‘크롬’과 ‘액티브X’로 보는 한국 웹표준 잔혹사

‘구글 크롬 웹브라우저와 윈도우가 국내 금융 환경을 저버리고 있다’는 얘기가 심심찮게 들려옵니다. 새삼 궁금해집니다. 우리나라 결제 시스템과 웹표준은 정말 어쩔 수 없는 평행선일까요?

웹 대신 PC 자원으로 처리

지난 6월30일, 구글 크롬 웹브라우저의 NPAPI 지원 중단 건을 놓고 세미나가 열렸습니다. 이 자리에는 은행권과 미래창조과학부, 한국인터넷진흥원 등 관계자들이 참여했습니다. 이날 오간 얘기를 한줄로 요약하면 이렇습니다. “NPAPI가 막히면 당장 금융 시스템이 작동하지 않으니 당분간 구글이 크롬 브라우저에서 NPAPI를 더 쓸 수 있게 해달라”는 겁니다.

‘액티브X’는 많이 들어봤는데, 요즘 ‘갑툭튀’한 NPAPI는 또 뭘까요. NPAPI는 ‘Netscape Plugin Application Programming Interface’를 줄인 말입니다. 아, 넷스케이프 이야기까지 나왔군요. 넷스케이프는 1990년대에 인기를 누렸던 웹브라우저입니다. 우리가 흔히 ‘인터넷’ 하면 이 넷스케이프에서 야후에 접속해서 검색어를 입력하던 그때 이야기입니다.

넷스케이프는 2.0버전에서 외부 플러그인을 이용해 웹을 꾸밀 수 있도록 하는 API를 만듭니다. 이렇게 이야기하면 어려우니 좀 쉽게 바꿔봅시다. 홈페이지 화면에 뜨는 플래시, 자바, 실버라이트 같은 것들을 외부 플러그인이라고 합니다. HTML로 작동하는 게 아니라 외부 응용프로그램, 가상머신 등을 통해야 실행되는 콘텐츠를 말하지요. 그걸 구글 크롬도 그대로 끌어안았습니다.

따지고 보면 액티브X도 비슷합니다. 웹브라우저가 아니라 외부 프로그램이 내 PC의 자원을 이용해 뭔가를 처리하고, 그 화면을 내 웹브라우저 화면에 붙여서 보여주는 겁니다. 그러니까 중요 정보들이 결국 웹브라우저가 아니라 외부 응용프로그램에 의해 뜨는 겁니다.

그런데 웹브라우저가 그걸 막았습니다. 이번에 논란이 된 구글 크롬이 그런 사례죠. 그런데 정부와 기업은 나서서 이 플러그인을 더 쓰게 해달라고 요구하는 그림입니다. 액티브X때도 그랬고, NPAPI도 마찬가지입니다. 그 해법은 여전히 웹브라우저 바깥에서 찾고 있는 게 지금 우리의 현실입니다.

윈도우10, 인터넷 익스플로러 들어 있지만…

이달 말 출시를 앞둔 ‘윈도우10’에도 관심이 쏠립니다. MS는 그 동안 인터넷 익스플로러(IE)를 웹표준에 맞추려는 노력을 해왔습니다. 그게 IE7부터였는데, 이제껏 제대로 고리를 끊어내지 못하면서 웹 엔진만 무거워지는 결과를 낳았습니다. 액티브X도 그 중 하나입니다.

그런데 윈도우10부터는 IE 대신 ‘엣지’가 웹브라우저로 들어갈 것이라는 이야기가 나오면서 액티브X는 어떻게 할 것이냐는 이야기가 심심치 않게 보입니다. 엣지 브라우저는 일단 앞으로의 크롬처럼 플래시 정도를 제외하고는 외부 플러그인을 제한합니다. 액티브X도 당연히 지원 안 되지요. 은행권에 비상이 걸릴 만도 합니다.

하지만 사실은 좀 다릅니다. 윈도우10에는 IE11이 함께 들어갑니다. 현재까지 나와 있는 윈도우10의 프리뷰 버전도 2가지 웹브라우저를 모두 갖고 있습니다. IE11에선 액티브X도 지원됩니다. 새 운영체제가 나오는 것에 대한 어느 정도의 최적화가 필요하긴 하지만, 아직 액티브X가 완전히 걷어지진 않았습니다. 특히 웹표준에 약한 국내 웹사이트들은 엣지 웹브라우저로 접속하면 IE로 대신 접속하길 권유하기도 합니다. 아마 국내에서 한동안은 윈도우10에서도 IE11이 주된 웹브라우저가 될 것 같습니다.

