국산OS 하모니카? 'ActiveX부터 없애줬으면'

정부가 개방형 운영채제(OS) 개발 프로젝트를 추진하여 예산 약 2억5천만원을 들여 하모니카라는 이름의 리눅스 배포판을 개발했다. (참고) 정부는 2014년 4월 마이크로소프트의 윈도XP 지원 종료를 계기로 특정 업체에 종속되지 않은 기술중립적 운영체계를 개발해 소비자의 선택권을 넓히자는 취지 아래 개방형OS 프로젝트를 시작했다. NIPA 관계자는 이미 리눅스 기반 배포판이 여럿 있는 환경이라고 판단해서 굳이 새롭게 한국형 배포판을 만드는 대신 기존의 배포판을 사용자 편의에 맞게 개선하고 한글화를 지원한다는 차원에서 개발이 이뤄졌다고 하모니카 프로젝트를 설명했다.

정부의 하모니카 프로젝트

하모니카 프로젝트 팀은 현재 가장 널리 쓰이는 리눅스 배포판인 리눅스 민트를 개선해서 하모니카라는 이름으로 2014년 11월 27일에 배포했다. (참고) 문제는, 하모니카가 뿌리를 두고 있는 리눅스 민트는 이미 2009년부터 무보수의 자원봉사자들에 의해 번역되어 한국어가 지원되어왔으며 (참고) 기존의 리눅스 민트와 비교할 때에 크게 달라진 점도 없다는 것이다. 그런 까닭인지, 리눅스 관련 커뮤니티에 올라오는 관련 글들이 하모니카에 대해 썩 호의적이지만은 않다.

• 하모니카 프로젝트? - 우분투 한국 커뮤니티 (참고)
• 국산OS "하모니카 프로젝트" - 기글 하드웨어 커뮤니티 게시판 (참고)
• 하모니카 프로젝트.. 이게 그 한국형 리눅스 민트 라는거 맞나요 - PHPSCHOOL (참고)
• 개방형 OS `하모니카 프로젝트` 내달 결실 - 루리웹 (참고)
• 정부 '개방형 OS', 리눅스 민트 한글화 이번엔 잘 될까 (참고)
• 하모니카를 써본 소감 (참고)
• 정부에서 수정/배포하는 민트 기반 리눅스 "하모니카" (참고)
• 리눅스 민트 VS HAMONIKR 비교 (참고)

내용의 요지는, 정부가 리눅스 민트를 선택했다면 리눅스 민트 개발에 참여해서 한국어 지원하고 부족한 부분은 별도의 패키지를 만들어 배포하면 될 것을 쓸데없이 우리식 배포판을 만들려고 한다 즉, 오픈소스 생태계에 참여할 생각은 하지 않고 거머리처럼 빨아먹을 궁리만 하고 있다는 것이다. 또한 기존 리눅스 민트에 비해 큰 개선점도 없는데 약 2억5천만이라는 세금은 너무 과한 비용이 아니냐는 지적도 있다.

실제로 하모니카는 기존의 리눅스 민트에서 한국어로 표기되지 않는 몇몇 부분들을 한국어로 번역하고 Numix 아이콘 테마와  리눅스판 로켓독 격인 Plank Dock를 추기적으로 넣어 외관을 미려하게 꾸몄다. 다만, 그 이외에 눈여겨볼 개선점은 없다. 물론 아직 시작된지 얼마 되지 않은 프로젝트이니 차츰 개선될 것이다. 하지만 필자가 이 자리에서 지적하고자 하는 문제는 다른 곳에 있다.

불멸의 ActiveX

ActiveX는 마이크로소프트가 만든 소프트웨어 프레임워크이다. 이에 대해서는 미닉스의 IT이야기(참고)와 리그베다 위키(참고)의 글에 자세히 설명되어있다. ActiveX는 이미 세계적으로 PC보안을 해치는 주범으로 간주되어왔으며 외국에서는 일찍이 이를 사용하지 않고 HTML5 혹은 JAVA등의 대체기술을 사용해왔다. 그에 비해 한국은 2014년에 이르러서야 ActiveX를 없애겠다고 발표했으나, 그 결과가 가히 놀랍다. 잠시 아래 리그베다 위키의 설명을 보자.

