트>

Active-X 대안

 

■ 보안 분야  - 공인인증서를 이용한 전자서명기술, 개인방화벽, 키보드보안, 통신 암호화 기능 및    보안 이메일 기능에 대한 대체 방법을 제시하고 있다.    전자서명 기술은 자바 및 자바 애플릿을 이용하여 구현하는 방법과 전용 소프트웨어로    표현하는 방법 및 한국전자통신연구소(ETRI)에서 개발한 URL 프로토콜 핸들러 기술을    이용하는 방법을 제시하며, 통신 데이터 암호화 기술은 IIS․아파치 웹 서버에서 SSL을    사용하는 안전한 데이터 암 호화 구현방법을 기술하며, 개인방화벽은 운영체제에서 제공하는    PC 방화벽 기능으로, 키보드 보안 기술은 가상키보드를 대체방법으로, 보안 이메일은 SSL    통신을 통한 POP3 서버 사용하는 방안을 제시한다.    ■ 파일 처리 기술  -  이메일․게시판 등에서 사용되는 다중 파일 업로드, 다중 다운로드 기능 및 웹 사이트에서     파일을 다운로드하는 방법에 대한 대체 기술을 제시한다.     다중 파일 업로드 기능은 HTML5 태그를 이용한 방법으로, 다중 파일 다운로드 기능은     HTML4 이상의 웹 표준문서와  자바 스크립트를 이용한 기술을 제시하고,     파일 다운로드는 HTML 표준을 이용한 다운로드 방식을 제시하고 있다.    ■ 그래픽 및 차트 표현  -  그래픽 구현기술 및 데이터를 이용한 그래프․차트 구현하는 방법은 기술은 SVG 기술과      HTML5의 canvas 요소, 자바 스크립트 및 DOM을 이용한 대체 사례를 제시한다.    ■  멀티미디어 재생  -  동영상 재생 및 mp3 등 음악 재생 기술도 HTML5 표준에서 제공하는 <video> 및 <audio>      태그를 이용하여 구현하는 방법을 제시 한다.

<출처 : Active-X 대체 기술 가이드라인 문서 (KOREA HTML5)>
 
이렇게 Active-X에 대해 다양하게 알아봤습니다.
특정 웹 사이트 이용 시 많게는 5개 이상의 Active-X 가 설치된다고 합니다.
많은 대체 기술이 개발되어 앞으로 모든 사용자들이 쉽고 간편하고 안전하게 사용할 수 있는 그날이

하루 빨리 오기를 기대합니다.