죠셉의 세상이야기

액티브x(ActiveX)가 내년(2018년) 공공 웹사이트에서는 자취를 감춘다고 합니다.

인터넷상에서 많이들 이야기하는 액티브x(ActiveX)란 무엇일까요?

나무위키에서 설명하는 액티브x의 정의입니다.

마이크로소프트에서 만든 COM(컴포넌트 오브젝트 모델)과 OLE(오브젝트 링킹 앤 임베딩) 기술 두 개를 합쳐서 이름을 새로 붙여준 것입니다. 

대부분 좁은 의미로 Internet Explorer에서 애드온으로 사용되는 ActiveX Control들을 말합니다. 

액티브X는 거대한 소프트웨어 프레임워크지만 대한민국에서는 '인터넷 익스플로러에 붙어서만 실행되는 윈도우 응용프로그램' 정도로 인식되는 것이 일반적입니다.

웹 브라우저의 역할을 넘어선 여러가지 기능을 자유롭게 수행할 수 있습니다. 

예를 들면 컴퓨터 내부에 파일을 생성한다든가 삭제 및 존재여부도 알 수 있고, 심지어는 컴퓨터 주인이 신경쓰지 않아도 실행도 가능합니다.

또한, 사용자가 관리자 권한을 허락해준다면 윈도우 폴더 내부에까지 파일을 생성할 수 있고, 레지스트리도 액티브엑스 오브젝트 맘대로 마음껏 수정할 수 있습니다. 이것은 웹 브라우저의 한계를 뛰어넘는 행동을 할 수 있습니다. 

개발자 입장에서는 굉장히 편리했습니다.

액티브X 기술이 대단히 편리한 기술임에는 틀림없었습니다. 

각종 다운로드 서비스, 게임 실행, 음악 재생 등 사용자의 인지 없이도 온갖 프로그램을 웹페이지 접속만으로 실행할 수 있었으며 한국이 일약 인터넷 강국으로 떠오르게 된 발판이기도 합니다. 

당시의 기술로는 액티브X가 없었다면 저런 것은 만들 수조차 없었거나 매우 느려서 쓸모가 없었습니다. 

90년대 당시 자바 애플릿을 채용한 곳도 있었으나 너무나 느렸기 때문에 사용자로부터 외면을 받았습니다.

하지만 이 기술은 한가지 큰 위험요소를 지니고 있었는데, 위에서도 써놓았듯 사용자의 간섭 없이도 자동으로 설치된다는 것은 곧 보안의 허점을 의미했습니다. 

사실 이미 IE5 때부터 자동으로 설치되는 것은 막혀 있었고, 설정만 한다면 아예 액티브X가 실행되지 않도록 할 수도 있었습니다. 

하지만 일단 설치된 후엔 멋대로 사용자의 컴퓨터를 주무를수 잇습니다. 

때문에 웹 페이지 접속만으로 온갖 악성 프로그램이 실행되는 것은 일상다반사였고 컴퓨터를 모르는 사람은 물론이고 아는 사람의 PC에까지 허구헌 날 바이러스와 악성코드가 창궐하기 일쑤였습니다.

이것은 단순히 액티브X만의 문제는 아니었고, 그것을 허용하게 하는 윈도우 운영체제와 IE의 허술함도 크게 기여했습니다.  이 문제는 결국 ActiveX의 자동실행, 설치 방지가 포함된 IE6에서 일부 해결되었고, 사용자의 관리자 권한을 제한하는 윈도우 비스타에 와서는 UAC 덕분에 이론상 거의 완벽하게 해결하게 되었는 줄 알았지만 현실은 컴맹들은 무조건 YES만 누르고, 심지어 UAC를 꺼버리는 만행까지도 저질렀습니다. 

결국 윈도우 10에 와서는 MS는 그냥 IE를 버리고 Edge를 만드는 방식으로 ActiveX(와 기타등등 산재한 문제들)를 해결하였습니다.

미운오리새끼 된 ‘액티브X’… 내년 공공 웹사이트서 자취 감춘다

원문보기

"

행자부·미래부 단계별 제거계획"이용 많은 민간 100대 사이트도세계 100대 웹사이트 수준 감축"

...

문재인 대통령이 발표한 ICT정책 중 하나인 공공기관 액티브엑스(이하 액티브X) 완전 폐지 공약이 실현될 전망이다. 행정자치부와 미래창조과학부가 단계별 제거 계획을 세우고 추진하고 있다.

11일 정부에 따르면 행정자치부와 미래창조과학부는 공공 웹사이트 및 사용빈도가 높은 민간 기업 웹사이트의 액티브X를 걷어내고 있다. 액티브X로 인해 인터넷 익스플로러를 제외한 크롬·파이어폭스 등의 브라우저에서 웹사이트에 접속할 수 없는 불편함 때문이다.

행자부 관계자는 "공공 웹사이트에서 액티브X 제거가 진행되고 있다"며 "민원발급·열람 등 일부 대국민서비스에는 보안강화를 위해 액티브X 표준기술이 개발될 때까지 사용이 불가피한 측면도 있어 2018년까지 공공사이트에서 액티브X를 차례로 폐지해 100% 폐지할 계획"이라고 밝혔다.

...

단, 불가피하게 HTML5가 지원되지 않는 경우 대체기술인 실행파일(.exe)로 호환성을 확보하고 표준기술이 지원되면 이를 적용한다. HTML5가 국제표준이기 때문에 국내 보안(키보드보안·백신·개인방화벽 등) 및 장치제어(프린터제어 등)에는 호환되지 않고 있다.

"

출처 : 디지털타임스

보안상으론 active x 보다 exe가 덜치명적인지, 더치명적인지는 모르겠지만 저보다 훨씬 유능한 전문가들이 하시는거니깐 잘처리하시겠죠? 대통령 취임하신지 몇일 되지도 않았는데, 공약을 지키기위해서 노력하시는거 같아 보기 좋습니다.

일단 제가 유지보수 하던 사이트는 ActiveX를 거의 걷어내는데 성공했지만, 아직까진 공공기관 사이트들중에서는 ActiveX를 설치하고 공인인증서로 로그인하는 방법을 사용하는곳이 제법 많더군요.

앞으로 웹 표준, 웹호환성 맞는 사이트들이 많아졌으면 좋겠고, 저도 그렇게 만들려고 힘을 써야겠습니다.