액티브X

3. 액티브X 컨트롤

액티브X 컨트롤은 액티브X를 이용해 만든 응용 프로그램을 말한다. 각각의 액티브X 컨트롤은 독립된 사용자 인터페이스를 가지는 COM 서버로서 동작하며 주로 인터넷으로 배포되어 웹 브라우저를 통해 실행된다. 예를 들면 애니메이션을 보여주고 특정한 종류의 파일을 보여 주고 데이터를 수집하는 맞춤식의 응용 프로그램들이 이에 속한다.

어떠한 면에서 액티브X 컨트롤은 자바 애플릿과 비슷하다. 프로그래머들은 액티브X 컨트롤이나 자바 애플릿을 사용하여 웹 브라우저가 해당 프로그램을 다운로드하여 실행하게 한다. 자바 애플릿과 액티브X 컨트롤의 차이점은 다음과 같다.

• 자바 애플릿은 거의 모든 플랫폼에서 실행할 수 있지만 액티브X 구성 요소는 공식적으로 마이크로소프트의 인터넷 익스플로러 웹 브라우저와 마이크로소프트 윈도우 운영 체제에서만 동작하고,^[31] 바이너리 형태로 배포되기 때문에 인텔 x86 CPU가 필요한 경우가 많다.^[29] 컴퓨터 바이러스와 스파이웨어와 같은 악성 코드는 액티브X 컨트롤을 이용하면 악성 사이트로부터 뜻하지 않게 설치될 수 있다. (이를 드라이브 바이 다운로드라 부른다)
• 액티브X 컨트롤은 자바 애플릿과는 다르게 코드 실행에 대한 제약이 적기 때문에, 보안이 취약해 소프트웨어와 데이터를 손상시킬 수 있는 위험성이 있다. 이를 위해 마이크로소프트는 등록 시스템을 개발하여, 브라우저가 액티브X 컨트롤을 다운로드하기 전에 해당 컨트롤의 디지털 서명과 인증서를 확인하고, 적절한 프로그램인지 인증할 수 있게 하였다.

• ATL 또는 MFC와 같은 라이브러리의 도움을 받거나 C++를 직접 이용하여 사용할 수 있다.^[32]
• 볼랜드 델파이
• 비주얼 베이직

4. 대한민국에서의 액티브X 문제와 개선 노력

대한민국은 인터넷 뱅킹, 전자정부 서비스 등에서 액티브X를 광범위하게 사용하여 웹 환경의 비표준화와 특정 브라우저 종속성 문제를 심화시켰다. 특히, 공인인증서 의무 사용 규제는 액티브X 사용을 강제하는 주요 원인 중 하나였다.^[21]

2010년 2월, 모질라 재단은 대한민국의 인터넷 사용자들에게 액티브X 퇴치 운동을 권유하였다.^[37] 같은 해 3월 7일, 행정안전부는 금융 거래 시 공인인증서만 보안 프로그램으로 인정하는 규제를 폐지하기로 하였으나,^[38] 금융위원회는 전자금융거래법 시행령 개정을 검토한 바 없다고 밝혔다.^[39]

이후, 2010년 4월 20일 네이버는 액티브X 퇴출을 발표하였고, 방통위는 인터넷 이용 환경 개선 합의회를 구성하여 개선안을 마련하기로 하였다. 2010년 4월 21일에는 네오위즈인터넷이 액티브X 퇴출을 위한 뉴벅스를 선보였다. 2010년 7월 9일, 우리은행은 대한민국 최초로 액티브X 없는 인터넷 뱅킹을 제공하기 시작했다.^[40][41][42]

2011년 3월 30일, 방송통신위원회는 「인터넷 이용 환경 개선 추진계획」을 발표했다.^[43] 2012년에는 액티브X 사용 실태 조사 및 웹사이트 진단 시스템 구축 계획을 발표하고,^[44] 민·관 주요 웹사이트의 액티브X 사용 현황을 조사했다.^[45] 조사 결과, 200대 사이트 중 84%인 168개 사이트에서 액티브X를 사용하고 있었으며, 특히 민간 영역은 결제·인증, 행정기관은 보안에서 많이 사용되었다. 같은 해 7월, 정부 행정기관 100대 웹사이트 중 73%가 액티브X를 사용하지 않거나 대체 기술을 제공하는 것으로 나타났다.^[46] 또한, 방송통신위원회는 "차세대 웹 표준 HTML5 확산 추진계획"을 발표했다.^[47]

