12월 31일부터는 그 어떤 플래시 관련 개발 행위 없을 것이라고 선포한 어도비
하지만 정말로 플래시로부터 우리는 완전히 안전해질까? 과거부터 되짚어 보기
[보안뉴스 문가용 기자] 1500개 이상의 취약점을 남긴 플래시의 예정된 죽음이 얼마 남지 않았다. 1월 1일부터 우리는 플래시의 흔적을 찾을 수 없을 것이다. 이러쿵 저러쿵 말은 많았지만 어찌됐든 인터넷 역사의 한 획을 그은 플래시의 지난 악명 높았단 순간들을 되짚어 보며 우리가 왜 이 소프트웨어를 그만 놔줄 때가 됐는지를 상기해보도록 하자.
[이미지 = utoimage]
망가지고 또 망가지고
2009년 클릭재킹과 JBIG2 취약점을 포함해 여러 개의 취약점들이 플래시에서 연속적으로 발견됐다. 그리고 이 사태가 다 진정되기도 전에 US-CERT와 미국 국토안보부가 치명적 위험도를 가진 제로데이 취약점이 나타났다고 경고를 내기도 했다. 이 제로데이 취약점은 CVE-2009-1862로, 시스템을 마비시키고 공격자들이 해당 시스템을 장악하도록 해주는 것으로 밝혀졌다.
당시 어도비는 패치를 배포하면서 “우리는 고객들의 안전을 최우선으로 여긴다”고 발표했고, 당시 일부 전문가들은 “역시 어도비!”하면서 엄지손가락을 치켜세우기도 했다. 그러면서 플래시가 앞으로 갈 머나먼 여정의 시작점에서 보여준 좋은 대처라고 평하기도 했다. 확실히 ‘머나먼 여정’이라는 부분에 있어서는 정확한 평이었다. 아직까지도 플래시 사용자들이 존재하니까 말이다.
범죄자들의 해킹 키트에서 가장 인기 높은 아이템
2015년 악명 높은 해킹 키트에서 새로운 플래시 취약점 익스플로잇이 포함되어 있다는 것이 발견됐다. 특히 앵글러(Angler)라고 하는 익스플로잇 킷의 경우 플래시 플레이어를 노리는 익스플로잇을 세 개나 포함하고 있었다. 그냥 대놓고 플래시만 뚫어버리겠다는 것이 제작자의 의도였던 것이다. 심지어 이 세 개 중 하나는 제로데이 취약점을 노리는 것이기도 했다.
이 때부터 사이버 범죄자들은 익스플로잇 킷을 만들 때 플래시 플레이어의 익스플로잇을 대거 포함시키기 시작했다. 보안 업체 멀웨어바이츠(Malwarebytes)는 앵글러 외에 베뎁(Bedep) 멀웨어를 배포하는 악성 캠페인에서도 플래시의 취약점이 악용되는 것을 목격했다고 발표했다.
관에 박을 마지막 못인 줄 알았는데...
2015년 중반 즈음, 이탈리아의 감시 소프트웨어 제작 업체이자 보안 업체인 해킹팀(HackingTeam)이 해킹 공격을 당하고 협박에 시달리기 시작했다. 그 때 해킹팀이 각종 플래시 침해용 도구들을 잔뜩 가지고 있음이 드러났고, 이 중 일부는 다른 범죄자들의 해킹 키트에 새로 들어가기도 했었다. 그러면서 많은 이들이 “이제는 진짜 플래시는 죽었다”는 의견을 발표했다.
당시 페이스북의 보안 담당자였던 알렉스 스타모스(Alex Stamos)는 트위터를 통해 “이제 어도비는 플래시의 사망을 선고해야 할 때가 됐다”면서 “각 브라우저 제조사들 역시 플래시 지원을 중단해야 한다”고 주장하기도 했다.
보안 업계의 이러한 맹렬한 비판 속에서 플래시에 대한 여론이 극심히 안 좋아졌고 정말로 플래시는 죽을 것 같았다. 하지만 사용자들은 너그러웠다. 플래시의 사용을 멈추지 않은 것이다. 이 때부터 플래시는 마치 좀비와 같은 존재가 되어 영원히 죽일 수 없을 것처럼 보이기도 했다. 실제로 이후로도 계속해서 우리는 죽일 수 없는 플래시를 2020년 말까지 목도해오고 있다.
피싱 공격과 사보타주에도 절찬리에 사용돼
2015년 하반기, 러시아의 해킹 단체인 폰스톰(Pawn Storm)이 여러 나라의 외교 관련 조직들을 겨냥해 스피어피싱 공격을 실시했다. 이들은 주로 정치 관련 기사나 보고서 내용인 것처럼 가짜뉴스를 퍼트렸었다. 이 때 폰스톰이 활용한 건 플래시 익스플로잇이 호스팅되어 있는 사이트를 만들고, 이 사이트로 가는 링크를 거는 전략이었다.