5. 대한민국의 액티브X 사용 실태 (#)

(omitted)

ActiveX 퇴출의 결정타, 중국에서 구매할 수 없었던 천송이 코트. 스마트폰(비 윈도우OS)조차도 밀어낼듯 밀지못한 밀꺼같은 ActiveX를 드라마 한 편이 바로잡았다. ActiveX 퇴출 논쟁은 천송이 코트 이전과 이후로 나뉜다. 결국, 옳고 그름의 문제가 아니라 돈이 되느냐의 문제

위에서도 언급했듯이, 사실 우리나라에서 ActiveX를 비롯한 플러그인이 정말 문제되는 곳은 보안 프로그램 쪽이다. 금융 사고를 막기 위해 보안 프로그램 제공을 의무화하는 규정이 마련되어 있는데 그 보안 프로그램이란 것이 전부 ActiveX로 제작되어 있기 때문이다. 이를 알았는지 2014년 10월 6일, 정부에서 보안 프로그램 의무 설치 규정을 폐지하겠다고 밝혔다. # 이제 정말로 ActiveX가 국내 인터넷에서 퇴출될 가능성이 높아지고 있는 듯하다.

그런데 정부에서 엄청난 뒤통수를 후려 갈겼다. 보안 응용프로그램을 직접 다운받아 설치하는 방식으로 대체하겠다는 것. 거짓말은 하지 않는다 ActiveX는 퇴출하긴 했는데, 대신 exe 파일을 직접 다운로드 받아 설치하여 쓰란 소리다. 똥치우고 설사왔다. ActiveX는 최소한 익스플로러에서 인증서 체크라도 하는데, 응용프로그램을 직접 다운받아 설치하면 그런거 없다. 보안 측면에선 더 위험하다. 이건 SSL 프로토콜만으론 보안이 완벽하게 이루어지지 않는다는이라고 쓰고 바꾸기 귀찮다고 읽는다 업계들의 징징 요청을 받아들인 조치이다.[30] 하지만 그 대처법으로 선택한 게 ActiveX보다 보안상으로 더 취약한 방법인 것이다. 무엇보다 프로그램 직접 다운로드 방식은 쇼핑몰에서 약간 장난을 치면 애드웨어를 이것저것 설치할 수 있다. 이미 설치 프로그램에 애드웨어 설치 동의를 끼워넣는 마케팅은 활성화된지 오래이다. 이제 생각없이 보안 프로그램 깔면 쇼핑몰 바로가기가 잔뜩 깔릴 것이다 게다가 IE 뿐만이 아니라 다른 브라우저에서도 사용가능하다는 말이 눈가리고 아웅인게, 기존의 ActiveX는 결제시에만 플러그인으로 불러서 쓰던걸 아예 윈도우 프로그램으로 설치를 해버려 시스템에 상주를 시켜버려 리소스를 좀먹게 된다. 그렇기 때문에 어떤 브러우저를 쓰던 간에 플러그인으로 불러올 필요는 없는 대신에 컴퓨터가 느려지거나 오류를 내뿜게 되는 것이다.

(omitted)

9. 엑티브X 대체 시도? (#)

MS도 액티브엑스가 보안부분에 취약하다는 것을 알고 이를 대체하기 위해 노력하고 있다. 대표적으로 MS 리서치에서 개발중인 XAX가 있다. 보안부분은 샌드박스로 보호하고 레거시 코드 동작이나 운영체제에 가리지 않는 차세대 플러그인 기술이다. XAX 설명 이것이 코드명 스파르탄 브라우저에 탑재될 가능성이 있다.[34] XAX와 연관된 프로젝트로 Drawbridge가 있다. 이것은 가상화를 지원한다. drawbridge 설명 관련기사
2014년, VIP대통령의 천송이 코트 발언으로 금융업체들이 액티브엑스를 없애겠다고 발표하며 그 결과를 하나하나 내놓고 있다. 하지만 역시나 답이 없다. 그 결과물이라고 내 놓은 게 액티브엑스(cab) 대신 exe/msi 설치파일로 대체한다는 것이다. 막가자는 거지요? 이로서 대한민국 금융은 정말로 답이 없다는 것을 몸소 증명하였다. 컴덕은 무엇이 다른것인지 알 수 없을것이다.
무엇이 문제인지 모를 아니 위쪽을 읽었다면 액티브엑스의 개념을 알 텐데 이 글을 보는 당신에게 이유를 설명하자면, '「액티브엑스」라는 건 exe·dll같은 윈도 바이너리파일을 IE로 그대로 옮긴 것' 이라는 말로 설명할 수 있다. 더 이상의 자세한 설명은 생략한다.