2013년 4월 9일, 슬로우뉴스 기자, 오픈넷 관계자, 최재천 의원은 액티브X 폐지 서명 사이트 '노액티브X'를 제안했다.^[48] 2015년 6월 9일, 한국인터넷진흥원과 미래창조과학부는 웹 표준 전환 및 비표준 웹 기술 개선 지원을 추진한다고 밝혔다.^[49] 2017년 12월, 대한민국정부는 2018년 연말정산 간소화 서비스에서 액티브X 설치 없이 이용 가능하도록 하였다.

4. 1. 비판과 논란

4. 2. 정부 및 기관의 노력

• 2010년 3월 7일, 행정안전부는 금융 거래 시 공인인증서만 보안 프로그램으로 인정하는 규제를 폐지하기로 결정했다.^[38] 그러나 금융위원회는 전자금융거래법 시행령 개정을 검토한 바 없다고 밝혔다.^[39]
• 2011년 3월 30일, 방송통신위원회는 액티브X 대체 기술 적용 확산, 웹 브라우저 이용 다양화 및 웹 환경 고도화 등을 주요 내용으로 하는 「인터넷 이용 환경 개선 추진계획」을 발표했다.^[43]
• 2012년 1월 17일, 방송통신위원회는 주요 100대 웹사이트의 액티브X 사용 실태를 분기별로 조사 및 발표하고, 웹사이트 개선 시 활용 가능한 '웹사이트 진단 시스템'을 구축하여 웹 개발자와 웹 서비스 제공자에게 개방할 계획이라고 발표했다.^[44]
• 2012년 4월 2일, 행정안전부와 방송통신위원회는 민간 및 행정기관의 주요 웹사이트 각 100개를 대상으로 액티브X 사용 현황을 조사했다. 조사 결과, 84%에 해당하는 168개 사이트에서 액티브X 기술을 사용하는 것으로 나타났다.^[45]
• 2012년 7월 12일, 행정안전부와 방송통신위원회는 2/4분기에도 주요 웹사이트 200개의 액티브X 사용 현황을 조사했다. 조사 결과, 정부 행정기관 100대 웹사이트 중 73%는 액티브X가 없거나 대체 기술을 제공하여 3종 이상의 웹 브라우저에서 사용 가능한 것으로 나타났다.^[46]
• 2012년 7월 12일, 방송통신위원회는 "차세대 웹 표준 HTML5 확산 추진계획"을 발표했다.^[47]
• 2013년 4월 9일, 슬로우뉴스 일부 기자, 오픈넷 일부 관계자, 최재천 의원은 액티브X 폐지 서명 사이트 '노액티브X'를 제안했다. 2014년 8월 25일 기준 서명인 수는 약 1만 명이었다.^[48]
• 2015년, 공인인증서 의무 사용 규제가 폐지되면서 액티브X 사용 감소에 큰 영향을 미쳤다.
• 2015년 6월 9일, 한국인터넷진흥원과 미래창조과학부는 국내 웹사이트 운영업체 및 솔루션 업체를 대상으로 웹 표준 전환, 비표준 웹 기술(액티브X, NPAPI) 관련 정보 제공 및 개선 기술 도입, 개발 지원을 추진한다고 밝혔다.^[49]
• 2017년 12월, 대한민국정부는 2018년 연말정산 간소화 서비스에서 액티브X 설치 없이도 이용이 가능하도록 하여 웹 표준 환경을 조성했다.
• 더불어민주당은 문재인 정부 출범 이후에도 공공 웹사이트 액티브X 제거, 공인인증서 폐지 등 관련 정책을 지속적으로 추진했다.