폰스톰은 눈에 띄는 걸 좋아하고, 자신들이 한 ‘대단한’ 해킹 공격에 대해서 자신들의 소행이라고 거리낌 없이 밝히는 편이다. 폰스톰은 러시아 정부의 지원을 받고 있는 것으로 알려져 있으며, 어도비 플래시 제로데이 취약점을 발굴하고 익스플로잇 하는 데 전문가로 악명이 높았다.
플래시, 드디어 영광의 타이틀을 거머쥐다
2017년 플래시는 드디어 공식 “가장 버그가 많은 소프트웨어”라고 인정을 받았다. 각종 통계 및 연구 자료에서 플래시는 가장 많은 취약점을 가지고 있고, 가장 많이 악용되는 소프트웨어 1위를 차지했다. 당시 유행하던 익스플로잇 키트에는 전부 플래시 익스플로잇이 포함되어 있었다. 그제야 어도비는 2020년 말에 플래시를 끝장낼 것이라고 발표했다.
어도비가 플래시 개발을 중단하겠다고 결정한 건 표면적으로는 ‘낡은 프로그램이어서’였다. 하지만 사실은 보안 업계가 수년 간 플래시가 끼치는 악영향을 지치지 않고 설파해왔고 그로 인해 여론이 기울었기 때문이다. 물론 아직도 플래시를 사랑하고 아끼는 사용자들이 있긴 하다. 하지만 극소수다. 게다가 플래시를 대체할 만한 제품들도 대거 시장에 나온 상태다.
플래시 제로데이는 암시장에서 스테디셀러
북한의 APT 단체인 스카크러프트(ScarCruft)는 2018년 새로운 플래시 제로데이 취약점을 익스플로잇 하다가 딱 걸렸다. 당시 보안 전문가들은 꽤나 놀랐다. 이미 공격자들 사이에서 플래시 익스플로잇에 대한 매력이 거의 사라진 상태였기 때문이다. 사실상 죽어가는 소프트웨어에서 아직도 제로데이가 나오고 있다는 사실에 많은 전문가들이 할 말을 잃었다.
당시만 해도 북한은 여러 해킹 국가들 중 살짝 후순위에 머물러 있는 지역이었다. 그렇기 때문에 북한 공격자들이 뒤늦게 플래시 익스플로잇 잔치에 뛰어든 것에 코웃음을 치는 사람들도 있었다. 그러나 늦게 뛰어든 것에 대한 장점이 없는 건 아니다. 수많은 선진들이 앞서서 길을 터준 덕분에 취약점 발굴과 익스플로잇이 비교적 쉬워진다는 것이다.
실제로 스카크러프트는 스스로 제로데이 익스플로잇을 개발한 게 아니라 다크웹의 암시장에서 거래한 것으로 밝혀졌다. 당시 해커들에게는 플래시를 해킹한다는 게 너무 익숙했기 때문에 시장에서도 그리 높지 않은 가격에 얼마든지 구매할 수 있었다. 때문에 보안 전문가들은 플래시에 대한 염려를 잠시 놓았다가 다시 경계하기 시작했다.
가장 기념비가 될 만한 날, 12월 31일
플래시가 아무리 많은 사고의 원흉이 되었다고 하더라도, 가장 기념비적인 날은 12월 31일이 될 것이다. 플래시의 장례식일 말이다. 이제 며칠 지나면 플래시는 공식적으로 사망한다. 어도비는 앞으로 그 어떤 업데이트도 개발하지 않을 것이며, 플래시 제품군의 개발도 더 이상 진행하지 않을 것이라고 한다. 드디어 관에 마지막 못이 박히는 것이다.
그렇다고 해서 전 세계 컴퓨터에 설치된 모든 플래시가 다 사라지는 건 아니다. 개발만 안 될 뿐, 기존 사용자들의 컴퓨터에는 플래시가 그대로 남아 있을 예정이다. 그렇기 때문에 여전히 이 사망한 소프트웨어에서 제로데이 소식이 나올 가능성은 남아 있다. 정말 시급한 문제가 터졌다면 어도비가 긴급 패치를 개발할 수도 있다.
즉, 아직 완전히 마음을 놓아도 되는 단계는 아니다. 12월 31일이 지나고 2021년 새해가 밝아 와도 마찬가지다. 그럼에도 어디선가 플래시에 관한 보안 소식이 들려올 때 필자는 좀비를 실제로 만난 것처럼 깜짝 놀랄 것 같다. 그리고 그럴 가능성이 충분하다고 생각한다. 무덤 속에서도 플래시는 미약하나마 영향을 발휘할 것이다.
