"보안 취약점 발견, 보안 취약점 또 발견, 보안 취약점 랜섬웨어 유입 경로로 악용..."

하루가 멀다하고 들려오는 어도비 플래시 플레이어(이하 플래시)의 보안 문제 관련 소식이다. 너무 자주 보안 취약점이 발견되니 이제는 한 달에 한 번씩 관련 기사가 나오지 않으면 이상할 지경이다. 실제로 최신 플래시 패치는 모두 기능 개선보다 이러한 보안 문제를 해결하는데 초점이 맞춰져 있다.

플래시는 현재 랜섬웨어의 주 유입경로로 지목받은 상태다. 랜섬웨어를 방지할 수 있는 가장 최선의 방법이 플래시를 사용하지 않거나 PC에서 플래시를 삭제하는 것일 정도.

심지어 플래시의 개발사인 어도비마저 지난해 12월 플래시의 기능 개선을 포기하고, 플래시를 더 이상 사용하지 말라는 권고까지 내놨다. 웹 상에서 동영상을 재생하는데 최적의 기술이라고 평가받았던 플래시는 어쩌다 이 지경까지 몰락한 것일까.

어도비 플래시<어도비 플래시>

플래시는 스타트업 퓨처웨이브가 개발한 인터랙티브(반응형) 애니메이션 도구다. 원래 목표는 움직이는 그림 파일 'GIF'를 대체하는 것이었다. 이러한 플래시를 매크로미디어가 인수해 동영상이 사용자의 명령에 반응하는 액션 스크립트로 개선했다. 이어 이미지 업계의 강자 어도비가 매크로미디어를 인수해 플래시의 기능을 지속적으로 강화해왔다.

2000년대 초중반 인터넷은 플래시 전성시대라고 부를만큼 광범위하게 플래시가 사용되었다. 동영상 스트리밍 서비스, 동영상 광고, 웹 게임 등 웹 브라우저에서 동영상을 보여주기 위해 반드시 사용해야 할 기술로 각광받았다. 결국 전 세계 13억 대가 넘는 기기에 플래시가 설치되어 사용되기에 이른다.

플래시가 이렇게 널리 이용된 이유는 간단하다. 사용자들은 웹에서 동영상을 보고 싶은데, 이를 실현해줄 기술이 플래시 뿐이었기 때문이다. 동영상 스트리밍 서비스를 제공하려면 사용자의 회선 상황에 맞춰 동영상 품질을 조절하는 기능이 필수였는데, 플래시만이 이러한 기능을 제공했다. 마이크로소프트가 어도비의 독주를 견제하기 위해 플래시와 유사한 인터랙티브 애니메이션 도구 '실버라이트'를 출시했지만, 플래시만큼의 점유율을 보여주지는 못했다.

플래시의 사용량이 늘어났기 때문일까. 심지어 플래시는 웹 브라우저에서 독립해 단독 인터랙티브 애니메이션 도구로 거듭났다. 플래시 자체를 동영상 재생기에서 실행할 수 있게 되었고, 오직 플래시로만 제작된 게임이 등장하기도 했다.

하지만 2010년에 들어 플래시는 그 한계를 들어내고 급격히 몰락하기 시작했다. 플래시가 몰락한 이유는 크게 세 가지다. 형편없는 보안, 어이없는 리소스 점유율, 대체재의 등장 등으로 정리할 수 있다.

플래시의 가장 큰 문제는 형편없는 보안 능력이다. 플래시는 플러그인(웹 브라우저의 기능 확장을 위한 외부 프로그램)이라는 태생적인 한계 때문에 보안 문제가 틈만나면 발생했다. 플래시 보안 문제를 악용해 사용자의 PC로 각종 악성코드가 침투하기 일쑤였다. 문제가 발견되면 어도비가 해당 문제를 해결하는 패치를 내놨지만, 언제나 소 잃고 외양간 고치는 사후 처방에 불과했다.

플래시의 또 다른 문제는 높은 PC 리소스 점유율이다. 플래시는 특정 기능을 실행하기 위한 보조 도구임에도 불구하고 CPU, 메모리 사용량이 매우 많았다. 웬만한 프로그램 못지 않았다. 플래시가 CPU, 메모리를 많이 사용하는 이유는 벡터 이미지 도구이기 때문이다. 쉬지않고 이미지를 렌더링하기 때문에 CPU 사용량이 많았고, 이를 뒷받침하기 위해 메모리를 많이 점유했다. 그탓에 저사양 PC에서 웹 서핑을 할 때 PC가 느려지는 현상이 빈번하게 일어났다. 이를 해결하기 위해 GPU까지 활용해 벡터 이미지를 렌더링하는 기능을 추가했지만, 높은 PC 리소스 점유 문제는 전혀 해결되지 않았다.

이러한 플래시를 대체하기 위해 애니메이션 웹 표준 'HTML5'가 등장했다. HTML5는 플래시에 비해 기능은 조금 뒤떨어지지만, 안전하고 PC 리소스 점유율도 적다. 무엇보다 웹 표준 기술이기 때문에 웹 브라우저 위에 별도로 설치하지 않아도 동영상을 감상할 수 있다. 심지어 플래시에 비해 뒤떨어지는 기능도 최근 빠른 속도로 따라잡고 있다.

어도비 애니메이트<HTML5 개발도구 어도비 애니메이트>

애플, 구글, MS, 어도비(?) 등 글로벌 IT 기업도 플래시 퇴출을 위해 앞장서고 있다.

가장 적극적인 회사는 애플이다. 애플은 모바일 운영체제 iOS에서 플래시를 사용할 수 없도록 했다. 웹 브라우저 뿐만 아니라 앱을 개발할 때에도 플래시 사용이 불가능하다.

구글도 애플 못지 않게 적극적으로 나서고 있다. 플레이 스토어에서 플래시 앱을 내렸고, 안드로이드 4.1부터 플래시를 사용할 수 없도록 막았다. 유튜브도 이제 플래시를 사용하지 않는다. 작년 초 HTML5와 VC1 코덱을 도입해 플래시를 전면 대체했다. 심지어 구글 광고(애드센스)에서도 플래시를 사용할 수 없도록 했다. 무엇보다 크롬에서 안티 플래시 정책을 강력히 펼치고 있다. 현재 최신 버전 크롬은 웹 페이지에서 재생 버튼을 눌러야만 플래시를 실행할 수 있는 상태다. 올해 말에는 플래시 차단이 기본 설정으로 변경된다. 때문에 일부 고급 사용자를 제외하면 크롬에서 플래시를 더 이상 이용할 수 없게 될 전망이다.

MS도 안티 플래시 정책에 합류했다. 7월 부터 엣지 웹 브라우저도 재생 버튼을 눌러야만 플래시를 실행할 수 있게 된다. 플래시와는 관계 없지만, 유사품(?)인 실버라이트에 대한 지원도 중단했다.

무엇보다 플래시의 개발사인 어도비의 행보가 가장 눈에 띈다. 부모인 어도비마저 플래시를 포기했다. 어도비는 지난해 12월 이제 플래시를 사용하지 말고, 대신 HTML5를 사용하라는 권고를 했다. 이어 플래시 개발도구인 '어도비 플래시 메이커'를 HTML5 개발도구인 '어도비 애니메이트'로 변경했다. 이제 플래시는 내놓은 자식이 된 것이다.

플래시의 종말이 이제 우리 눈 앞에 다가왔다. 사용자들도 한 시대를 풍미한 기술의 종말을 지켜보고 새로운 기술을 받아들일 준비를 해야 한다.

글 / IT동아 강일용


Posted by 루리카
,