4. 3. 현재 상황

• 2010년 2월 모질라 재단은 대한민국의 인터넷 사용자들에게 액티브X 퇴치 운동을 권유하였다.^[37]
• 2010년 3월 7일 행정안전부는 금융거래시 공인인증서만 보안 프로그램으로 인정하고 있는 규제를 폐지하기로 하였다. 그러나 금융위원회는 전자금융거래법 시행령 개정을 검토한 바 없다고 밝혔다.^[39]
• 2010년 4월 20일 네이버는 액티브X를 퇴출하고 액티브X 없이 간편하게 사용할 수 있도록 변경할 것을 발표하였다. 방통위는 인터넷 이용 환경 개선 합의회를 구성하여 액티브X 퇴출을 위한 개선안을 마련하기로 하였다.
• 2010년 4월 21일 네오위즈인터넷은 액티브X 퇴출을 위해 새로운 기능인 뉴벅스를 선보였다.
• 2010년 7월 9일 우리은행은 대한민국 최초로 액티브X 없이 인터넷 뱅킹(우리오픈뱅킹(다른 운영체제, 다른 웹 브라우저 사용가능))을 할 수 있게 하였다.^[40][41][42]
• 2011년 3월 30일 방송통신위원회는 액티브X 대체기술 적용 확산, 웹 브라우저 이용 다양화 및 웹환경 고도화 등을 골자로 하는 「인터넷 이용 환경 개선 추진계획」을 발표했다.^[43]
• 2012년 1월 17일 방송통신위원회는 주요 100대 웹사이트의 액티브X 사용실태를 분기별로 조사·발표(1차 발표 3월말 예정)하고, 웹사이트 개선시 활용할 수 있는 ‘웹사이트 진단 시스템’을 구축해 웹 개발자나 웹서비스 제공자에게 개방할 계획이라고 발표했다.^[44]
• 2012년 4월 2일 행정안전부와 방송통신위원회는 인터넷 이용편의증진 및 웹서비스 경쟁력 강화를 위해 민간 및 행정기관의 주요 웹 사이트 각각 100개를 대상으로 액티브X 사용현황을 조사했다. 대한민국의 민·관 주요 200대 사이트 중 84%인 168개 사이트에서 웹브라우저 호환성과 보안문제를 야기하는 액티브X 기술을 사용하고 있는 것으로 나타났다. 민간영역은 결제·인증(41.1%), 행정기관은 보안(40%)에서 액티브X를 가장 많이 사용하는 것으로 나타났다.^[45]
• 2012년 7월 12일 행정안전부와 방송통신위원회는 1/4분기에 이어 2/4분기에도 주요 웹사이트 200개(민간 100, 행정기관 100)를 대상으로 액티브X 사용현황을 조사했다. 이번 조사에서는 IE(인터넷 익스플로러)에서만 액티브X를 사용하고 다른 웹브라우저에서는 대체기술을 제공하여 3종 이상의 웹브라우저(멀티브라우저)를 지원하는 웹사이트 현황도 함께 조사되었다. 그 결과 정부 행정기관의 100대 웹사이트 중 73%는 액티브X가 없거나 대체기술을 제공하여 3종 이상 웹브라우저에서 사용 가능한 것으로 나타났다.^[46]
• 2012년 7월 12일 방송통신위원회는 대한민국의 웹 환경 개선과 인터넷 글로벌 경쟁력 강화를 위해 “차세대 웹 표준 HTML5 확산 추진계획”을 발표했다.^[47]
• 2013년 4월 9일 슬로우뉴스의 일부 기자와 오픈넷의 일부 사람들, 최재천 의원이 액티브엑스 폐지 서명사이트 노액티브엑스를 제안하였다. 2014년 8월 25일 기준 서명인 수는 약 만 명이다.^[48]
• 2015년 6월 9일 한국인터넷진흥원과 미래창조과학부는 국내 웹사이트 운영업체 및 솔루션 업체를 대상으로 웹 표준 전환, 비표준 웹 기술 (액티브X, NPAPI) 관련정보 제공 및 개선기술 도입, 개발 지원을 추진한다고 밝혔다.^[49]
• 2017년 12월 대한민국정부는 2018년 연말정산에서 액티브X 설치 없이도 이용이 가능하도록 연말정산 간소화 서비스를 진행하였다.