NPAPI와 윈도우10 엣지를 둔 논란은 결국 국내 금융·결제 시스템이 웹표준보다 외부 프로그램에 중심을 두고 있다는 데서 시작합니다. 달라 보이지만 같은 이야기입니다. 액티브X에 대한 대안이 exe로 묶인 설치 파일이라는 것도 마찬가지지요.

그게 틀렸다고 도매급으로 넘길 수는 없습니다. 방법이 달랐을 뿐입니다. 우리나라는 인터넷 결제 시장으로 넘어가는 속도가 빨랐고, 그 과정에서 방법을 액티브X로 잡았습니다. 동영상 서비스도 액티브X를 깔아 그리드 컴퓨팅을 활용했습니다. 웹하드나 e메일 파일 첨부도 액티브X를 쓰면 편하게 PC 속 파일에 접근할 수 있었습니다. 우리는 뭔가 서비스를 이용하려면 응용프로그램을 깔듯 액티브X부터 깔고 시작하는 데 익숙했습니다. 그게 한국식 표준이었지요.

액티브X는 웹브라우저에서 PC의 컴퓨팅 자원과 파일에 접근할 수 있는 파격적인 기술입니다. 인터넷에서 더 많은 것들을 띄워줄 수 있습니다. 그 자체가 나쁜 건 아닙니다. 하지만 액티브X는 보안 측면에서 매우 취약합니다. 악성코드가 웹페이지를 타고 PC로 들어가기 쉽습니다. PC 원격 제어도 가능할 정도지요. 관리자 권한을 얻는 것과 다름없습니다. 이 때문에 외부 프로그램 대신 웹표준을 준수하자는 경고와 움직임이 일어났습니다. 그 동안 액티브X나 플래시를 쓰던 것도 차츰 표준 HTML과 HTML5로 대체하기로 했습니다. 오랫동안, 그리고 서서히 웹은 표준에 가까워졌습니다. 모바일이 등장하면서 그 속도는 더 빨라졌습니다.

미룰 수 없는 답, 웹표준

한국도 그 사실을 몰랐던 건 아닙니다. 대신 실행을 미뤄왔다고 해야 할까요. 보안이 주된 이유로 꼽혔지요. 외부 프로그램인 만큼 안전할 수 없다는 게 도입을 꺼린 이유였습니다. 맞는 이야기이기도 하지만 가장 강력한 보안만큼 가장 강력한 위협을 동시에 품는 걸 감수해야 했습니다.

국내 시장이 움직인 건 보안문제보다도 오히려 불편함 때문이었습니다. 일단 결제를 한번 하려면 프로그램을 몇 차례고 설치하고 업데이트해야 본래 업무를 시작할 수 있었습니다. 웹브라우저도 IE로 고정되다보니 운영체제도 윈도우만 써야 했습니다. 아무 PC에서나, 어떤 기기에서나 쇼핑하고 결제할 수 있어야 했는데 그게 안 됐던 겁니다.

최근의 운영체제, 웹브라우저의 움직임은 정반대입니다. 더 가볍게 움직여야 하고, 웹표준을 준수해야 보안 문제에서 더 안전할 수 있다고 보고 있습니다. 그걸 우리만 기존 시스템대로 고집할 수 있다면 좋겠지만 그건 쉽지 않아 보입니다. 게다가 NPAPI나 액티브X, 그리고 현재 이를 대체하는 exe 방식의 웹 모듈 모두 시간 문제일 뿐 끝은 정해져 있습니다.

더 미룰 수는 없을 겁니다. 도입을 미뤄달라고 할 시간에 해법을 찾는 게 바른 길이라는 건 다들 알고 있습니다. 다만 지금 선뜻 바꾸기에는 그간 만들어 온 환경들이 너무 단단히 굳어 있고, 바꿀 환경의 안정성에 대한 답도 확신하기 어렵습니다. 그렇다고 마냥 붙들고 있을 수는 없지요. 괜히 애먼 MS에 액티브X를 버린다고 욕하는 건 답이 아닐 겁니다. 구글이 크롬 웹브라우저로 한국 시장에 횡포를 부린다고 보는 것도 무리입니다. 설마, 이참에 한국형 OS를 만들자는 이야기를 꺼내시진 않겠지요?

- http://www.bloter.net/archives/231743