곧 수명 끝나는 어도비 플래시, 웹 환경은 어떻게 달라지나

2021년 1월 1일, 어도비 플래시 기술지원 종료...Q&A로 풀어보는 대응방법
1월 12일부터는 플래시 플레이어에서 플래시 콘텐츠 실행도 차단

[보안뉴스 이상우 기자] 새해가 밝아오는 내일이면 어도비 플래시에 대한 기술지원이 완전히 종료된다. 이로써 수 년간 웹 브라우저의 주요 보안 취약점으로 지목된 플래시가 완전히 사라지는 계기가 마련됐다. 플래시의 역사는 웹 콘텐츠의 역사와 함께 했다고 해도 지나치지 않다. 과거 텍스트나 사진 등으로 단순했던 웹 콘텐츠는 플래시라는 플러그인을 통해 더 화려하게 변모했다. 웹에서 애니메이션이나 짧은 동영상을 볼 수 있는 것은 물론, 웹에서 다양한 장르의 게임을 구현하는 것도 가능했다. 콘텐츠적인 측면뿐만 아니라 웹 디자인에서도 드롭다운 메뉴 제작 등 활용도가 높았다.

[이미지=pixabay]

하지만, 웹 브라우저 플러그인이라는 태생적인 한계 때문에 보안이 상대적으로 취약했으며, 이를 악용한 사이버 공격 역시 끊임없이 이어졌다. 지금까지 발견된 취약점만 1,500여개에 이르며, 이를 보완하는 패치가 등장하더라도 새로운 취약점이 또 다시 등장하는 악순환의 연속이었다.

이러한 이유에서 어도비는 지난 2017년, 주요 기업과 협력해 지원 종료시점을 2021년 1월 1일로 발표했다. 어도비 측은 “지난 2017년 플래시 플레이어의 지원 종료를 발표한 이후, 기업의 전환 계획에 대한 커뮤니케이션과 지원을 해왔다. HTML5, 웹GL, 웹어셈블리와 같은 개방형 표준 역시 발전을 거듭하며 플래시 콘텐츠의 대안이 됐다”며, “향후 플래시 플레이어를 다운로드해 설치한 사용자들은 컴퓨터에서 플래시 플레이어를 제거하라는 메시지가 표시된다. 이는 선택사항이지만, 2020년 말 이후에는 공개된 플래시 기반의 콘텐츠는 더 이상 실행되지 않기 때문에 플래시 플레이어를 제거하는 것을 권장한다”고 말했다. 그렇다면 플래시 지원 종료 이후 우리가 사용하는 웹 환경은 어떻게 달라질까?

플래시를 직접 삭제해야 하나
어도비 홈페이지에서 플래시 플레이어를 내려받아 설치한 컴퓨터에서는 메시지 창을 통해 삭제할 것을 안내한다. 해당 창에 있는 절차를 따라 진행하면 플래시 플레이어를 삭제할 수 있다.

▲플래시 플레이어 제거 안내 창[자료=보안뉴스]

웹 브라우저에서는 어떻게 되나
애플 사파리 브라우저의 경우 올해 9월부터 플래시 플레이어를 더 이상 사용할 수 없도록 완전히 차단했다. 구글 크롬과 MS 엣지 등 크로미움 기반 브라우저와 파이어폭스는 현재 플래시를 선택적으로 실행할 수 있도록 해놨으나, 내년 1월부터는 실행할 수 없도록 차단한다. 이에 브라우저 업데이트만 제대로 진행하면 플래시와 작별할 수 있다. 내년 1월, 크로미움 모든 버전에서 플래시를 차단하며, 88버전에서는 지원기능을 제거할 계획이다. 파이어폭스 역시 85버전에서 플래시를 제거한다.

인터넷 익스플로러 등 기타 웹 브라우저의 경우 업데이트를 통한 플래시 차단할 계획은 없다. 다만 어도비는 지원 종료 및 플래시 콘텐츠 차단 계획을 발표했고, 윈도우 운영체제 역시 장기적으로 운영체제 자체에서 플래시를 걷어낼 계획이다.

사용자는 플래시를 계속 쓸 수 있나
안타깝지만 어도비는 내년 1월 1일 지원 종료 이후에도 1월 12일부터 플래시 플레이어에서 더 이상 플래시 기반 콘텐츠를 실행할 수 없도록 차단할 예정이다. 다만, 사용자 컴퓨터에 설치한 플래시 플레이어는 계속 남아 있기 때문에 시스템 보호를 위해 삭제하는 것을 권장한다.

