웹 표준에서 빼놓으면 안 될 주제가 있으니 바로 액티브X(ActiveX)다. 액티브X는 IE 자체적으로 구현할 수 없는 기능들을 외부 프로그램과 연동시켜 실행하기 위한 플러그인 방식을 일컫는다. 어도비(Adobe)사의 플래시 플레이어(Flash Plyaer) 등이 액티브X를 통해 설치되는 대표적인 플러그인 제품이며, 구글에서도 액티브X와 비슷한 플러그인 방식으로 NPAPI를 제공했다.
액티브X는 서비스 제공자에게 있어서 무척 편리한 방식이었다. 신규 서비스를 위한 설치 파일들을 손쉽게 배포할 수 있으며, 웹 사이트의 기능을 거의 무제한적으로 확장할 수 있었기 때문이다. 일부 이용자들은 웹 사이트를 이용하기 위해 액티브X는 무조건 설치해야 하는 것으로 받아들이기도 했으며, 이 때문에 광고 팝업 등 원하지 않는 기능들까지 걸러내지 않고 설치해 많은 곤욕을 겪기도 했다.
더욱 큰 문제는 액티브X가 IE가 아닌 타 브라우저나 모바일 등에서는 이용할 수 없었으며, 이용자들이 액티브X를 설치하겠냐는 질문에 조건반사적으로 ‘예’를 누른다는 습관을 노리고 악성코드가 배포되기도 했다는 점이다.
이렇듯 액티브X에 대한 부정적인 인식이 확산되자 개발사인 마이크로소프트는 액티브X에 대한 지원을 중단하겠다고 밝혔으며, 구글 역시 NPAPI를 자사 브라우저인 크롬에서 퇴출시켰다.
우리나라 정부도 웹 표준 준수 및 안전한 웹 환경 확보를 위해 대대적으로 액티브X 걷어내기에 착수했다. 우선적으로 이용자수가 많은 금융·쇼핑 등 주요 사이트들을 대상으로 액티브X를 설치하지 않고도 서비스를 이용할 수 있는 환경을 만드는 것이 목표였다.
그러나 기대했던 만큼의 성과는 아직까지 확인되지 않고 있다. 그동안 관련 업계에서는 액티브X를 활용하지 않고 브라우저만으로 공인인증서를 발급·이용할 수 있게 한다는 기술들을 개발한다고 했지만, 현재 모습은 예상과 전혀 다르게 나타났기 때문이다.
액티브X 없애기 총력…대안 기술은 ‘부재’
결론부터 말하자면 국내 인터넷 환경에서 액티브X 걷어내기에는 어느 정도 성공했다. 그러나 시대 흐름을 쫓아가기에 너무 급했던 탓일까. 정부는 액티브X 대신 EXE 실행파일 다운로드 방식을 선택했고, 이는 곧 액티브X에 비해 달라진 것이 별로 없다는 이용자들의 원성을 불러일으켰다.
이에 대해 한국인터넷진흥원 관계자는 “2014년 천송이 코트 이야기 이후 액티브X를 대체하는 방식으로 EXE 실행파일 다운로드 방식이 인정됐다. 액티브X와 비교해 방식적인 차이 뿐인 것은 맞다. 그렇지만 아직까지 웹 표준으로 대체할 수 있는 기술에는 한계가 있다”고 인정했다. 웹 표준을 준수하기 위한 방향으로 가야 하는 것은 맞지만, 10년 넘게 지속된 로직(Logic)을 하루아침에 바꾸기는 쉽지 않은 현실이라는 설명이다.
가장 많이 사용되는 키보드 보안 프로그램을 살펴보자. 인터넷뱅킹이 등장했을 때부터 현재에 이르기까지 꾸준히 사용되고 있는 대표적인 브라우저 확장 프로그램이다. 사용자가 키보드로 PC에 입력하는 내용을 가로채는 키 로깅(Key Logging) 등을 방지하기 위해 사용되지만, 과거나 지금이나 크게 달라진 것은 없다. 10년 전과 동일한 기능을 현재에도 제공한다. 달라진 점이 있다면 신규 OS 및 브라우저에 대한 대응이 늘었다는 정도다.
웹 표준을 준수하려면 해당 키보드 보안 프로그램을 제공하지 않거나 다른 것으로 대체해야 한다. 그러나 현재 웹 표준 방식에서는 이를 뾰족하게 대체할 수 있는 방안이 없다. 대안으로 가상키보드(또는 가상키패드)를 이용할 수 있지만 문자와 숫자의 배열이 무작위로 돼 있어 찾아 누르기도 쉽지 않다. 한 마디로 불편하다. 또한 시각 장애인은 쉽게 이용할 수 없어 접근성 문제도 발생한다.
그렇다고 아예 해당 기능을 아예 빼버려야 할까? 그로 인해 발생하는 부작용은 국가가 책임져야 하는 걸까? 이는 웹 표준 준수 여부를 논하기에 앞서 좀 더 근본적인 합의가 필요한 부분이기도 하다.
웹 표준 준수를 위해 나아가는 과도기적인 시점에 서 있는 만큼 선택적인 부분이 필요했지만, 뚜렷한 대안 없이 액티브X를 EXE 실행파일 다운로드 방식으로 전환한 것은 아쉬움이 남을 수밖에 없는 이유다.
