보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

드디어 죽는구나, 플래시! 너, 소프트웨어 연쇄 살인마여!

  |  입력 : 2020-12-07 22:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
12월 31일부로 지원 종료되는 플래시…앞으로 개발, 유포, 업데이트 없어
소비자들에게 피해를 끼쳐도 괜찮은 현대의 개발 구조가 문제의 근원


[보안뉴스 문가용 기자] 드디어 올해를 끝으로 플래시는 역사 속에 묻히게 된다. 아마 아무도 그리워하지 않을 것이다. 아니, 오히려 우리 모두 12월 31일 축하연을 열어야 한다. 보안의 입장에서 보면 역사상 최악의 감염 요소가 사라졌기 때문이다. 플래시는 사이버 공간의 연쇄 살인마와 같은 존재였다고 필자는 생각한다. 하지만 플래시가 사라진다고, 플래시를 그런 지독한 존재로 만들었던 생태계는 그대로 남아 있다는 건 나쁜 소식이다.

[이미지 = utoimage]


플래시는 암적 존재였다
벌써 한참 전인 2017년 7월부터 약속했던 대로 어도비는 올해 12월 31일부터 플래시 플레이어(Flash Player)를 배포, 업데이트, 패치하지 않을 예정이다. 플래시는 2010년부터 2017년 사이에 10억 명이 넘는 사람들에게 악영향을 끼쳤다. 치명적인 취약점은 1500개 이상 발굴됐는데, 2015년에는 치명적인 제로데이가 하루에 하나 꼴로 나오기도 했었다.

주요 보안 전문가들은 목소리를 높여 플래시를 비판했지만 플래시의 전성기는 끝날 줄을 몰랐다. 그래서 오큐파이 플래시(Occupy Flash)라는 운동이 시작되기도 했고, 페이스북과 모질라와 같은 메이저 플레이어들이 플래시를 더 이상 사용하지 말자고 주장하고 나섰다. 스티브 잡스(Steve Jobs)가 플래시를 특히 싫어했다. 처음에는 그 자신도 플래시를 사용하는 듯 했지만, 그 경험이 오히려 그를 플래시의 가장 큰 적으로 만들었다.

잡스는 2010년 ‘플레시에 대한 소고(Thoughts on Flash)’라는 공개 서신을 통해 iOS 장비들에서 플래시를 영구히 금지시킬 것을 선언하며 그 이유를 밝혔다. 그는 시만텍(Symantec) 역시 플래시가 남긴 말도 안 되는 보안 족적을 비판했다는 것을 서신을 통해 지적함으로써 자신이 괴짜여서 플래시를 혼자 싫어하는 게 아니라고 강조하기도 했었다.

그러면서 서서히 ‘플래시에 뭔가 문제가 있다’는 걸 누구나 인지하기 시작했다. 이렇게나 난리가 나고 시스템이 무너지고 사람들의 눈에서 눈물이 나는데, 어도비는 별 영향을 받지 않았다. 플래시로 인한 직접적인 피해는 잘 비껴갔다는 것이다. 심지어 벌금을 내본 적도 없고, 거대한 계약이 플래시 관리 부실로 인해 파기된 적도 없다. 플래시를 믿고 사용하던 기업들만 취약점들에 시달리고, 이제는 플래시 교체에 시달리고 있는 상태다.

플래시의 수명이 다 되어가는 지금도 인터넷 인구의 2.5%가 여전히 플래시를 사용 중에 있다. 여기에는 수천 명의 기업 운영진과 개발자들, 수십만 명의 엔지니어와 일반 소비자들이 포함되어 있다. 이들 대부분 플래시가 얼마나 취약한지 잘 이해하고 있는데 말이다. 이런 사람들은 플래시의 마지막 숨이 꺼질 때까지도 플래시 대체제를 찾지 않을 것이다. 못하고 있을 것일 수도 있다. 플래시는 더 빨리 사라졌어야 했다.

어디서부터 잘못된 것일까?
소프트웨어가 한참 앞다투어 시중에 나오던 초창기에는, 출시일을 앞당기고 가격을 저렴하게 책정하는 것(따라서 저렴하게 생산하는 것)에 커다란 장점이 있었다. 게다가 이로 인한 후폭풍이랄 것도 거의 없었다. 사이버 범죄라는 말이 공상과학 소설에만 있던 때였다. 당시 개발사들은 이용자 약관에 ‘퍼블리셔들은 시험해보지 않은 소프트웨어를 출시해도 된다’고 적어놓기도 했다. 그래도 됐으니까. 누구도 ‘개발사의 잘못’이라는 개념을 떠올리지도 못했으니까.