글 : 팸 베이커(Pam Baker)
[국제부 문가용 기자(globoan@boannews.com)]
하지만 정말로 플래시로부터 우리는 완전히 안전해질까? 과거부터 되짚어 보기
[보안뉴스 문가용 기자] 1500개 이상의 취약점을 남긴 플래시의 예정된 죽음이 얼마 남지 않았다. 1월 1일부터 우리는 플래시의 흔적을 찾을 수 없을 것이다. 이러쿵 저러쿵 말은 많았지만 어찌됐든 인터넷 역사의 한 획을 그은 플래시의 지난 악명 높았단 순간들을 되짚어 보며 우리가 왜 이 소프트웨어를 그만 놔줄 때가 됐는지를 상기해보도록 하자.
[이미지 = utoimage]
망가지고 또 망가지고
2009년 클릭재킹과 JBIG2 취약점을 포함해 여러 개의 취약점들이 플래시에서 연속적으로 발견됐다. 그리고 이 사태가 다 진정되기도 전에 US-CERT와 미국 국토안보부가 치명적 위험도를 가진 제로데이 취약점이 나타났다고 경고를 내기도 했다. 이 제로데이 취약점은 CVE-2009-1862로, 시스템을 마비시키고 공격자들이 해당 시스템을 장악하도록 해주는 것으로 밝혀졌다.
당시 어도비는 패치를 배포하면서 “우리는 고객들의 안전을 최우선으로 여긴다”고 발표했고, 당시 일부 전문가들은 “역시 어도비!”하면서 엄지손가락을 치켜세우기도 했다. 그러면서 플래시가 앞으로 갈 머나먼 여정의 시작점에서 보여준 좋은 대처라고 평하기도 했다. 확실히 ‘머나먼 여정’이라는 부분에 있어서는 정확한 평이었다. 아직까지도 플래시 사용자들이 존재하니까 말이다.
범죄자들의 해킹 키트에서 가장 인기 높은 아이템
2015년 악명 높은 해킹 키트에서 새로운 플래시 취약점 익스플로잇이 포함되어 있다는 것이 발견됐다. 특히 앵글러(Angler)라고 하는 익스플로잇 킷의 경우 플래시 플레이어를 노리는 익스플로잇을 세 개나 포함하고 있었다. 그냥 대놓고 플래시만 뚫어버리겠다는 것이 제작자의 의도였던 것이다. 심지어 이 세 개 중 하나는 제로데이 취약점을 노리는 것이기도 했다.
이 때부터 사이버 범죄자들은 익스플로잇 킷을 만들 때 플래시 플레이어의 익스플로잇을 대거 포함시키기 시작했다. 보안 업체 멀웨어바이츠(Malwarebytes)는 앵글러 외에 베뎁(Bedep) 멀웨어를 배포하는 악성 캠페인에서도 플래시의 취약점이 악용되는 것을 목격했다고 발표했다.
관에 박을 마지막 못인 줄 알았는데...
2015년 중반 즈음, 이탈리아의 감시 소프트웨어 제작 업체이자 보안 업체인 해킹팀(HackingTeam)이 해킹 공격을 당하고 협박에 시달리기 시작했다. 그 때 해킹팀이 각종 플래시 침해용 도구들을 잔뜩 가지고 있음이 드러났고, 이 중 일부는 다른 범죄자들의 해킹 키트에 새로 들어가기도 했었다. 그러면서 많은 이들이 “이제는 진짜 플래시는 죽었다”는 의견을 발표했다.
당시 페이스북의 보안 담당자였던 알렉스 스타모스(Alex Stamos)는 트위터를 통해 “이제 어도비는 플래시의 사망을 선고해야 할 때가 됐다”면서 “각 브라우저 제조사들 역시 플래시 지원을 중단해야 한다”고 주장하기도 했다.
보안 업계의 이러한 맹렬한 비판 속에서 플래시에 대한 여론이 극심히 안 좋아졌고 정말로 플래시는 죽을 것 같았다. 하지만 사용자들은 너그러웠다. 플래시의 사용을 멈추지 않은 것이다. 이 때부터 플래시는 마치 좀비와 같은 존재가 되어 영원히 죽일 수 없을 것처럼 보이기도 했다. 실제로 이후로도 계속해서 우리는 죽일 수 없는 플래시를 2020년 말까지 목도해오고 있다.
피싱 공격과 사보타주에도 절찬리에 사용돼
2015년 하반기, 러시아의 해킹 단체인 폰스톰(Pawn Storm)이 여러 나라의 외교 관련 조직들을 겨냥해 스피어피싱 공격을 실시했다. 이들은 주로 정치 관련 기사나 보고서 내용인 것처럼 가짜뉴스를 퍼트렸었다. 이 때 폰스톰이 활용한 건 플래시 익스플로잇이 호스팅되어 있는 사이트를 만들고, 이 사이트로 가는 링크를 거는 전략이었다.
