애플이 차기 맥용 운영체지인 맥OS에서 채택할 예정인 표준 브라우저인 사파리 10(Safari 10)이 어도비 플래시를 기본적으론 비활성화하게 결정했다. 이런 결정의 배경에는 플래시가 안고 있는 제로데이 공격 취약점이라는 치명적 문제가 작용한 것으로 보인다.
사파리 10은 지금까지 영상을 중심으로 한 대화형 콘텐츠 재생에 필요했던 어도비 플래시나 실버라이트 같은 플러그인을 모두 초기 상태에선 비활성화한다. 이에 따라 예를 들어 플래시와 HTML5를 모두 구현한 웹사이트라면 사파리는 항상 HTML5를 적용해 콘텐츠를 표시하는 것.
보통 플래시 같은 플러그인을 설치하지 않은 환경에서 플래시 전용 사이트에 들어가면 현재 사파리는 어도비 플래시가 설치되어 있지 않다면서 플러그인 다운로드 링크를 표시한다. 하지만 사파리 10에선 이런 링크가 표시되지 않는다. 대신 일시적으로 플래시 같은 플러그인을 활성화할 수 있는 옵션이 나온다. 임시 사용을 택하면 HTML5 환경 없이 플래시 콘텐츠를 이용할 수 있게 된다. 다시 말해 전체 브라우저에서 플래시를 사용하는 게 아니라 사이트마다 활성화를 선택할 수 있다는 것이다.
앞서 설명했듯 애플이 이런 선택을 한 건 표시에도 나오듯 보안을 위한 것이다. 플래시에는 제로데이 공격 취약점이 있는 등 보안상 문제가 많다. 얼마 전에는 카스퍼스키랩이 플래시 최신 버전 21.0.0.242에 스카크러프트(ScarCruft)라는 APT 공격 위험성이 지적하기도 했다.
어도비 측은 이 취약점에 대한 수정을 이르면 16일 실시할 것이라고 발표한 바 있다. 카스퍼스키랩 측은 어도비의 늑장 대응에 대해 비판하면서 취약점 수정이 이뤄지기 전까지 공격 완화에 효과를 입증한 마이크로소프트의 EMET(Enhanced Mitigation Experience Toolkit) 사용을 권하고 있다.
사파리 10 뿐 아니라 구글도 이미 자사의 브라우저인 크롬에서 플래시 중단을 발표하는 등 플래시는 서서히 방을 빼는 분위기다. 관련 내용은 이곳에서 확인할 수 있다.
| 2016년 6월 16일