크롬·모질라 플러그인 차단 정책에 금융·보안업계 ‘골머리’

2014.11.27 18:01:33 / 이민형 kiku@ddaily.co.kr

관련기사
내년에도 ‘인터넷보안 3종 세트’는 사라지지 않는다
[기획/굿바이 액티브X③] 액티브X 사라지고 새로운 생태계 만들어진다
구글, 크롬서 확장프로그램 설치 제한

[디지털데일리 이민형기자] 구글, 모질라 등 웹브라우저 개발사들이 플러그인(NPAPI)의 사용을 차단하겠다고 밝히면서 금융업계와 보안업계가 골머리를 앓고있다.

인터넷뱅킹시 사용되는 개인방화벽, 백신, 가상키패드 등 보안솔루션들을 설치하고 구동하기 위해서는 플러그인의 사용이 필수적이기 때문이다. 플러그인이 차단되면 현행 오픈뱅킹 시스템의 변화도 불가피하다.

현재 금융회사들은 인터넷익스플로러(IE)를 제외한 웹브라우저에서 보안솔루션을 설치·구동을 위해 플러그인을 사용하고 있다. 개인방화벽, 백신과 같은 보안솔루션은 순수 웹으로 구현될 수 없기 때문에 반드시 실행파일의 형태로 로컬(사용자PC)에 설치돼야 한다.

금융회사와 보안업계에서는 전자금융서비스 사용자 불편을 최소화하기 위해 통합설치 솔루션을 제공하고 있으나 이 솔루션 역시 플러그인을 기반으로 동작한다.

지금 상황에서 플러그인이 차단되면 사용자들의 불편은 액티브엑스(Active-X)가 존재하던 시절보다 더 불편해진다. 통합설치도 불가능하고 과거처럼 일일이 개인방화벽, 백신 등을 설치해야 한다. 설치할 때마다 웹페이지가 새로고침되는 것도 피할 수 없다.

금융당국이 전자금융감독규정을 개정하며 보안솔루션의 설치 의무화를 폐지했으나 금융회사들은 현행 시스템을 고집할 것으로 보인다. 기술에 대한 자율성을 부여했으나, 사고에 대한 책임도 같이 커졌기 때문이다.

이로 인해 금융회사들은 플러그인없이 보안솔루션을 설치·구동할 수 있는 기술을 보안업계에 요구하고 나섰으며, 보안업계에서도 다양한 방안을 고민하고 있다.

안랩, 이니텍, 잉카인터넷, 소프트포럼, 위즈베라 등 보안업체들은 크게 두가지 방안을 고민하고 있다. 첫번째는 솔루션을 로컬에 설치한 이후 상주 프로세스(로컬 서버화)로 만드는 것이다.

개인용 백신처럼 프로세스에 상주해 있다가 인터넷뱅킹을 사용할 때 실행이 되는 방식이다. 과거부터 많이 사용됐고, 지금 상황에서는 가장 이상적이지만 시스템 자원을 갉아먹는 단점을 갖추고 있다.

이는 사용자가 하나의 은행과 카드를 사용하는 것이 아니기 때문이다. 각 금융회사별로 3~4개의 보안솔루션이 설치된다고 가정할 때, 2개의 은행과 3개의 카드사와 거래하는 사용자의 경우 최고 20개의 보안솔루션이 상주하게 된다. 시스템 성능이 낮아질 수 밖에 없다.

또 다른 방법은 웹브라우저에서 지원하는 ‘URL 프로토콜 핸들러’를 사용하는 것이다. 이 방법은 설치가 돼더라도 웹브라우저에서 호출하기 전에는 실행되지 않아 성능 문제에는 자유로울 수 있다.

이 프로토콜을 사용하면 웹브라우저에서 ‘http://’나 ‘https://’, ‘ftp://’와 같이 ‘://’ 앞에 표시되는 문자열에 따라서 뒤따르는 URL과 파라미터들을 입력받는 응용프로그램을 호출해서 데이터를 넘겨줄 수 있다.

가령 ‘http://ddaily.co.kr/report_preview/’와 같은 주소를 입력하면 리포트를 읽을 수 있는 앱이 구동된다. 이를 응용하면 인터넷뱅킹 사이트에 접속했을 때 자동으로 개인방화벽이나 가상키패드 등을 호출할 수 있다.

하지만 문제는 속도다. 로컬 서버가 없고 호출할때 실행해서 불러와야 하기 때문에 프로세스에 상주시켜놓은 것보다 속도가 떨어질 수 밖에 없다. 고객이 느끼기에는 큰 차이가 없을 수 있으나 금융회사의 입장에서는 프론트엔드의 대응 속도에 민감할 수 밖에 없다.

보안업계 관계자는 “로컬 방식이 솔루션 호출에서 로딩까지 1초가 걸렸다면, URL 핸들러 프로토콜은 2초정도 걸린다. 고객의 입장에서는 체감할 수 없을 정도”라며 “하지만 금융회사들은 어떤 방식을 쓰더라도 1초가 나와야 한다. 그렇기 때문에 URL 핸들러 프로토콜은 제한적으로 사용될 수 밖에 없다”고 전했다.

이 같은 기술적인 한계에 대해 보안업계에서는 두가지 방법을 혼용하는 것이 현재로서는 이상적이라고 말한다. 그리고 보안솔루션을 공용으로 사용할 수 있도록 개발해야한다는 지적도 나오고 있다.

베라포트와 같은 통합설치 솔루션은 상주할 필요가 없으므로 URL 프로토콜 핸들러로 구동케하고, 나머지 솔루션들은 통합설치 솔루션 위에 올려서 배포하는 방식이다. 또한 동일한 제품을 고객사에게 공급하면 자원을 갉아먹는 문제도 일부 해소할 수 있다.

실제 통합설치 솔루션을 개발한 위즈베라는 URL 프로토콜 핸들러로 동작하는 제품을 개발하고 있으며, 다른 보안솔루션 업체들도 NPAPI 대신 로컬 방식으로 개발에 총력을 다하고 있다.

<이민형 기자>kiku@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
[이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
LG전자도 맞춤형 가전…‘오브제컬렉션 36… LG전자도 맞춤형 가전…‘오브제컬렉션 36…
  • LG전자도 맞춤형 가전…‘오브제컬렉션 36…
  • 삼성전자, ‘갤럭시팬클래스’ 본격화
  • 레트로 감성 찾는 MZ세대…즉석카메라의 귀환
  • 네이버 한성숙 대표, ‘어린이 교통안전 챌린지…