플래시 플레이어 설치 파일을 별도로 내려받을 수 있나
어도비는 1월 1일부터 현재 제공 중인 설치 페이지를 제거한다. 사용자가 외부 사이트에 등록된 플래시 플레이어 설치 파일을 내려받을 수는 있지만, 이는 어도비가 권장하는 방법이 아니다. 출처를 알 수 없는 곳에서 내려받은 파일을 실행하는 것은 악성코드 주요 감염 경로임을 명심해야 한다.

▲플래시 플레이어 설치 페이지[자료=보안뉴스]

플래시 콘텐츠는 무엇으로 대체하나
이미 어도비는 3년 전부터 플래시 지원 종료를 발표해 왔으며, 이는 웹 표준 기술로 전환하기에 충분한 시간으로 판단된다는 것이 어도비의 설명이다. 실제로 HTML5, 웹GL, 웹어셈블리(WebAssembly) 등 플래시를 대체할 개방형 표준은 충분히 존재한다.

2007년부터 3,700여개의 플래시 게임 콘텐츠를 자사의 플랫폼에서 서비스해온 아머게임즈의 경우 2014년부터 HTML5 게임 수가 급증해 2017년에는 기존 플래시 게임 수를 초과했다고 밝혔다. 어도비 역시 2016년부터 자사의 플래시 콘텐츠 제작 도구를 HTML5 콘텐츠 제작 기능을 갖춘 도구(어도비 애니메이트)로 변경하면서 기존 SWF 콘텐츠를 HTML5 콘텐츠로 전환하는 방법 등을 안내하기도 했다.

국내 역시 오래 전부터 한국인터넷진흥원이 HTML5 기술지원센터 등을 통해 웹 표준 전환 및 기술지원 등의 사업을 진행한 바 있다.

플래시 콘텐츠를 유지할 수밖에 없다면 어떻게 해야 하나
어도비 플래시 플레이어 공식 유통 파트너인 하만 인터내셔널은 플래시 기반 서비스를 당장 전환하기 어려운 기업을 위해 자체적으로 2023년까지 어도비 플래시 플레이어에 대한 지원을 실시한다. 서비스 제공기업은 이를 통해 향후 3년간 기존 서비스를 그대로 제공할 수 있다.

일례로 국내에서는 네이버 웨일이 플래시 플레이어 모듈을 내장한 별도 브라우저를 제공하며, 하만을 통해 유지보수를 제공할 계획이다. 다만, 이러한 계획은 기업이 3년간 더 플래시를 유지하는 명분이 아니라 웹 표준으로 전환할 수 있는 시간이라고 이해하는 것이 좋다.

플래시 플레이어를 제거하지 않으면 무슨 일이 발생하나
최신 웹 브라우저의 경우 플래시를 자동 차단하기 때문에 문제가 없지만, 자동 차단 기능이 없는 인터넷 익스플로러 등을 사용할 경우 웹 페이지에 있는 플래시 콘텐츠가 자동으로 실행된다. 만약 공격자가 해당 콘텐츠를 악용한다면 사용자는 이러한 공격에 노출될 수 있다. 때문에 최신 웹 브라우저 사용 및 플래시 플레이어 제거를 권장한다.

플래시 콘텐츠의 추억은 어떻게 하나
끊임없는 보안 취약점이 발견됐음에도 불구하고, 많은 사용자에게 플래시 게임이나 애니메이션은 추억의 일부다. 이 때문에 플래시와 관련한 에뮬레이터 등 다양한 방법을 고안하고 있다. 대표적인 것이 러플(Ruffle)이다. 러플은 오픈소스 프로젝트로, 웹 표준 기술인 웹어셈블리(WebAssembly)를 이용하는 일종의 플래시 플레이어 에뮬레이터다. 현재 완벽하게 개발이 완료되지는 않았으나 이를 통해 기존과 마찬가지로 웹 브라우저를 통해 플래시 콘텐츠를 이용할 수 있다. 특히, 웹어셈블리는 실제 컴퓨터가 아닌 샌드박스 환경에서 실행되기 때문에 보안 취약점에서 상대적으로 안전하다.
[이상우 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)