Home > 전체기사

보안에 발목 잡힌 어도비 플래시, 지원 종료 카운트다운 돌입

  |  입력 : 2020-11-03 17:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 유포 등 대표적인 보안 구멍 어도비 플래시 플레이어, 12월 31일 지원 종료
내년 1월 주요 브라우저에서 제거...내년 말에는 윈도우에서도 퇴출할 듯
사용자는 업데이트만 잘 해도 무방하나, 서비스 제공자는 웹표준 기술로 대체해야


[보안뉴스 이상우 기자] 플래시 플레이어에 대한 어도비의 공식 지원 종료(Adobe Flash Player EOL, End Of Life)가 두 달 앞으로 다가왔다. 물론 지원을 종료한다고 해서 한 순간에 모든 플래시 플레이어가 작동을 멈추는 것은 아니며, 웹 브라우저에 따라 사용자가 선택적으로 플래시 작동을 허용해 콘텐츠 및 기능을 실행하는 것도 가능하다.

▲오는 12월 31일, 어도비 플래시 플레이어에 대한 모든 지원이 종료된다[캡처=보안뉴스]


하지만 보안 취약점 개선 등의 패치를 받을 수 없는 만큼 해커가 해당 웹사이트나 사용자 PC를 공격하는 경로로 사용할 수 있다. 무엇보다 윈도우 운영체제에서도 플래시를 제거할 계획을 세우고 있는 만큼 사용자와 웹 서비스 운영자 모두 플래시에 대한 의존도를 줄여야 한다.

웹 콘텐츠 구현에 효자 노릇했지만, 이제는 천덕꾸러기 신세
플래시는 웹에서 텍스트나 사진 외에 다른 기능과 콘텐츠를 구현하기 어려운 과거에 대표적인 제작 및 개발 도구로 쓰였다. 국내에서도 이러한 플래시 애니메이션이 크게 유행해 개인 제작자뿐만 아니라 오인용, 홍스구락부 등 전문 콘텐츠 제작팀과 사이트까지 생겨날 정도였다.

사용 분야 역시 넓다. 애니메이션을 재생하는 기본적인 용도를 넘어 액션스크립트라는 개발 언어를 통해 플래시 기반 웹 게임을 개발할 수도 있고, 웹 페이지에 있는 반응형 메뉴 같은 웹 디자인, 움직이는 배너광고를 제작하는 용도로도 쓸 수 있다. 이처럼 웹 브라우저에서 다양한 기능을 구현할 수 있게 해주는 만큼 표준 기술은 아니지만, 마치 표준처럼 널리 쓰인 기술이다.

그러나 플래시는 해커의 주요 공격 표적 중 하나이기도 했다. 일반적인 소프트웨어가 아닌 웹 브라우저 기능 확장을 위한 플러그인이기 때문에 일반 소프트웨어보다 상대적으로 보안이 취약하며, 이러한 취약점을 통해 해커가 웹사이트 방문자에게 악성코드를 주입하는 등 악용할 수 있다. 실제로 몇 년 전에는 국내 대형 커뮤니티에 게시된 플래시 광고를 통해 ‘CryptoXXX’라는 이름의 랜섬웨어가 유포되는 사고도 발생했다. 이러한 취약점 발견과 보안 패치는 몇 년간 반복됐으며, 불과 한 달 전인 10월 15일에도 임의코드 실행 취약점이 발견돼 보안 업데이트를 진행한 바 있다.

▲CryptoXXX 랜섬웨어[캡처=보안뉴스]


플래시 플레이어는 보안이 취약하다는 점 외에도 클라이언트 사이드 도구인 만큼 사용자 시스템 자원을 과도하게 점유한다는 지적도 있고, HTML5, 웹GL, 웹어셈블리 등 개방형 웹 표준 기술 성장으로 플래시를 대체할 수 있게 된 만큼 굳이 플래시를 고집할 이유가 사라졌다.

