어도비 플래시 플레이어(Adobe Flash Player) 지원이 31일 종료된다. 이에 인터넷 사용자들과 웹 사이트 제작사들의 각별한 주의가 요구된다.
◇이용자, 웹사이트 운영자는 무슨 조치를? = 그간 인터넷 브라우저 사용자들은 ‘Flash Player는 2020년 12월 이후 더 이상 지원되지 않습니다’라는 알림을 받아왔다. 어도비 플래시 플레이어는 브라우저에서 게임, 음악 등의 콘텐츠를 제작하고 재생하도록 하는 소프트웨어다. 2000년대 초 인터넷 웹 생태계가 조성되던 무렵, 각종 플래시 게임들을 제작하는 툴로 자리매김했다. 웹사이트 대문에 애니메이션을 넣거나 배경음악을 재생하는 데 활용되곤 했다.
어도비 플래시 플레이어가 대중화됨에 따라 보안 취약점이 속속 드러나기 시작했다. 어도비 플래시 플레이어를 통한 해킹 문제가 대두된 것. 웹사이트에서 배너광고만 봐도 랜섬웨어에 감염되는 사례나, 제로데이 공격으로 임의코드 실행에 따른 정보 노출되는 사례들이 이에 해당한다. 콘텐츠 제작사나 웹사이트 운영사에서 플래시 제작 후 웹사이트에 게시하면 여기에 노출된 이용자들이 보안위협에 노출될 가능성이 생기는 것이다.
어도비는 2017년 7월 플래시 플레이어에 대한 지원 종료 계획을 이미 발표했다. 이에 따른 업데이트들이 진행되고 있어 일반 인터넷 사용자들은 별다른 조치를 취하지 않아도 된다.
마이크로소프트는 홈페이지를 통해 10월 27일 어도비 플래시 플레이어에 관한 업데이트 사항을 공지했다. 업데이트를 적용하면 사용자의 운영체제에서 어도비 플래시 플레이어가 제거된다는 것이다. 구글 크롬, MS 엣지(크로미움 기반), 애플 사파리, 모질라 파이어폭스 등을 사용하는 경우 어도비 플래시 플레이어를 따로 제거하지 않아도 된다.
다만 구버전 엣지와 인터넷 익스플로러11는 내년 여름부터 어도비 플래시 플레이어 기능을 제거한다. 31일 이후 해당 브라우저를 사용하는 경우 어도비 플래시 플레이어를 따로 비활성화하거나 사용에 각별히 유의해야 한다.
◇ 보안 사고 막기 위한 과기정통부, 실효성은? = 인터넷 사용자가 아닌 웹 콘텐츠 제공자가 더 신경써야 할 부분이 있다. 플래시 지원 종료에 대비해 웹 브라우저를 개발하거나 HTML5 등 다른 포맷으로 전환하지 못한 경우 보안 취약점에 노출될 수 있기 때문이다.
카카오는 17일 보도자료를 통해 다음 웹사이트, 카카오TV, 다음에디터 등에서 사용하는 플래시를 제거하고 ‘HTML5’, ‘WebGL’, WebAssembly’ 등 개방형 웹 표준기술을 활용해 대체하겠다고 밝힌 바 있다. 카카오TV와 카카오맵은 이미 10월~11월에 걸쳐 이용자를 대상으로 플래시 관련 기능 종료와 업데이트를 공지했다.
네이버도 마찬가지다. 가계부나 블로그 배경음악 등 플래시를 활용하는 서비스를 개편‧종료하며 대응하고 있다. 1월에는 플래시를 기반으로 운용하던 네이버 지도의 거리뷰 기능을 업데이트, 플래시 없이 이용할 수 있도록 손질했다.
다만, 네이버나 카카오처럼 시스템 개편에 나설 여력이 없는 웹 브라우저 제작사의 보안 공백 우려가 제기된다. 과기정통부는 3일 보도자료를 통해 한국인터넷진흥원(KISA)와 보안위협 대응을 위해 비상 대응 체계를 운영하겠다고 밝혔다. 어도비 플래시 관련 취약점에 대한 모니터링을 강화하고, 악성코드 출현 시 전용 백신을 제작ㆍ배포하겠다는 것이다.
문제는 그간 과기정통부의 대처가 액티브X(ActiveX) 종료에 쏠려 있었다는 것이다. 어도비 플래시 플레이어는 콘텐츠를 ‘제작’하는 소프트웨어, 액티브X는 플래시 콘텐츠를 ‘재생’하기 위해 PC에 설치되는 소프트웨어다. 콘텐츠 제작사나 웹사이트 운영사들이 계속해서 플래시로 콘텐츠를 제작하고 이용자가 액티브X가 설치된 PC로 서비스를 이용할 경우 보안위협에 노출될 가능성이 여전히 존재한다.
특히 어도비에서 추가적으로 보안 취약점이 발견돼도 이에 대한 업그레이드를 하지 않는다고 공지한 만큼, 아직 남아있는 플래시 기반 콘텐츠의 보안 위험이 발생할 수 있는 것이다.
문재인 대통령은 19대 대선 당시 액티브X와 공인인증서를 없애겠다는 공약을 내건 바 있다. 이에 과기정통부는 2018년과 2019년 ‘민간 500대 웹사이트 플러그인 사용 현황 조사결과’를 발표하며 민간 웹사이트에서 ‘액티브X’를 얼마나 제거해왔는지 점검해왔다.
반면 12월 31일 종료되는 어도비 플래시 플레이어에 대한 내용은 미진하다.
과기정통부 관계자는 “플래시는 조사하기도 어렵고 조사된 자료도 없다”라며 “플래시로 제작된 콘텐츠를 다 웹 표준으로 전환을 해야 하는데 개수가 너무 많아 일일이 전환 비용을 대주기 어렵다”고 말했다.
이어 “작년에 각종 협회들을 만나며 플래시를 계속 사용하면 보안 취약점이 있을 수 있다고 공지했다”고 설명했다.