5. 다른 액티브X 기술

마이크로소프트는 액티브X 데이터 오브젝트(ADO), ASP, DirectShow, CDO, 액티브 스크립팅, 고급 시스템 포맷(ASF) 등 액티브X 객체를 사용하여 많은 제품과 소프트웨어 플랫폼을 개발하였다.^[4]

6. 비-IE 환경에서의 액티브X

인터넷 익스플로러 외의 웹 브라우저에서는 액티브X가 기본적으로 지원되지 않는다. 다른 브라우저에서 액티브X를 사용하기 위해서는 별도의 플러그인이나 확장 기능이 필요하다.^[20]

• 모질라 파이어폭스:
• FX ActiveX 호스트: 윈도용 파이어폭스에서 액티브X 컨트롤을 실행할 수 있게 해준다.
• 모질라 액티브X 컨트롤: 2005년 말에 마지막으로 업데이트되었으며, 파이어폭스 1.5에서 실행된다.^[19]
• 넷스케이프 내비게이터: ScriptActive 플러그인은 1997년에 마지막으로 업데이트되었으며, 액티브X 컨트롤을 실행할 수 있지만 특수한 HTML 태그가 필요하다.^[14]
• 구글 크롬: 크롬 애플리케이션 내에서 인터넷 익스플로러 탭을 에뮬레이션하는 확장 기능을 포함한 여러 확장 기능을 활용하여 액티브X 스크립트를 실행할 수 있다.^[20] IE 탭을 사용하여 IE 컴포넌트를 다른 브라우저에서 호스팅함으로써 ActiveX를 이용하는 방법도 있다.
• Internet Explorer for Mac: Mac OS에서 동작하는 Internet Explorer for Mac에서도 액티브X를 이용할 수 있었다.

7. 보안 문제 및 대책

액티브X 컨트롤은 코드 실행에 제약이 적어 악성코드 감염 등 보안 위협에 취약했다. 마이크로소프트는 디지털 서명을 통해 컨트롤의 신뢰성을 확인하는 기능을 제공했지만, 완벽한 해결책은 아니었다.^[24] 디지털 서명은 원본과의 동일성을 증명할 뿐, 개발자가 악의적인 코드를 포함시킬 가능성을 배제할 수 없었기 때문이다. 실제로 액티브X 컨트롤의 보안 취약점을 이용한 악성코드 공격 사례가 다수 보고되었다.^[25][26]

윈도우 XP SP2 이후, 액티브X 컨트롤 설치 및 다운로드를 자동으로 차단하는 기능이 추가되었고, 인터넷 익스플로러 7에서는 기본적으로 비활성화되었다. 윈도우 비스타에서는 액티브X 컨트롤 실행 권한을 제한하는 메커니즘이 도입되어,^[27] 접근 가능한 범위를 좁혔다. 마이크로소프트 엣지에서는 액티브X 지원이 완전히 중단되었다.^[28]

