웹브라우저 플러그인, 무심히 방치하면 보안 ‘흔들’

가 +
가 -

하루에도 수십 번씩 접속하는 웹브라우저가 보안 위협에 노출돼 있다면 문제가 크게 번질 수 있다. 웹브라우저의 보안 구멍을 타고 악성 애플리케이션이 흘러들어오거나 해킹 위협에 노출될 수 있기 때문이다.

보안 취약점 관리 솔루션 업체 퀄리스는 5월23일 웹브라우저 검사 결과를 발표하고, 웹브라우저의 보안을 약화시키는 주범으로 플러그인을 지목했다.

플러그인으로 인한 웹브라우저 보안 문제는 퀄리스의 브라우저 체크 도구를 통해 수집된 42만번 이상 실시된 웹브라우저 보안 검사를 통해 밝혀졌다. 퀄리스는 어도비 플래시나 애플 퀵타임, 쇼크웨이브, 윈도우 미디어 플레이어 등 자주 사용하는 웹브라우저 비디오 플러그인 등에서 보안 취약점을 발견했다고 밝혔다. 비디오 플러그인뿐만 아니라 PDF 리더나 자바 관련 플러그인 등 자주 이용하는 플러그인이 웹브라우저 보안에 구멍을 뚫는 주범이다.

퀄리스의 웹브라우저 검사 결과에 따르면 보안 위협에 가장 많이 노출된 플러그인은 자바 관련 플러그인으로 밝혀졌다. 전세계 80%가 넘는 웹브라우저에 자바 관련 플러그인이 설치돼 있지만 이 중 40%가 넘는 웹브라우저에서 보안에 취약한 구형 버전을 쓰고 있는 것으로 드러났다.

실제로 보안 솔루션 업체 시만텍이 지난 4월 발표한 ‘인터넷 보안 위협 보고서’를 보면, 자바 시스템의 취약점을 이용한 공격 도구가 크게 증가한 것으로 드러났다. 2010년 전체 웹브라우저 플러그인 보안에 위협을 가한 애플리케이션의 17%가 자바 플러그인과 관련된 것으로 집계됐다.

이는 자바가 다양한 웹 브라우저에서 구동하는 멀티 플랫폼 기술로 OS의 제약을 탈피할 수 있기 때문에 많은 공격자가 이용한 것으로 분석됐다.

자바 플러그인의 뒤를 이어 어도비 리더 플러그인이 2위의 불명예를 안았다. 어도비 리더 역시 80% 이상의 브라우저에서 쓰이고 있지만 이 중 30%가 보안에 취약한 버전을 쓰고 있는 것으로 집계됐다.

웹브라우저 보안 취약점에 상대적으로 덜 노출된 플러그인도 있다. 어도비 플래시 비디오 플러그인은 그동안 웹브라우저 보안을 위협하는 주범으로 몰리기 일쑤였다. 하지만 조사 결과는 다르다. 어도비 플래시 비디오는 95% 이상의 웹브라우저에서 쓰이고 있지만 이 중 20%만이 보안에 허점을 보이는 것으로 나타났다. 자주 쓰이는 만큼 업데이트 빈도가 높기 때문인 것으로 풀이된다.

오히려 어도비 플래시보다 덜 쓰이는 쇼크웨이브나 퀵타임과 같은 플러그인이 보안 위협에 더 많이 노출된 것으로 드러났다. 쇼크웨이브나 퀵타임이 설치된 웹브라우저는 40% 정도에 불과했지만 이들이 보안 위협에 노출된 비율은 20%에 달했다.

울프강 칸덱 퀄리스 최고기술경영자는 “웹브라우저 플러그인의 개수가 기하급수적으로 늘어나고 있어, 사용자가 적절한 시기에 보안 패치를 하지 못하고 있다”라며 “이런 사용자가 특히 웹브라우저 공격에 취약하다”라고 분석했다.

웹브라우저 플러그인은 웹브라우저가 할 수 없는 일을 대신 해주는 고마운 애플리케이션이다. 비디오를 재생하거나 음악을 들을 수 있도록 돕는가 하면, 문서를 내려받지 않고 웹브라우저에서 바로 띄워 보여주기도 한다. 웹브라우저 속에서 구동되는 필수 애플리케이션인 셈이다.

플러그인의 보안 위협으로부터 웹브라우저의 안전을 확보할 수 있는 가장 쉬운 방법은 무엇일까. 보안 전문가들은 플러그인 설치 단계에서 주의를 기울일 것을 당부했다. 사용자에게 많이 알려진 웹사이트보다 덜 알려진 웹사이트에서 플러그인을 제공하려 할 때 특히 주의를 기울여야 한다.

임관수 시만텍코리아 제품기술본부 차장은 “플러그인을 설치하는 단계에서 사용자가 주의해야 할 부분은, 검증된 웹사이트에서 플러그인을 설치하겠다는 경우와 그렇지 않은 사이트에서 플러그인을 설치하려고 할 때를 구분하는 일”이라고 말했다.

이미 웹브라우저에서 사용 중인 플러그인에 대한 사후 관리도 중요하다. 플러그인 판올림은 웹브라우저 보안을 위한 필수 과제다. 임관수 차장은 “운영체제와 마찬가지로 플러그인도 최신 버전으로 판올림해야 한다”라고 강조했다.

네티즌의견(총 0개)