폰스톰은 눈에 띄는 걸 좋아하고, 자신들이 한 ‘대단한’ 해킹 공격에 대해서 자신들의 소행이라고 거리낌 없이 밝히는 편이다. 폰스톰은 러시아 정부의 지원을 받고 있는 것으로 알려져 있으며, 어도비 플래시 제로데이 취약점을 발굴하고 익스플로잇 하는 데 전문가로 악명이 높았다.
플래시, 드디어 영광의 타이틀을 거머쥐다
2017년 플래시는 드디어 공식 “가장 버그가 많은 소프트웨어”라고 인정을 받았다. 각종 통계 및 연구 자료에서 플래시는 가장 많은 취약점을 가지고 있고, 가장 많이 악용되는 소프트웨어 1위를 차지했다. 당시 유행하던 익스플로잇 키트에는 전부 플래시 익스플로잇이 포함되어 있었다. 그제야 어도비는 2020년 말에 플래시를 끝장낼 것이라고 발표했다.
어도비가 플래시 개발을 중단하겠다고 결정한 건 표면적으로는 ‘낡은 프로그램이어서’였다. 하지만 사실은 보안 업계가 수년 간 플래시가 끼치는 악영향을 지치지 않고 설파해왔고 그로 인해 여론이 기울었기 때문이다. 물론 아직도 플래시를 사랑하고 아끼는 사용자들이 있긴 하다. 하지만 극소수다. 게다가 플래시를 대체할 만한 제품들도 대거 시장에 나온 상태다.
플래시 제로데이는 암시장에서 스테디셀러
북한의 APT 단체인 스카크러프트(ScarCruft)는 2018년 새로운 플래시 제로데이 취약점을 익스플로잇 하다가 딱 걸렸다. 당시 보안 전문가들은 꽤나 놀랐다. 이미 공격자들 사이에서 플래시 익스플로잇에 대한 매력이 거의 사라진 상태였기 때문이다. 사실상 죽어가는 소프트웨어에서 아직도 제로데이가 나오고 있다는 사실에 많은 전문가들이 할 말을 잃었다.
당시만 해도 북한은 여러 해킹 국가들 중 살짝 후순위에 머물러 있는 지역이었다. 그렇기 때문에 북한 공격자들이 뒤늦게 플래시 익스플로잇 잔치에 뛰어든 것에 코웃음을 치는 사람들도 있었다. 그러나 늦게 뛰어든 것에 대한 장점이 없는 건 아니다. 수많은 선진들이 앞서서 길을 터준 덕분에 취약점 발굴과 익스플로잇이 비교적 쉬워진다는 것이다.
실제로 스카크러프트는 스스로 제로데이 익스플로잇을 개발한 게 아니라 다크웹의 암시장에서 거래한 것으로 밝혀졌다. 당시 해커들에게는 플래시를 해킹한다는 게 너무 익숙했기 때문에 시장에서도 그리 높지 않은 가격에 얼마든지 구매할 수 있었다. 때문에 보안 전문가들은 플래시에 대한 염려를 잠시 놓았다가 다시 경계하기 시작했다.
가장 기념비가 될 만한 날, 12월 31일
플래시가 아무리 많은 사고의 원흉이 되었다고 하더라도, 가장 기념비적인 날은 12월 31일이 될 것이다. 플래시의 장례식일 말이다. 이제 며칠 지나면 플래시는 공식적으로 사망한다. 어도비는 앞으로 그 어떤 업데이트도 개발하지 않을 것이며, 플래시 제품군의 개발도 더 이상 진행하지 않을 것이라고 한다. 드디어 관에 마지막 못이 박히는 것이다.
그렇다고 해서 전 세계 컴퓨터에 설치된 모든 플래시가 다 사라지는 건 아니다. 개발만 안 될 뿐, 기존 사용자들의 컴퓨터에는 플래시가 그대로 남아 있을 예정이다. 그렇기 때문에 여전히 이 사망한 소프트웨어에서 제로데이 소식이 나올 가능성은 남아 있다. 정말 시급한 문제가 터졌다면 어도비가 긴급 패치를 개발할 수도 있다.
즉, 아직 완전히 마음을 놓아도 되는 단계는 아니다. 12월 31일이 지나고 2021년 새해가 밝아 와도 마찬가지다. 그럼에도 어디선가 플래시에 관한 보안 소식이 들려올 때 필자는 좀비를 실제로 만난 것처럼 깜짝 놀랄 것 같다. 그리고 그럴 가능성이 충분하다고 생각한다. 무덤 속에서도 플래시는 미약하나마 영향을 발휘할 것이다.
글 : 팸 베이커(Pam Baker)
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