전문 읽기 : 나무위키 >> ActiveX (참고)

 

요컨대, ActiveX는 사라지지 않았고 이름만 바꿨을 뿐이다. 국민들이 원했던 것은 ActiveX(cab)를 설치파일(exe, msi)라고 이름만 바꾸는 것이 아니라, 정부가 적극적으로 나서서 별도의 부가기능을 설치하지 않고도 온전하게 한국 인터넷을 사용할 수 있도록 환경을 조성해주는 것이었다. 즉, OS X(매킨토시)에서 전자상거래를 하고 리눅스에서 인터넷 강의를 듣는 그런 환경을 원했다. 하지만 정부는 보란듯이 아랫돌을 빼서 윗돌을 괴어놓고는 해결했다며 눈 가리고 아웅하고 있다. 이는 어설픈 임시방편에 불과하며 관심 없는 국민들은 '아, 해결되었나보다' 하고 넘어가게 하고 아는 사람들은 애만 태우게 하는 엉터리 대책이다. 아니, 한참을 기다려준 국민들에 대한 기만이다.

임시방편이라는 것도 그나마 긍정적인 표현이다. 보안상으로 훨씬 더 취약한 방법을 대안이라며 실제로 사용하고 있는 모양새는 IT 강국을 자처하는 한국의 보안 의식을 적나라하게 드러내고 있다. 인터넷으로 결제하는 데에 무언가 프로그램을 설치해야 한다는 것이 기상천외하고 위험천만한 발상인데 유독 한국에서만은 이에 대한 자각이 없는 것처럼 보인다. 천송이 코트가 유행할 당시 중국인들이 '구매를 하기 위해서 무언가를 설치해야 한다'는 사실에 당황하는 것과 확연하게 대조가 된다.

액티브X 대신 exe 파일 설치, 그것이 현실이 되었습니다 (참고)

작년 이맘때쯤 ActiveX가 천송이 코트의 해외판매를 막아선다는 지적에 정부가 해결방안을 마련하겠다고 나섰을 때에 JTBC등의 언론 또한 정부가 갑작스럽게 나섰으니만큼 악수를 둘 수 있다는 우려를 했다. (참고) 그게 정확하게 맞아떨어진 셈이다.

마음이 급하죠. 잠이 오지 않을 지경입니다. VIP(박근혜 대통령)께 진행사항을 보고 해야 하거든요. ‘천송이코트’부터 기자간담회까지 VIP가 수차례 말씀하셨거든요. 아마존 사이트와 국내 쇼핑몰 사이트를 접속해 비교하는 시연을 해야 할지 모르죠. 그러니까 지금 이렇게 서두르고 있습니다. 사실 크게 달라지는 건 없어요. 겉에서 보기엔 큰 변화가 있는 것 같겠지만.

[류현정의 넥스트웨이브] 액티브X 폐지와 그 적들 (참고)

 

이것이 미래창조과학부 관계자가 전한 솔직한 심정이다. 문자 그대로, 달라진게 하나도 없다.

여전히 한국인들이 윈도 이외의 운영체계를 사용하면 국내 은행들과 인터넷 쇼핑몰들이 나서서 거래조차 하지 못하게 막아선다. 인터넷 강의를 들으려고 하면 상담사가 나서서 왜 굳이 (보안에 취약한) ActiveX를 지원하지 않는 운영체제를 쓰냐고 묻는다. 외국 기업인 마이크로소프트에게 라이센스 비용을 꼬박꼬박 지불하지 않으면 정부가 나서서 관공서 홈페이지에 접속조차 하지 못하게 괴롭힌다. 그런 와중에 정부는 남이 만든 리눅스 배포판에 남이 만든 멋들어진 스킨을 입혀준다는 명목으로 세금을 쏟는다. 손발이 맞지를 않는다. 하모니카 운영체제를 만들어줘도 국내 은행, 쇼핑몰, 인강, 관공서 홈페이지에 접속하지 못하는 것은 여전하다. 왜 근본적인 해결을 하지 않는가? 웹을 사용함에 있어서 홈페이지가 사용자에게 부가기능 설치를 강제하지 못하도록 하는 법률을 만드는 것이 가장 근본적인 해결책이 아닌가?

