본문 바로가기

IT/IT일반

플래시 논란, 어도비가 결정해야 한다


 생전 스티브 잡스는 어도비의 플래시(Flash)를 싫어했습니다. 애플과 어도비의 관계도 생각해봐야겠지만, 잡스가 주장했던 건 자사 아이폰과 아이패드에 커다란 보안 구멍을 뚫어 놓을 수 없다는 거였죠. 덕분에 모바일에 대응하고자 HTML 5로 전환하는 웹 사이트가 늘긴 했습니다.
 


플래시 논란, 어도비가 결정해야 한다
 
 플래시의 보안 논란은 하루 이틀 문제가 아닙니다. 그 밖에 시스템 자원을 많이 잡아먹는 점도 지적되지만, HTML 5와 경쟁한다는 점에서 그러려니 하더라도 워낙 많이 사용하는 도구인 탓에 보안 문제는 개인뿐만 아니라 기업이나 관공서 등 기관에서도 골칫거리입니다. 그리고 이제 다시 플래시를 둘러싼 논란이 수면 위로 떠올랐습니다.
 
 


 이탈리아 해킹 업체 해킹팀(Hacking Team)이 해킹을 당했습니다. 고객 정보와 함께 내부 자료가 거의 다 노출되었는데, 여기서 치명적인 플래시 취약점이 발견되었습니다. 이어 해당 취약점을 악용한 랜섬웨어가 곧 등장하는 등 상황이 심각해졌습니다.
 
 어도비는 플래시 플레이어의 보안 패치를 발표했지만, 보안 뉴스에 취약한 계층은 한동안 취약점에 노출될 수 있어서 아직 사태가 해결되었다고 볼 수 없죠. 이전부터 플래시 보안에 대해 말이 많았으나 이번에 터진 문제는 실제 취약점을 공격로로 빠르게 사용하여 피해를 줬다는 점에서 플래시를 만악의 근원으로 볼 단초를 주었습니다.
 
 페이스북 최고보안책임자(CSO)인 앨릭스 스태모스(Alex Stamos)는 자신의 트위터에 '어도비는 플래시의 종료를 발표해야 하고, 설치를 방지할 설정을 제공하도록 브라우저들에 요청해야 한다.'고 말했습니다. 과거 플래시와 밀접한 기업 중 하나였던 페이스북이기에 더 의미가 있다고 할 수 있습니다.
 
 이어 모질라는 자사 웹 브라우저인 파이어폭스에 플래시 차단 기능을 제공하고 나섰습니다. 현재 파이어폭스를 실행하면 플래시의 접근 여부를 묻는 설정 창이 등장하고, 플래시 플레이어를 삭제하지 않더라도 플래시에서 발생할 수 있는 보안 문제에서 일시적으로 벗어날 수 있습니다. 플래시 콘텐츠를 꼭 실행해야 하면 해당 콘텐츠만 허가할 수 있으므로 사용에 큰 방해가 되진 않습니다.
 
 


 어도비는 공식적으로 '플래시의 보안을 강화하고자 노력하고 있다.'라고 밝히면서 앞서 유출된 36개 취약점 외 새로운 취약점 2개를 공개했습니다. 이어지는 비판에 최대한 빠르게 대처하겠다는 것이지만, 뒤집어 놓고 보면 대응 방식은 기존과 다를 게 없습니다. 스태모스의 발언이나 모질라의 대응에 플래시 논란이 가중되었지만, 앞으로 플래시를 어떻게 하겠다는 의견을 내비치진 않았다는 겁니다.
 
 사태가 벌어진 지 일주일가량 지났음에도 보안 패치를 하겠다는 것 외 별다른 표명이 없다는 것이 문제라는 거죠. 가령 브라우저들과 협의하여 강하게 업데이트를 권고하는 등 사태의 심각성을 보자면 좀 더 적극적으로 움직일 필요가 있습니다. 무엇보다 이번 사태는 경고 수준이 아닌 보안 취약 계층이 실질적인 피해를 장기적으로 입을 수 있는 오랜 시간 곯은 부분이 터진 것이므로 대책도 논의해야 합니다.
 
 필자는 어도비가 2가지 선택지 하나를 결정해야 한다고 생각합니다. 첫 번째는 스태모시가 말한 것처럼 플래시를 종료하는 것인데, 이미 어도비는 HTML 5 기반의 저작도구인 엣지(Edge)를 내놓았기에 굳이 플래시에 집착할 이유가 없습니다. 물론 HTML 5로 플래시를 완벽하게 대체할 수는 없지만, 폭탄을 안고 가야 하는 어도비로는 딱히 아쉬울 게 없다는 겁니다.
 
 두 번째는 오픈소스 기반으로 전환하는 것입니다. 이미 어도비 플래시의 대안인 오픈소스 기반의 플래시 플레이어는 존재합니다. 다만 성능이 부족해서 대안으로 자리 잡지 못했는데, 플래시를 포기할 생각이 없다면 차라리 어도비가 주도적으로 플래시를 오픈소스로 기반으로 돌려놓아서 외부 참여를 늘리는 거죠. 플래시는 널리 보급된 소프트웨어임에도 어도비 독점적으로 소유하면서 모든 관련 이슈를 처리하고 있는데, 보급률을 생각한다면 오픈소스도 피해를 줄이는 방법이 될 수 있습니다. 그렇다면 굳이 플래시를 종료하지 않아도 되겠죠.
 
 


 어도비의 긴급 패치가 있었던 후 모질라는 파이어폭스에서 차단한 플래시 콘텐츠를 다시 허용했습니다. 웹 브라우저의 역할을 생각하면 당연한 조치지만, 결과적으로는 플래시 논란에 대한 목소리를 높일 기회가 줄어드는 것이죠.
 
  그렇기에 상기한 2가지는 필자가 생각할 수 있는 방안이고, 어쨌든 핵심은 어도비가 직접 플래시 문제를 해결할 수단을 취해야 한다는 겁니다.
 
  시장 규모로는 시간이 지남에 따라서 도태되기에 너무 먼 얘기가 될 테니까요.