8. 같이 보기

• 대한민국의 웹 호환성 문제
• 김기창
• 공인인증서
• NPAPI

참조

_[1] 웹사이트 ActiveX Controls on the Internet https://docs.microso[...] 2018-09-12
_[2] 서적 Activex Programming with Visual C++ Que
_[3] 웹사이트 Microsoft Edge - Frequently Asked Questions (FAQ) for IT Pros - Edge https://docs.microso[...]
_[4] 논문 Component-based software engineering: technologies, development frameworks, and quality assurance schemes. IEEE
_[5] 웹사이트 JavaBeans and ActiveX go head to head http://www.javaworld[...] IDG 1997-03-01
_[6] 웹사이트 Using ActiveX with LabVIEW – Examining Mission Editor Version 1.0 http://zone.ni.com/d[...] National Instruments 2007-08-13
_[7] 웹사이트 Microsoft announces ActiveX Technologies https://news.microso[...] Microsoft 1996-03-12
_[8] 웹사이트 Chapter 2 https://www.w3.org/P[...] 2019-08-29
_[9] 웹사이트 Activating ActiveX Controls http://capitalhead.c[...] 2006-04-18
_[10] 뉴스 ActiveX technology: You can't go there today https://books.google[...]
_[11] 뉴스 Exposing the ActiveX security model https://books.google[...] 1997-05-19
_[12] 뉴스 MacOS will get access to ActiveX https://books.google[...] 1996-10-28
_[13] 간행물 After 6 months, ActiveX passive in Mac market http://www.macweek.c[...] 1997-04-11
_[14] 서적 Computerworld https://archive.org/[...] IDG Enterprise 1997-04-07
_[15] 웹사이트 Documentation for ActiveX Core Technology https://pubs.opengro[...] The Open Group 2020-05-01
_[16] 웹사이트 Seoul poised to remove ActiveX software from public websites http://english.yonha[...] Yohap News Agency 2015-03-03
_[17] 간행물 Will ActiveX Threaten National Security? https://www.wired.co[...] 2018-10-15
_[18] 웹사이트 Microsoft nixes ActiveX add-on technology in new Edge browser http://www.computerw[...] IDG 2015-05-10
_[19] 웹사이트 Mozilla Control http://www.adamlock.[...] 2011-04-29
_[20] 웹사이트 How To Enable ActiveX on Chrome https://www.alphr.co[...] 2022-08-07
_[21] 문서 e-Gov電子申請システム動作確認環境 https://web.archive.[...]
_[22] 문서 ActiveX／プラグインについて｜イチからはじめるセキュリティー｜eoセキュリティーインフォメーション http://eonet.jp/secu[...]
_[23] 문서 Blogs - Japan IE Support Team Blog - Site Home - TechNet Blogs http://blogs.technet[...]
_[24] 문서 Authenticode http://msdn2.microso[...] MSDN
_[25] 문서 Windows Media Player プラグインの脆弱性により、リモートでコードが実行される (911564) (MS06-006) http://www.microsoft[...]
_[26] 문서 Macromedia - APSB06-03: Flash Player Update to Address Security Vulnerabilities http://www.adobe.com[...]
_[27] 문서 セキュリティ対策の要点解説 第 20 回 Windows Vista のセキュリティ機能 ～ Internet Explorerの保護モード ～ https://www.microsof[...]
_[28] 웹사이트 MS、「Edge」ブラウザで非対応の技術を明らかに--「ActiveX」「VBScript」など https://japan.cnet.c[...] CNET Japan 2015-05-08
_[29] 웹인용 What is an ActiveX control? http://www.microsoft[...] 2013-07-18
_[30] 웹인용 Microsoft Edge - Frequently Asked Questions (FAQ) for IT Pros - Edge https://docs.microso[...]
_[31] 웹인용 ActiveX http://support.mozil[...] 2010-08-05
_[32] 웹인용 Creating ActiveX Components in C http://msdn.microsof[...] 2010-10-16
_[33] 웹인용 Using ActiveX with LabVIEW - Examining Mission Editor Version 1.0 - Developer Zone - National Instruments http://zone.ni.com/d[...] 2009-03-12
_[34] 웹인용 Microsoft Announces ActiveX Technologies http://www.microsoft[...] 2010-10-16
_[35] 웹인용 Activating ActiveX Controls {{!}} Capitalhead.com http://capitalhead.c[...] 2010-10-16
_[36] IT IT동아 http://it.donga.com/[...]
_[37] 뉴스 Mozilla warns of 'Microsoft monoculture' in South Korea https://web.archive.[...] The Register 2010-07-16
_[38] 뉴스 모든 스마트폰서 인터넷뱅킹 된다 https://news.naver.c[...] 한국경제 2010-03-07
_[39] 한국경제 한국경제 「모든 스마트폰서 인터넷뱅킹 된다」 제하의 기사 관련 http://www.korea.kr/[...]
_[40] 웹인용 우리은행 https://web.archive.[...] 2010-07-13
_[41] 웹인용 모든 사람들이 자유롭게 인터넷뱅킹을 이용하는 세상 :: 우리오픈뱅킹에 하고싶은 말 5번째 Story https://web.archive.[...] 2010-08-15
_[42] 뉴스 우리銀, '우리오픈뱅킹 서비스' 실시 http://www.asiae.co.[...] 아시아경제 2010-03-23
_[43] 문서 2011년 제21차 위원회 결과 http://www.korea.kr/[...]
_[44] 문서 방통위, 비표준 기술 액티브X 사용하는 사이트 정기적으로 조사·발표한다 http://www.korea.kr/[...]
_[45] 문서 액티브X, 민간·정부 200대 사이트 중 168곳(84%)에서 사용 http://www.korea.kr/[...]
_[46] 문서 민·관 주요 웹사이트 액티브X 2/4분기 현황조사 결과 발표 http://www.korea.kr/[...]
_[47] 문서 방통위, 차세대 웹 표준 HTML5로 웹 환경 개선·인터넷 산업 경쟁력 모두 잡는다 http://www.korea.kr/[...]
_[48] 웹인용 보관된 사본 https://web.archive.[...] 2014-08-25
_[49] 웹인용 한국인터넷진흥원, 비표준(ActiveX, NPAPI 등) 개선 지원 참여사 모집 https://web.archive.[...] 2015-06-19