플래시밍고, 자동으로 SWF 파일 분석해 수상한 요소들 식별
낡고 오래된 기술, 오히려 해커들에게는 더 맛있는 먹잇감

[보안뉴스 문가용 기자] 보안 업체 파이어아이(FireEye)가 이번 주 새로운 툴을 오픈소스로 공개했다. 어도비 플래시(Adobe Flash) 파일을 자동으로 분석해주는 기능을 가진 것으로, 멀웨어의 침투를 미리 막는 데 유용하게 사용될 수 있을 것으로 보인다.


[이미지 = iclickart]

이 툴의 이름은 플래시밍고(FLASHMINGO)로, 그 자체로 분석 워크플로우에 편입시켜 독자적인 애플리케이션으로서도 사용이 가능하지만, 라이브러리로서도 활용할 수 있다. 또한 커스텀 파이선 플러그인을 통해 기능을 확장시키는 것도 가능하다고 한다.

플래시밍고는 스위파스(SWIFFAS)라는 오픈소스 라이브러리를 기반으로 만들어졌다. 스위파스 라이브러리를 사용해 플래시 파일인 SWF 파일을 점검하는 것이다. 또한 SWFObject라는 대형 객체를 사용해 SWF 파일에 대한 정보(태그 목록, 메소드 정보, 문자열, 상수, 엠베드 된 바이너리 데이터 등)를 저장한다.

“플래시밍고는 SWF 파일을 보다 쉽게 요청 가능한 형태(queryable format)로 재해석하는 도구라고 볼 수 있습니다. SWFObject를 기반으로 한 플러그인들을 모아둔 도구이며, 각 도구의 기능성을 통해 분석에 필요한 정보를 추출해내는 것이죠.” 파이어아이의 설명이다.

플래시밍고에 포함된 플러그인들은
1) 수상한 메소드의 이름을 식별하고,
2) 수상한 상수의 존재를 확인 및 식별하고
3) 수상한 루프의 존재를 확인 및 식별하고
4) 엠베드 된 데이터를 전부 추출할 수 있게 해주며
5) FEDEC 플래시 디컴파일러를 기반으로 한 디컴파일링도 가능하다고 한다.

또한 플래시밍고는 플러그인 템플릿으로 구성되어 있기 때문에 확장이 용이하다고 파이어아이는 강조했다. “모든 플러그인들은 각자의 디렉토리 내에 저장되어 있고, 플래시밍고를 통해 이 디렉토리를 검색하고 등록함으로써 간단히 기능성을 확장할 수 있습니다.”

플래시는 지난 몇 년 동안 해커들이 가장 사랑하는 공격 통로로 군림해왔다. 그래서 어도비는 2020년까지 플래시를 완전히 삭제하기 위한 절차를 밟고 있는 중이다. 그러나 어도비가 플래시를 삭제한다고 해서, 플래시가 완전히 과거의 유물이 되는 건 아니다. 사용자가 계속해서 플래시를 사용하기로 결정한다면 아무도 막을 수 없기 때문이다.

플래시밍고는 그런 때를 대비해 만들어진 툴이라고 파이어아이는 설명한다. “어도비가 플래시에서 손을 완전히 떼면 더 이상 패치도 나오지 않고, 업데이트도 이뤄지지 않을 것입니다. 그런 상태에서 사용자들이 계속해서 플래시를 사용할 수밖에 없는 상태라면 어떨까요? 기존보다 더 위험해집니다. 그런 사태에 대비해 만들어진 것이 플래시밍고입니다.”

물론 해커들의 공격이 극심해 개발자들은 거의 대부분이 플래시를 사용하지 않고 있는 게 현실이다. 그럼에도 플래시에 대한 익스플로잇들은 꾸준히 발견되고 있고, 보안 전문가들은 이전처럼 극성스럽지 않다고 하더라도, 플래시를 통한 공격이 완전히 사라지기까지는 아직 긴 시간이 필요할 거라고 보고 있다.

“공격자들에게 있어 퇴물이 된 기술들은 맛좋은 먹잇감입니다. 사용자들이 옛것을 고집스럽게 좋아한다는 것과, 그런 오래된 기술들은 보안이 허술하다는 걸 알고 있기 때문입니다. 그렇기 때문에 플래시가 사라지려는 지금이 오히려 더 플래시가 위험해질 수 있는 때입니다. 플래시밍고가 플래시 관련 보안에 도움이 될 수 있을 것입니다.”

플래시밍고는 여기(https://github.com/fireeye/flashmingo)서 다운로드 가능하다.

3줄 요약
1. 파이어아이, 플래시밍고라는 플래시 보안 툴 무료로 공개.
2. 플래시는 2020년부터 생산되지 않을 전망이지만, 사용자들도 플래시를 다 삭제하지는 않을 것으로 보임.
3. 해커들이 한 때 가장 사랑했던 공격 통로인 플래시, 당분간은 공격 통로로서 남아있을 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>