이 때문에 어도비는 지난 2017년 7월 25일, 플래시 플레이어에 대한 지원 종료 계획을 발표했으며, 운영체제 및 웹 브라우저 개발사와 조율해 종료 시점을 2020년 12월 31일로 결정했다. 올해 말까지는 호환성 및 보안 업데이트를 제공하지만, 이후에는 기존의 플래시 플레이어 설치 페이지 자체를 내릴 계획이다. 또한, 올해 말까지 사용자 PC 화면에서도 안내창을 띄워 플래시 플레이어를 삭제할 수 있도록 지원할 계획이다.

▲어도비는 지원 종료 두 달을 앞두고 플래시 플레이어 삭제를 권장하고 있다[캡처=보안뉴스]


지원 종료 계획에 맞춰 구글, 마이크로소프트, 모질라, 애플 등 주요 운영체제 및 브라우저 개발사 역시 플래시를 배제하고 있다. 이미 대부분의 웹 브라우저에서 기본 설정 시 플래시 실행이 차단된 상태며, 사용자가 필요할 경우에만 이를 실행할 수 있도록 했다. 구글 크롬과 MS 엣지(크로미움) 등 크로미움 기반 브라우저는 내년 1월부터 모든 버전에서 플래시를 완전 차단한다. 모질라 파이어폭스 역시 2019년 파이어폭스 69 버전부터 사용자 선택에 따라 플래시를 실행하도록 개선했으며, 2021년 파이어폭스 85 버전에서는 플래시를 완전히 걷어낸다.

이와 함께 마이크로소프트는 2020년 6월 실시한 윈도우 업데이트(KB4561600)를 진행하지 않은 PC에서도 내년 1월부터 플래시를 차단할 계획이다. 또한, 마이크로소프트는 내년 중 ‘어도비 플래시 플레이어 제거를 위한 업데이트(Update for Removal of Adobe Flash Player)’를 통해 윈도우 운영체제 자체에서 플래시를 밀어낼 계획이다. 2021년 초에는 이를 선택적 업데이트로 제공하지만, 몇 개월 뒤에는 필수 업데이트로 바뀔 예정이다.

플래시 종료에 어떻게 대응해야 하나
이번 플래시 지원 종료는 올해 경험한 ‘윈도우 7’이나 ‘오피스 2010’ 지원 종료와는 결이 다르다. 윈도우나 오피스는 지원 종료 시점 이후에도 이를 사용하는데 아무런 지장이 없었으며, 보안과 관련해서도 인터넷이나 외부저장장치 연결에 주의를 기울이는 조치를 통해 상대적으로 안전한 사용이 가능했다.

이와 달리, 플래시는 어도비뿐만 아니라 해당 플러그인을 사용하는 웹 브라우저 및 운영체제 개발사 역시 동참하는 상황이다. 쉽게 말해 플래시 플레이어를 쓰고 싶어도, 쓸 수 있는 ‘플랫폼’이 사라지는 셈이다. 이에 웹을 통해 정보와 서비스를 제공하는 모든 기업은 올해가 가기 전에 플래시 기반 콘텐츠와 웹 페이지 기능을 웹표준 기술로 대체해야 한다.

그렇다면 사용자는 플래시 지원 종료에 어떻게 대응해야 할까? 자동 업데이트를 설정했다면 아무 것도 하지 않아도 된다. 앞서 언급한 것처럼 대부분의 웹 브라우저에서 플래시 실행을 기본적으로 제한하고 있으며, 대표적인 웹 브라우저 3개가 내년 1월에는 플래시를 완전히 걷어낸다. 또한, 마이크로소프트 역시 장기적으로는 운영체제에서 플래시를 지원하지 않을 계획이기 때문에 아무런 조치를 하지 않아도 된다. 또한, 플래시 플레이어가 설치된 PC에서는 올해 말까지 PC를 켜면 지원 종료 및 제거 안내 창이 나타나기 때문에 플래시 콘텐츠를 이용하지 않는 사람이라면 직접 삭제해도 된다.

굳이 사용하겠다면 과거 내려받은 플래시 설치 파일과 인터넷 익스플로러를 이용할 수도 있지만, 지원 종료 이후 발생하는 보안 사고에 대해서는 스스로 책임져야 한다는 점을 명심하자.

