어도비 플래시, 이제 그만 쓸 때 됐잖아요

3년 전 어도비가 예고한 플래시 기술지원 종료 일자가 수 개월 앞으로 다가왔다. 플래시 기반의 콘텐츠 상당수가 대체 기술로 전환됐지만, 여전히 사용자가 어도비 플래시를 사용하는 사이트를 접하긴 어렵지 않다.

주요 브라우저는 기술 지원 종료 시점인 오는 12월31일에 맞춰 플래시 사용을 원천 차단할 계획을 갖고 있다. 때문에 웹사이트 운영자가 사용자에게 정상적으로 사이트를 노출하기 위해서는 사용 중인 플래시를 기술지원 종료 전에 걷어내야 한다.

사이트 이용이 불편해지는 것 외에도 살펴볼 문제가 있다. 보안이다. 일반적으로 브라우저를 통해 웹사이트에 접속하게 되는 만큼, 기술지원 종료 후 플래시가 해킹 수단으로 악용되는 경우는 적을 것이라는 게 보안업계의 관측이다. 다만 브라우저를 피해 플래시를 악용할 가능성이 없지는 않다.

■플래시 퇴출 속속 진행 중이지만...

공공, 민간 주요 웹사이트들은 대부분 어도비 플래시를 대체 기술로 전환할 계획을 갖고 있다.

특히 공공 웹사이트의 경우 현 정부 국정과제로 추진되는 '노플러그인' 사업이 올해 말 완료될 예정이다. 이에 따라 특수한 경우를 제외하고는 어도비 플래시를 비롯한 웹플러그인이 공공 웹사이트에서 사라질 전망이다.

이와 비교할 때 민간 웹사이트의 변화는 상대적으로 더딘 편이다. 지난해 과학기술정보통신부는 민간 500대 웹사이트 중 28.4%인 142개 사이트에서 어도비 플래시를 사용하고 있다고 밝혔다.

과기정통부가 이 현황을 재조사할 계획이 없기 때문에 1년이 지난 현 시점에서 정확한 추이를 점검하긴 어렵다. 다만 여러 사용자가 접속하는 도메인에서 어도비 플래시를 발견하기는 어렵지 않다.

일례로 13일 기준 국내 주요 포털 사이트인 네이버 블로그, 다음 카페, 네이트 뉴스 도메인에서도 플래시 콘텐츠가 나타난다.

이 사이트들은 연말 전까지 어도비 플래시를 대체 기술로 전환할 계획을 갖고 있다. 문제는 영세 사이트다. 대체 기술 전환을 위해 투입돼야 할 예산을 마련하기 어려울 수 있다. 이런 점을 고려할 때 특히 영세 사이트에 남아 있는 어도비 플래시 기반 콘텐츠들은 기술지원 종료 시점에 맞춰 제대로 조치되지 않을 가능성이 더 높다.

■기술지원 종료 후 보안 위협 크진 않지만…"최신 브라우저 사용해야"

기술지원 종료는 곧 보안 업데이트가 제공되지 않는다는 것을 뜻하기 때문에 어떤 SW든 보안 우려가 제기돼왔다. 더구나 보안은 어도비 플래시의 약점이었다. 수시로 취약점이 발견돼 대표적인 보안 구멍으로 인식돼왔다.

실제로 한국인터넷진흥원(KISA)이 발표하는 악성코드 은닉 사이트 탐지 동향 보고서에 따르면 어도비 플래시는 자주 악용되는 소프트웨어(SW) 중 순위권으로 꼽혀왔다. 2018년 상·하반기에는 각각 36%, 40%의 비중으로 악용 SW 1위를 기록했다. 작년 상·하반기에도 2위로 순위가 낮아졌지만, 각각 23%, 31%라는 적지 않은 비중을 차지했다. 다만 올해 상반기 보고서에서는 그 비중이 4%로 낮아졌다.

기술지원 종료 이후는 어떨까. 웹사이트 상에 남아 있는 어도비 플래시가 중대한 보안 위협을 초래한다고 보기는 어렵다는 게 보안업계 중론이다. 웹사이트 접속 수단인 브라우저 단에서 플래시 사용을 차단하기 때문이다. 그러나 해커가 브라우저를 우회해 어도비 플래시를 악용하는 경우의 수도 존재한다. 이런 가능성을 사전에 차단하기 위해서는 사용자가 관련 보안 수칙을 지켜야 한다는 전문가 조언이 나왔다.

KISA 관계자는 "어도비 플래시를 악용하는 해킹이 성공하려면 여러 전제조건이 붙는다"며 "사용자가 최근 버전이 아닌 브라우저를 쓰거나, 어도비 플래시 플레이어를 직접 설치해 사용하는 경우 위협에 노출될 수 있다"고 설명했다.