"액티브X·플러그인 보안 프로그램 다 없애야"

이동희 포스포인트 한국지사장

한국식 보안체계는 사용자에게 책임 떠넘겨
국제 표준 시스템 갖춰야

과학기술정보통신부는 2020년까지 액티브X를 완전히 없앨 계획이다. 장병규 4차산업혁명위원회 위원장도 최근 한 인터뷰에서 액티브X를 ‘적폐’로 꼽았다. 하지만 보안 전문가들은 액티브X를 없애는 것만 능사가 아니라고 지적한다. 업체들이 그 대안으로 이용자에게 EXE파일 형태의 보안 플러그인(추가 설치 프로그램)을 깔도록 강제하고 있기 때문이다.

이동희 포스포인트 한국지사장(사진)은 4일 한국경제신문과의 인터뷰에서 “액티브X를 비롯해 플러그인 방식 보안 프로그램을 아예 없애야 한다”며 “이용자에게자신의 기기에 보안 프로그램을 설치하라고 하는 ‘한국식 보안체계’는 서비스 제공자(업체)가 져야 할 보안 책임을 이용자에게 떠넘기는 것”이라고 지적했다.

그는 “이들 보안 프로그램에 ‘관리자 권한’이 부여되면서 지나칠 정도로 기기 통제권을 가져가는 것도 문제”라며 “해당 보안 프로그램이 오염되면 시스템 자체가 망가질 위험이 있다”고 말했다.

포스포인트는 미국 방산업체 레이시온 계열 보안업체로 2016년 설립됐다. 이 지사장은 20년 이상 보안업계에 근무했고 올 1월부터 포스포인트 한국지사장으로 일하고 있다.

이용자에게 보안 책임을 넘기는 현행 시스템은 2000년대 초반 암호화통신이 막 등장했을 때 짜였다는 게 그의 설명이다. 당시에는 서버 비용 부담이 지금보다 컸고 인터넷 속도도 느리다 보니 이용자 PC에 암호화 처리를 맡기는 방식을 채택했다. 하지만 서버 용량이 늘어나고 인터넷 속도도 빨라지면서 업체가 암호화 통신 작업을 모두 책임질 수 있게 됐다.

이 지사장은 “인터넷 환경이 바뀐 만큼 이 같은 방식은 폐기해야 한다”며 “세계 최대 전자상거래 업체 아마존, 글로벌 전자결제 서비스 페이팔처럼 업체가 거래 과정의 보안 책임을 지도록 하는 국제 표준 방식의 보안 시스템을 갖춰야 한다”고 강조했다.

하지만 국내 보안업체들은 플러그인 방식 보안체계에 익숙해져 있다. 매출 상당 부분을 의존하는 업체도 있어 틀을 바꾸기 쉽지 않다. 하지만 글로벌 트렌드를 따라가면 보안업체의 기회가 줄어드는 게 아니라 오히려 늘어날 수 있다는 게 이 대표의 분석이다.

그는 “외국인을 만나 보면 한국 전자상거래 사이트에서 결제하기가 참 어렵다는 얘기를 많이 한다”며 “세계적인 트렌드를 따라가지 않으면 한국 업체가 해외 시장을 개척하기 어려울 것”이라고 지적했다.

유하늘 기자 skyu@hankyung.com