최근 어도비 제품의 보안에 대한 우려가 높아지고 있는 가운데 지난 23일(현지 시간) 어도비 플래시 보안 무료 툴이 배포돼 이용자들에게 희소식이 되고 있다. 외신 보도에 따르면 이 툴은 특히 소스 코드의 취약점을 찾고 식별하도록 고안돼 탐지 속도를 높일 수 있으며 매뉴얼 스캐닝 툴보다 쉽다는 장점을 갖고 있다.

휴렛팩커드(이하 HP)의 웹 보안 리서치 그룹(Web Security Research Group)은 어도비 시스템(Adobe Systems Inc.)과 긴밀하게 작업하여 모든 버전의 어도비 플래시를 스캔하고 프로그램을 디컴파일하며 60~65개 사이의 취약점을 식별하는 소스코드를 강조하는 툴인 SWF스캔(SWFScan)을 개발했다고 밝혔다.

HP는 홈페이지를 통해 SWF스캔을 제공하게 된 이유에 관해 “필수적인 보안 지식 없이 어도비 플래시 플랫폼에 탑재된 애플리케이션을 구현하는 개발자들이 늘고 있어 결과적으로 웹에 불안전한 애플리케이션이 적용되는 경우가 증가하고 있다”고 설명하며 SWF스캔이 플래시 플랫폼에 탑재된 애플리케이션의 보안 취약점을 자동으로 찾아줄 것이라고 전했다. 이 업체는 또한 SWF스캔은 개발자를 위한 무료 툴이지만 조직 내 보안부서에서 코드 리뷰를 담당하는 이들이나 제3자 컨설턴트들을 위한 것이기도 하다고 덧붙였다.

아울러 이용자들이 자신의 웹사이트에 SWF 애플리케이션을 이용하거나 배너 광고를 게시할 경우 그것이 안전할 것이라고 생각해서는 안 된다며 SWF스캔을 통해 개인 이용자들도 모든 취약점을 이중 체크할 수 있다고 강조했다.

HP는 특히 SWF스캔은 이전의 무료 툴과는 달리 모든 버전의 플래시에 이용할 수 있다는 것이 가장 큰 특징이라고 말했다. 또한 SWF스캔은 개발자 친화적이며 다른 유사한 툴과 달리 자동으로 검색이 가능하며 다른 장치가 필요 없는 진정한 독립 툴이라고 강조했다.

현재 보편적으로 이용되고 있는 어도비 플래시는 웹상에서 동영상이나 애니메이션을 보는데 이용되고 있다. 그러나 최근 공격자들이 이 어도비 플래시의 코딩 취약점을 이용해 웹사이트 너머의 서버에 대한 접근 권한을 획득하려는 시도가 잇따라 발생하면서 심각한 보안 이슈가 제기되어 왔다. 이러한 상황에서 HP가 무료로 배포한 자동 취약점 스캐닝 툴 SWF스캔이 땅에 떨어진 어도비의 명예를 살려줄 수 있을지 관심 있게 지켜볼 일이다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>