인터넷에서 화려한 시각 효과를 지원하는 플러그인으로 한 시대를 풍미했던 ‘어도비 플래시 플레이어(Adobe Flash Player)’의 퇴출에 속도가 붙을 전망이다. 모바일 플랫폼에 제대로 대응하지 못한 점은 차치하고라도, 보안 취약점이 가장 많은 소프트웨어라는 오명을 벗지 못한 탓이다.

수많은 보안 취약점으로 속을 썩여온 어도비 플래시 플레이어의 퇴출이 임박했다.(사진=어도비)

보안 업계에 따르면, 지난해 발견된 제로데이(Zero-day) 공격에 사용된 취약점은 전년 24개 대비 두 배 이상 늘어난 54개로 사상 최대를 기록했다. 특히 가장 많이 악용된 5개의 제로데이 취약점 중 4개가 플래시 플레이어의 취약점인 것으로 나타났다.

제로데이 공격이란 특정 소프트웨어에서 알려지지 않은 취약점이나 이미 발견된 취약점에 대해 개발사가 패치를 배포하기 전까지 무방비 상태일 때 이뤄지는 공격을 말한다. 개발사가 보안 취약점의 존재를 인지하고, 이를 해결한 패치를 개발해 배포하기까지 물리적 시간이 필요하다는 점을 악용하는 것이다.

여기에 패치가 배포되더라도 해당 소프트웨어를 사용하는 사람들이 즉시 패치를 내려받아 설치한다는 보장도 없다. 개발사가 아무리 신속하게 패치를 내놓더라도 사용자가 패치를 적용하지 않으면 무용지물이다. 대부분의 사이버 범죄자들은 패치가 배포되면 다른 취약점을 찾아 공격하기 마련이지만, 패치를 적용하지 않은 사용자는 잠재적인 피해 가능성을 계속 안고 있는 셈이다.

해커들은 제로데이 취약점을 활용해 직접 정보를 탈취하거나, 다른 해커에게 정보를 판매해 수익을 거둔다. 결국 사용자가 많은 인기 소프트웨어일수록 해커들이 군침을 흘릴 수밖에 없다. 애플 맥 OS X보다 마이크로소프트(MS)의 윈도가, 한컴 한글보다 MS 워드가 더 많은 공격을 받는 것도 이 때문이다.

인터넷에서 광범위하게 사용돼온 어도비 플래시 또한 예외는 아니다. 최근에도 플래시의 제로데이 취약점(CVE-2016-1019)을 악용한 신종 랜섬웨어가 국내에 유포된 사실이 확인돼 보안 업계가 긴급 대응에 나선 바 있다. 현재 해당 취약점에 대해서는 어도비가 패치를 배포한 상태다. 지난해 국정원과 거래한 것으로 구설수에 오른 바 있는 이탈리아의 해킹팀도 플래시 취약점으로 인해 정보가 유출된 것으로 드러났다.

해커가 플래시의 제로데이 취약점을 악용할 경우, 사용자는 플래시 광고 등이 포함된 웹사이트에 접속하는 것만으로도 악성코드에 감염될 수 있다. 사실상 대부분의 인터넷 사용자들이 타깃이 되는 것이나 다름없다. 그럼에도 플래시 취약점은 현재까지도 거의 매달 하나 이상 보고되는 추세다.

이렇듯 플래시를 통한 보안 사고가 지속적으로 발생하면서 주요 IT 업체들도 플래시 폐기에 적극 동참하고 있다. 이미 몇 해 전부터 플래시와 거리를 두기 시작한 주요 인터넷 서비스 업체들은 현재 HTML5 웹 표준 기술로의 전환을 끝냈다. 구글은 크롬 브라우저에서 플래시 자동 재생을 중지시켰고, MS도 조만간 엣지 브라우저에 비슷한 기능을 도입할 예정이다.

보안 취약점 문제 외에도 플래시는 화려한 시각 효과 구현을 위해 과도한 시스템 자원과 배터리를 소모한다는 지적을 받아왔다. PC에서는 그리 큰 문제가 아니지만, 스마트폰 등 모바일 기기라면 얘기가 다르다. 인터넷 서비스 업체들은 사용자 편의성 측면에서도 플래시가 더 이상 유용한 기술이 아니라는 판단을 내리고 있다.

보안 업계 관계자는 “보안의 중요성이 갈수록 강조되고 있는 시점에서 이미 해커들의 먹잇감으로 전락한 플래시의 퇴출은 예정된 수순”이라며 “플래시 외에도 운영체제와 브라우저 등 주로 사용하는 프로그램은 언제든 제로데이 취약점에 노출될 수 있기 때문에 사용자들은 최신 보안 패치 적용을 생활화할 필요가 있다”고 말했다.

노동균 기자 saferoh@chosunbiz.com