하모니카는 정부가 윈도 이외의 운영체계도 염두에 두고 있다는 것을 엿볼 수 있는 지표라고 생각한다. 의미없는 프로젝트는 아니다. 하지만 현 시점에서는 새로운 리눅스 배포판을 개발하는 것보다는 리눅스와 OS X에서 국내 웹사이트를 온전히 이용할 수 있도록 웹사이트가 부가기능 설치를 강제하지 못하도록 하는 것이 더욱 중요하다고 생각한다. 언젠가는 한국도 외국처럼 윈도를 사용하지 않아도 웹사이트를 온전히 이용할 수 있게 되길 바란다.

ps1. 처음 리눅스를 입문할 때에 Ubuntu라는 운영체계를 사용했었는데, 한글 입력을 비롯한 다양한 시행착오를 겪어보았다. 그렇기 때문에 이번 하모니카 프로젝트는 리눅스를 처음 사용하는 초보자들에게 진입장벽을 낮춰주는 충분히 의미있는 프로젝트라고 생각한다. 남의 것을 가져다 사용했다는 것에 대해서도 큰 거부감은 없다. 리눅스 민트 또한 우분투를 배낀 것이며, 우분투 또한 데비안을 배낀 것이다. 이는 오픈소스 생태계에서는 당연하게 여겨지며 도리어 권장되고 있는 것이다. 다만, 이러한 리눅스 배포판들이 널리 사용되기 위해서는 리눅스로도 전자상거래를 하고 관공서 홈페이지에 접속해서 필요한 작업을 할 수 있어야만 한다. 즉, ActiveX가 사라져야만 그 다음을 이야기할 수 있을것이다. 한편, 하모니카 프로젝트는 점진적으로 개발이 이루어지고 있다. 2014년 11월부로 정부의 지원이 종료되었으나, 꾸준히 새로운 배포판을 제공하고 있다. 공식 누리집에 방문해서 한 마디씩 응원하는 것도 좋을 듯 하다. (바로가기)

ps2. 마이크로소프트는 ActiveX를 더이상 Windows의 기능으로써 포함시키지 않을 것이니 사용하지 말아달라는 요청을 하고, IT 강국을 자처하는 모 정보는 조금만 더 기다려달라고 거듭 부탁을 하는 것은 꽤나 오래전부터 있었던 일이다. 2015년 3분기에 발매될 Windows 10에는 ActiveX 기능이 제거되어 보안상으로 안전한 새로운 웹브라우저 '스파르탄'이 포함된다. 이에 따라 IE와 ActiveX는 점진적으로 사라질 것으로 예상된다. 그러나 ActiveX가 지원되지 않는다는 이유로 리눅스와 매킨토시를 잘 사용하지 않는 한국의 모습을 보면 ActiveX가 과연 한국에서도 사라질 수 있을지 의문이 든다.

ps3. 구글은 보안상 문제가 있다는 이유로 2015년 9월부터 Chrome 브라우저에서 NPAPI 기능을 제거할 것이라고 예고하였다. (참고) 천송이코트 이후로 ActiveX 대신 사용되고 있는 설치식 보안 프로그램들은 IE 이외의 웹브라우저에서도 사용할 수 있다고 홍보되고 있는데, 이는 NPAPI라는 기술을 사용하는 것이다. 정확하게는 리눅스와 매킨토시를 제외한 윈도우에서만 IE와 Chrome, Firefox 등의 웹브라우저를 통해 설치식 보안 프로그램을 사용할 수 있다는 것인데, 구글의 NPAPI 지원 종료로 인해 다시 IE를 통해서만 인터넷 결제 등을 할 수 있을 것으로 보인다. 이에 정부는 구글코리아에 NPAPI 지원 종료 시기를 조금만 더 늦춰달라고 요청했으나, 거절당했다. (참고1, 2) 흥미로운 점은, 마이크로소프트와 마찬가지로 구글 또한 NPAPI의 지원 종료를 오래전에 예고했고, 그런 와중에 천송이코트에 대한 해결책으로 자칭 IT 강국은 곧 지원이 종료될 NPAPI를 선택했다는 것이다. 그러고서는 조금의 염치도 없이 '이제는 IE 이외의 웹브라우저에서도 보안 프로그램을 이용할 수 있으니 문제는 해결되었다'며 대대적으로 홍보했다. 사상누각과 진배없다. 비록 곧 사라질 기술을 통해 새로운 대책을 만들고, 보안상 문제가 있는 기술을 통해 보안 프로그램을 만들기는 했지만, IT 강국이라 주장하는 그 근거만큼은 사상누각이 아니기를 바랄 뿐이다.