물론 이런 현상에 긍정적인 면모가 없었던 것은 아니다. 소비자들이 이렇게 순진하게 돈을 써 줬기에 IT 기술의 혁신은 빨라질 수 있었다. 이런 기간이 꽤나 길게 이어졌다. 그리고 오늘 날 소프트웨어들은 그 때보다 훨씬 더 높은 품질을 갖추게 되었다. 환경도 바뀌었다. 덮어놓고 빠르게 출시했을 때의 이점이 줄어들었고 사이버 공격은 현실이 되었다. 그러면서도 소프트웨어는 조직의 더 많은 영역을 담당하고 있고, 따라서 작동이 안 되었을 때 끼치는 영향이 더 치명적으로 변했다.

결국 오랜 시간 전에 소프트웨어 업계와 시장이 누렸던 것 - 완성도 떨어지는 소프트웨어를 가지고 시장 선점 효과를 누리는 것 - 은 이제와 보니 디지털 경제의 근간을 기초부터 좀먹는 것이었다는 뜻이다. 빠른 혁신이 있을 수 있었다는 것도, 그저 잠깐의 ‘플루크’와 같은 것이었다.

소프트웨어 ‘연쇄 살인범’은 후대에도 있을 것이다
플래시는 웹 브라우징이라는 단 한 가지 기술 플랫폼에 제한되어 있었음에도 어마어마한 피해를 발생시켰다. 플래시의 전성기에는 이것이 ‘메이저’ IT 플랫폼이었기 때문이다. 오늘 날에는 수많은 사업 기능들이 다양한 플랫폼에서, 다양한 기기들을 통해 이뤄지고 있다. 모든 것이 온라인 상에 있고, 모든 것이 연결된 시대다. 사업 전체가 온라인에서만 이뤄지는 사례도 적잖다.

이렇게 모든 것이 디지털 세계에서 이뤄질 때, 그래서 디지털 데이터의 형태로 저장, 보관, 관리될 때 모든 것이 위험에 처하게 된다. 소프트웨어가 많아지고, 인프라와 플랫폼이 더 복잡해지면 질수록 이 위험 가능성은 더 커지게 된다. 그런 상황에서 자꾸만 트로이목마로 변하는 소프트웨어란 만악의 근원이 될 수밖에 없다.

그런데도 시장에는 자꾸만 소프트웨어 연쇄 살인마들이 나오고 있다. 플래시의 사례가 있음에도 말이다. 왜? 소프트웨어 개발사들이 여전히 출시일 앞당기기에 목을 매고 있기 때문이다. 그들의 그런 위험한(남들에게만) 사업 행위에 어떠한 처벌도 이뤄지지 않는다. 즉, 자신의 사용자들을 보호할 이유가 소프트웨어 개발사들에게 아직 주어지지 않았다는 뜻이다. 그럼에도 소비자들은 아직 목소리를 내지 않는다. 소프트웨어란 게 원래 그런 건가 보다, 어려우니까 그럴 수도 있겠다, 이게 이 바닥의 생리인가 보다, 라고 생각하고 넘어간다.

소프트웨어 품질이 불량한 것에 대해 우리는 과감히 지적할 수 있어야 한다. 아니, 여태까지 우리가 그들에게 ‘그래도 괜찮아’라고 얘기해준 것과 같은 태도로 소비해왔다는 것에 분노해야 한다. 플래시가 이토록 오랜 시간 문제를 일으켰으면서도 아직까지 살아남아 누군가의 추억거리가 되고 있다는 것에 책임을 느껴야 한다. 암적 존재이자 연쇄 살인마였던 플래시를 말이다.

이런 우리의 소비 문화와 개발 문화 자체가 개선되지 않는 한, 앞으로도 우리는 더 많은 플래시의 망령들을 마주하게 될 것이다. 수많은 기업들이 필요치 않은 손해를 입고, 심지어 도산하겠지만, 그럼에도 그 개발사들은 아무런 책임을 지지 않을 것이다. 소비자들도 그들에게 책임을 묻지 않을 것이다. 이런 상황을 막으려면 시장의 지금 흐름에 순응하면 안 된다. 내 사업이 죽은 건 당신 탓이라고 개발사들에게 말할 수 있어야 한다. 그것이 개발사들로 하여금 더 나은 소프트웨어를 만들 게 하는 방법이다. 그리고 그것이 우리 자신에 대한 보호법이다.

글 : 로템 이람(Rotem Iram), At-Bay
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비
      
마이크로포커스 2주 배너게재 4월23일~5월6일까지 2주게재