사용자 삽입 이미지

구글 크롬 사용자들은 오는 9월부터 인터넷뱅킹을 쓸 수 없게 된다. 구글이 크롬45버전(현재는 44버전)부터 ‘넷츠케이프 플러그인 API(NPAPI)’ 등을 지원하지 않겠다고 발표했기 때문이다. 크롬45버전은 9월 중 업데이트가 예정돼 있다.

국내 은행들은 인터넷뱅킹을 구현하기 위해 플러그인을 사용해왔다. 인터넷익스플로러에서는 여러분들도 잘 아는 ‘액티브X(Active-X)’를, 크롬이나 파이어폭스 등 비(非) IE 계열 웹브라우저에서는 NPAPI를 사용해 보안프로그램들을 구동시킨다. 개인방화벽, 백신과 같은 보안솔루션은 순수 웹으로 구현될 수 없기 때문에 반드시 실행파일의 형태로 로컬(사용자PC)에 설치돼야 한다.
사용자 삽입 이미지

지난달 출시된 윈도10의 웹브라우더 ‘엣지(EDGE)’에서 인터넷뱅킹이 안되는 이유가 ‘액티브X’가 지원되지 않기 때문이라고 설명하면 이해가 빠를 것이다. 크롬에서도 마찬가지다. NPAPI가 차단되면 인터넷뱅킹에 필요한 보안프로그램 구동이 불가능해지기 때문에 사용할 수 없다. 따라서 NPAPI가 차단되면 현행 오픈뱅킹 시스템의 변화도 불가피하다.
사용자 삽입 이미지

금융회사와 보안업계에서는 전자금융서비스 사용자 불편을 최소화하기 위해 통합설치 솔루션을 제공하고 있으나 이 솔루션 역시 NPAPI를 기반으로 동작한다.

현재 상황에서 NPAPI가 차단되면 우선 인터넷뱅킹에 로그인조차 할 수 없다. 공인인증모듈 자체가 호출되지 않기 때문이다. 현재 크롬 44버전에서는 통합 보안프로그램 설치프로그램 베라포트(Veraport)의 지원이 종료된다고 나온다.

보다 자세한 내용은 구글이 만든 동영상을 보자(하단)

◆NPAPI 차단에 대한 불만

개발자 커뮤니티에서는 구글이 NPAPI를 차단하는 이유가 자기들의 기술인 페퍼API(PPAPI)나 NaCl을 확산시키기 위한 것이란 지적도 나오고 있다. NPAPI가 오래돼 보안상 문제가 많은 기술인 것은 사실이나 웹브라우저 정책으로 이를 충분히 커버할 수 있다는 주장이다. 일리는 있다. 모질라는 NPAPI를 현재까진 지원하고 있으나, 권한을 제한하고 있다.

하지만 NPAPI를 종료하는 것만 따로 본다면 대부분의 웹브라우저 개발사들이 동조하고 있기 때문에 굳이 구글을 탓할 수는 없는 일이다. 게다가 구글은 NPAPI 대신 자신들의 PPAPI나 NaCl을 쓰라고 강요하진 않고 있다. (그래서 우리나라에서 나온 대안이란게...)

◆그래서 대안은?

NPAPI 차단에 대한 대안은 있다. 하지만 그 대안이 현재까지는 범용프로그램(exe)을 설치하거나 크롬 업데이트를 강제로 막는 것에 한정된다는 것은 아쉽다.

위즈베라, 소프트포럼, 예티소프트, 이니텍 등 금융보안프로그램 개발사들은 카드사에 공급한 exe형태의 보안프로그램을 제1금융권에 제시하고 있다. 웹브라우저에서 플러그인을 사용할 수 없으니 로컬에 보안프로그램을 설치해 상주시켜두고, 특정 웹사이트(인터넷뱅킹 등)에 접근하면 해당 보안프로그램이 호출되는 형태다. 이는 개인용 백신처럼 프로세스에 상주해 있다가 인터넷뱅킹을 사용할 때 실행이 되는 방식이다.

추천하진 않지만 크롬 업데이트 차단으로 인터넷뱅킹을 지속해서 쓸 수 있다. 물론 이렇게 쓰는 것은 보안에 큰 구멍이 생길 수 있음을 인지하자.

크롬 업데이트를 강제로 막는 방법은 ‘시작-실행-작업 스케줄러’에서 ‘GoogleUpdateTaskMachineCore’와 ‘GoogleUpdateTaskMachineUA’를 비활성화시키고, 시작프로그램(시작-실행-cmd-msconfig-시작프로그램)에서 ‘google update’를 언체크하면 된다.

한편 현재 크롬44에서 NPAPI를 강제로 활성화시키는 방법은 크롬 주소창에  ‘chrome://flags/#enable-npapi'를 입력한 뒤 ‘사용’을 클릭하면 된다.
2015/08/31 14:00 2015/08/31 14:00

트랙백 주소 :: http://kiku.delighit.net/trackback/238