• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이젠 플래시가 아니라 애니메이트! 보안은 어쩌구? 2015.12.05

보안에 가장 취약한 솔루션 플래시, 곧 애니메이트란 이름으로
이름 바꾼다고 보안성 좋아지는 건 토속신앙 - 업계 꼬집어

[보안뉴스 문가용] 지난 월요일 플래시 프로페셔널 CC의 이름이 애니메이트 CC(Animate CC)로 바뀌었다. 어도비 애니메이트의 공식 출시는 내년 초로 정해져 있으며 HTML5 콘텐츠 개발을 위한 어도비 대표 애니메이션 툴이 될 예정이다. 또한 어도비는 데스크톱 브라우저용 HTML5 기반의 동영상 플레이어도 발표할 예정으로 알려졌다.

어도비에 따르면 리브랜딩의 가장 큰 이유는 각종 브라우저 상에서의 애니메이션, 멀티미디어, 동영상 콘텐츠 표준을 회사 차원에서 HTML5로 바꿔가기 위해서다. HTML5는 플래시가 하고 있었던 기능을 대부분 수행할 수 있으며, 어도비의 고객들 역시 ‘어도비가 HTML5 표준을 수용했으면 좋겠다’는 의견을 다년간 피력해왔기 때문이라고.

또한 지난 몇 년간 어도비는 플래시 프로페셔널의 코드를 완전히 다시 작성했고, 그 결과 HTML5와 WebGL을 완벽하게 지원하게 되었으므로, 단순히 이름만 바꾸는 게 아니라 제품 자체가 완전히 바뀌었다고도 해석이 가능하다는 것. 이미 플래시 프로페셔널로 만들어진 콘텐츠의 1/3은 HTML5에 기반을 두고 있으며 플래시에서 만들어졌음에도 플래시 포맷을 고집하는 사용자는 계속해서 줄어들고 있다. 플래시에서 HTML5로 가는 흐름은 이미 대세라고 어도비는 판단한 듯하다.

어도비의 이런 움직임은 콘텐츠 제작자들이 새로운 표준을 기반으로 앱을 만들도록 권장하겠다는 선언과 같다. 자기들 역시 그런 활동을 위해 툴과 솔루션을 만들어 제공하겠다는 것이다. 하지만 그렇다고 기존의 플래시 콘텐츠를 버리겠다는 건 아니다. “저희 제품이 산업에 얼마나 큰 영향을 미치고 있는지 알기에, 저희는 독자적이거나 독단적인 발전을 할 수 없습니다. 앞으로 한 발 내딛는 데에도 파트너 기업이나 고객들의 의견이 반드시 필요하죠. 플래시를 완전히 배제하는 건 지금으로서는 시기상조입니다.”

너무 많은 보안사고를 일으키는 플래시를 더 이상 지원하지 않겠다고 한 페이스북도 최근엔 어도비와 협력하겠다는 의견을 표명했다. 특히 페이스북에서 실행되는 플래시 게임 콘텐츠가 안전하게 소비될 방안을 함께 마련하는 데 힘을 쏟겠다고 했다. 어도비는 “페이스북에서 전달해오는 각종 보안 관련 사건 및 사고들을 꾸준히 반영하다보면 플래시 플레이어가 향상될 것으로 기대된다”는 입장이다.

하지만 보안 업계는 어도비의 리브랜딩이 ‘플래시라는 이름이 가진 오명과 나쁜 이미지를 해결하기 위한 아주 단시안적인 해결책’이라고 보고 있다. 그러나 플래시가 애니메이트로 바뀐다고 해서 갑자기 안심을 할 바보도 없을 뿐더러, 플래시 문제에 대해서는 해결을 한다 안 한다 언급도 없이 ‘산업을 존중하기 위해 플래시 지원을 중단하지는 않겠다’는 식이니, 고운 시선으로 바라보기가 힘들다.

“버그 투성이 앱이 이름 바뀐다고 갑자기 깔끔하고 튼튼한 앱이 될 리 없죠. 이름 바꾸면 운이 좋아진다는 미신인가요?” IT하베스트(IT-Harvest)의 분석가인 리차드 스티에논(Richard Stiennon)이 비꼰다. 보안기업인 티핑포인트(Tipping Point)에서 찾아낸 317개 제로데이 취약점들 중(아직 발표하지는 않았다) 50개 이상이 어도비와 관련된 것이기도 하다는 소식도 있다.

그런데도 이는 빙산의 일각에 불과하니 문제다. 플렉세라 소프트웨어(Flexera Software)가 이번 주 발표한 보고서에 의하면 지난 3개월 동안 가장 취약한 제품을 내놓은 기업은 마이크로소프트였다. 그 이유는 대부분의 소프트웨어가 어도비 플래시와 묶여 있었기 때문이다.. 리코디드 퓨처(Recorded Future)에서 발행한 보고서에 의하면 익스플로잇 킷 제작자들이 가장 애용하는 10가지 취약점들 중 여덟 개가 어도비 플래시 플레이어에서 나온 것이다. 이런 사실들을 나열하면 끝도 없다. 과연 플래시의 존속이 필수인가, 하는 의문이 안 나오는 게 이상할 수준.

“그런 상황이니 사실 어도비가 이번에 플래시의 이름을 바꾸겠다고 한 그 얄팍한 잔머리가 보이지 않는 게 이상한 수준이죠. 영리하다고 하기엔 그냥 약삭빠른 것 뿐이고, 문제의 본질엔 전혀 다가가지 못한 거라고 볼 수 있습니다.” 리코디드 퓨처의 스콧 도넬리(Scott Donnelly)의 설명이다. “게다가 여러 정황이나 정보들로 봤을 때 플래시 보안 문제에 대해서는 어도비의 태도가 바뀔 거라고 기대하기도 힘들고요.”

SANS 인스티튜트의 존 페스카토어(John Pescatore)는 “안전이라는 가치를 좀 더 높게 치고 싶은 사용자라면 아직 애니메이트든 플래시든 사용을 자제하는 편이 좋다”고 권고한다. “어도비는 애니메이트를 발표하면서 여러 색다른 기능도 좋지만 안전성에 대한 대대적인 개편을 홍보 포인트로 잡았으면 합니다. 이젠 안심하고 소프트웨어를 사용하는 시대지, 다양하고 현란한 소프트웨어가 각광받지는 않거든요.”


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>