보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Hot Issue] 굿바이! Active X … 대체 솔루션은?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2015-04-02

차세대 안티해킹 솔루션, AhnLab Safe Transaction 

 

 

온라인 쇼핑의 걸림돌로 지적 받던 Active X가 사라진다.
국내 카드 업계는 지난 3월말 Active X 대체 프로그램으로 exe 방식의 보안 프로그램을 시행한다고 발표했다. 이로써 온라인 쇼핑몰 등에서 신용카드 결제 시 최소 4~7회 이상의 Active X 기반의 프로그램을 설치해야 하는 불편함이 사라지게 되었다. 지난해 중국에서 큰 인기를 모았던 드라마 속 ‘천송이 코트’를 계기로 퇴출 대상에 오른 지 1년만이다.


이 글에서는 그 동안 뜨거운 이슈가 되었던 Active X 논란과 업계의 대응 상황을 살펴본다. 또한 안랩의 Active X 대체 솔루션인 '안랩 세이프 트랜잭션(AhnLab Safe Transaction)'에 대해 소개한다.

 

 


Active X, 왜 퇴출 대상이 되었나


“이 소프트웨어를 설치하시겠습니까?”
인터넷 쇼핑몰 이용 시 팝업창을 띄우며 이용자를 불편하게 만들었던 Active X.
Active X는 마이크로소프트가 1996년 인터넷에서 다운로드 받는 콘텐츠를 이용하기 위해 선보인 기술이다. 우리나라는 인터넷 익스플로러(Internet Explorer) 사용 비율이 높고 동영상 등 콘텐츠 추가 기능 활용 사례가 많아 Active X를 많이 사용했다. 이 Active X는 소프트웨어 배포 및 콘텐츠 활용 측면에서 편리한 반면, 이용자 입장에서는 설치의 불편함과 보안 이슈로 인해 그 동안 끊임없이 논란을 제공해왔다.


Active X는 인터넷 익스플로러(IE)에서만 내려 받을 수 있는 프로그램으로 IE에서만 가능해 브라우저가 바뀔 때마다 보안프로그램을 내려받아야 해 불편함이 컸다. 또한 국내와는 달리 외국인 사용자들은 크롬 또는 파이어폭스 이용자가 상대적으로 많은데, 이와 같은 브라우저에서는 Active X가 동작하지 않아 외국인들이 불편을 겪어야만 했다.


다른 측면에서는 악성 프로그램의 유통 경로로 활용되어 보안 문제를 일으키는 요소로 지적되었다. 예를 들어 특정 사이트에서 다운로드한 Active X 파일에 악성코드가 함께 설치되어 해킹에 악용될 수 있다. 또한 Active X 기반의 보안 모듈은 보호 대상 사이트에 접속했을 때 다운로드가 실행되며, 실행 시점 차이로 Active X 보안 모듈 실행을 악성코드가 차단하는 문제가 발생하기도 한다.

 

 


[그림 1] Active X 기반 보안 모듈의 한계

 


온라인 쇼핑몰에서 Active X 없이 결제 가능


이러한 이유로 정부는 2014년 9월 카드사, PG(Payment Gateway)사, 보안업체 공동으로 보안 프로그램, 결제창, 공인인증서 등에서 사용되는 Active X를 완전히 추방할 것을 권고했다. 이에 따라 카드 업계는 지난해 12월 BC카드를 시작으로 KB국민•우리카드•신한•현대•NH농협카드•롯데•삼성•하나카드 등이 3월말 Active X 대체 프로그램을 내놓았다.


이로써 4월부터 내•외국인 등 모든 이용자가 Active X 설치 없이 온라인 쇼핑을 할 수 있게 되었다.

 

 

Active X 없는 행정•공공 사이트로 확대 조짐


금융권을 출발점으로 한 Active X 퇴출 작업이 조만간 행정•공공 분야로도 확산될 것으로 보인다.


행정자치부는 3월 3일 행정•공공 웹 사이트의 Active X 제거 이행 지침을 수립해 시행할 계획이라고 발표했다.
행정자치부는 우선 각 부처와 함께 대체 기술 개발과 기술 지원 방안을 준비하고, 향후 시범 시험을 통해 정책안을 마련하고 도입을 서두르겠다는 입장이다.


또한 한국인터넷진흥원은 미래부와 함께 올해는 국민이 체감할 수 있는 수준으로 Active X 사용을 축소하기 위하여 웹 표준 전환 지원 및 Active X 대체기술 개발 지원 사업뿐만 아니라, 국내 100대 웹사이트를 대상으로 Active X 대체 솔루션 도입 지원 사업을 실시한다. 지원 규모도 2014년 약 5억 원에서 약 6배 정도 증가한 28억 원이다.


현재 연말정산 간소화서비스부터 각종 공공 민원서류 발급까지 Active X 기반의 서비스를 제공하고 있으며, 이러한 서비스에서도 Non Active X 프로그램이 적용될 전망이다.

 


컴플라이언스 준수와 강력한 보안을 동시에! AhnLab Safe Transaction


금융당국은 2015년 1월부터 단말 보호를 위한 보안 솔루션 도입 자율성을 보장하되 사고 발생 시, 금융사가 그 책임을 부담하도록 지침을 정했다. 따라서 금융사는 이용자들의 불편함을 최소화하면서도 강력한 보안 기능을 제공하는 보안 솔루션이 필요하게 되었다. 이러한 기조는 공공기관 서비스에도 동일하게 적용될 것이다.


이와 같은 정부와 금융기관의 요구 조건을 충족할 수 있는 보안 솔루션이 바로 안랩 세이프 트랜잭션(AhnLab Safe Transaction, ASTX)이다. 이 제품은 ActiveX 기반이 아닌 상주형 보안 모듈로 운영체제와 함께 실행되므로 실행 시점 차이로 인한 보안 문제와 ActiveX 이슈를 동시에 해결할 수 있다. 더불어 실행파일(.exe) 형태로 프로그램이 설치되며, 각 프로그램별 자동 업데이트 기능을 제공해 이용자들의 불편을 해소했다.

 


[표 1] Active X vs. Non-Active X의 보안 프로그램 구동 방식 비교 

 

세이프 트랜잭션은 온라인 금융 및 웹 서비스 이용 시 발생할 수 있는 다양한 위협과 해킹 요인에 해한 강력한 보안 기능을 제공한다. 키보드 보안, 방화벽, 프로세스 검사 등과 같은 보호 사이트 보안 기능뿐만 아니라 안티 피싱, 안티 파밍, 메모리 해킹 방지 등의 강력한 보안 기능을 제공하는 것이 특징이다.

 


[그림 2] 안랩 세이프 트랜잭션​ 주요 기능

 

또한 세이프 트랜잭션은 키 입력 값들에 대한 보호부터 개인정보의 변조와 유출까지, 웹 서비스 이용 시 발생하는 보안 위협을 보안 프로그램별 유기적인 결합을 통해 효과적으로 대응한다.
 


[그림 3] 안랩 세이프 트랜잭션​ 4단계 보안 위협별 대응 프로세스

 

안랩 세이프 트랜잭션은 Non-ActiveX 방식의 통합 보안 솔루션으로 정부의 정책을 준수하면서 이용자가 인터넷 서비스를 안전하게 이용할 수 있도록 해준다. 안랩은 고도화된 보안 위협에 대한 대응 능력을 갖춘 것은 물론 다양한 보안 솔루션 제공과 고객을 통해 축적한 노하우를 기반으로 신속하고 정확한 고객 서비스 지원이 가능하다.@

  • AhnLab 로고
  • 콘텐츠기획팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.