서비스 제공자는 플래시 의존도 낮추고 웹표준 기술로 대체해야
사실 사용자보다는 서비스 제공자가 신경써야 할 부분이 많다. 2019년을 기준으로 국내 500대 사이트 중 361개가 플래시 플레이어를 포함해 아무런 플러그인 없이 사용할 수 있는 ‘플러그인 프리’ 사이트로 조사됐으며, 올해 통계를 반영하면 이 수는 더 늘어날 것으로 보인다. 하지만 상대적으로 규모가 작은 인터넷 서비스 기업이나 중소기업 홈페이지 같은 경우는 여전히 플래시를 이용하고 있다.

▲국내 500대 인터넷 사이트 중 플러그인 프리 사이트 수[그래프=한국인터넷진흥원]


HTML5 기술지원센터의 통합 진단 도구를 통해 주요 사이트의 URL을 기반으로 플래시 사용 여부를 확인해본 결과 네이버(포털 사이트), 다음(포털 사이트), 루리웹(커뮤니티), 쿠팡(소셜커머스) 등 플래시를 단 하나도 사용하지 않는 인터넷 서비스 기업이 많다.

반면, 웹툰 플랫폼 ‘ㅌ’에서는 3개, 가격비교 서비스 ‘ㄷ’에서는 18개, 동영상 플랫폼 ‘ㅍ’에서는 무려 4,004개나 사용하고 있는 것으로 나타났다. 앞서 랜섬웨어가 유포된 커뮤니티 ‘ㅃ’ 역시 여전히 플래시 사용 콘텐츠가 5개가 나왔다. 플래시 의존도를 낮추지 않을 경우 당장 눈앞에 다가온 보안 문제는 물론, 윈도우 운영체제 자체에서 지원하지 않겠다고 발표한 2021년 후반에는 소비자가 해당 사이트를 전혀 이용할 수 없게 된다.

▲국내 한 동영상 플랫폼에서 사용 중인 플래시 기반 콘텐츠 수[표=한국인터넷진흥원]


또한, 중소기업 홈페이지의 경우 단순히 구색을 맞추기 위해 개발한 경우가 많고, 웹 개발 및 디자인 편의를 위해 상단 드롭다운 메뉴 등 반응형 항목을 플래시로 제작한 사례도 많다. 특히, 이러한 사이트의 경우 관리 역시 제대로 이뤄지지 않는 경우가 많아 해커가 이를 거점으로 다른 사용자를 공격할 가능성도 있다.

이제는 플래시를 놓아줘야 할 시간
플래시 기반 콘텐츠를 보존하려는 움직임도 있다. 가령 플래시 게임 포털 ‘아머게임즈(ArmorGames)’의 경우 홈페이지에 등록된 플래시 콘텐츠만 1만여 개에 이른다. 이러한 콘텐츠를 웹표준 기술로 새롭게 포팅하려면 엄청난 작업이 필요하며, 이미 안드로이드 등 다른 플랫폼으로 옮겨간 개발자를 설득하는 일 역시 어려울 것으로 보인다. 플래시 콘텐츠는 다양한 디지털 콘텐츠를 언제 어디서나 접할 수 있는 오늘날에는 그리 흥미를 끌만한 콘텐츠가 아니다.

하지만 누군가에게는 이러한 콘텐츠가 추억일 수도 있다. 이에 따라 이러한 플래시 콘텐츠를 영구적으로 아카이빙하고, 독립 소프트웨어를 통해 실행할 수 있도록 하는 ‘플래시포인트’ 등의 다양한 프로젝트 역시 진행 중이다.

어도비 플래시 플레이어는 추억인 한편 구시대 월드 와이드 웹의 유물이기도 하다. 사용자 PC에 플래시 플레이어만 설치돼 있으면 기존 HTML로는 구현하기 어려운 다채로운 콘텐츠를 제공할 수 있는 만큼 서비스 제공자나 사용자 모두에게 유용한 기술이었다. 하지만 사용자가 많고 해커가 공격하기 상대적으로 쉬운 영역이었기에 취약한 보안은 언제나 논란이 돼 왔다. 게다가 오늘날 플래시를 대체할 수 있는 표준 기술은 너무나도 많다. 어도비가 플래시를 놓아줬듯, 우리도 이제 플래시를 놓아줄 시간이다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)