MS엣지, 플래시 자동재생 허용 '비밀목록' 있다

마이크로소프트(MS)가 엣지(Edge) 브라우저의 어도비 플래시 차단 정책에 이용자 모르게 예외를 적용해 왔다. 비공개 화이트리스트를 통해 페이스북을 포함한 수십개 사이트의 플래시 콘텐츠를 무제한 허용했고, 이용자를 보안위협에 노출시켰다는 비판이 제기됐다.

플래시는 과거 데스크톱 중심 인터넷 생태계에서 영화, 음악, 게임 등 멀티미디어 스트리밍 서비스와 양방향 콘텐츠 플랫폼 구현을 위한 독점 기술로 쓰였다. 주류가 된 스마트폰 모바일 웹 소비 환경에선 성능과 안정성 문제에 발목을 잡혔고, HTML5 표준에 자리를 내 줬다.

여전히 일부 웹 콘텐츠가 플래시 기반으로 제작돼 있고, 서비스된다. 다만 2017년 어도비가 플래시 기술지원을 2020년말 종료하기로 선언했다. 구글은 2016년부터 크롬에서 플래시를 점진 차단해 왔고, MS도 2020년 인터넷익스플로러(IE)와 엣지의 플래시 기능을 빼기로 했다.

이번에 발견된 엣지 브라우저의 비밀목록은 MS 보안 기능을 우회해 플래시 자동재생을 허용했는데 그 목록이 제대로 관리돼 왔는지도 의문을 남겼다. MS는 올초 시험판 공개를 목표로 개발 중인 크로미엄 기반 엣지 브라우저에서도 이 목록의 기능이 유효할 것인지 주목된다.

■ 구글 프로젝트 제로 팀 소속 연구원이 발견한 '보안기능 우회 플래시 재생 사이트 목록'

미국 지디넷은 지난 20일 구글 '프로젝트 제로(Project Zero)' 소속 보안연구원 이반 프라트릭(Ivan Fratric)의 분석 결과를 인용해 그가 "엣지의 통상적인 보안 정책이 있음에도 페이스북이 플래시 콘텐츠를 구동할 수 있게 하는 비밀 화이트리스트를 발견"했다고 보도했다.

[원문보기 ☞ Microsoft Edge lets Facebook run Flash code behind users' backs]

MS 엣지 브라우저는 어도비 플래시 콘텐츠가 웹사이트 로딩 직후 자동 실행되지 않도록 막는다. 웹사이트에서 플래시 콘텐츠를 재생하려면 일단 사용자가 직접 콘텐츠 영역에 마우스 화살표를 얹어 클릭하는 일명 '클릭 투 플레이(click-to-play)' 정책이다.

그런데 최근 발견된 '비밀 화이트리스트'는 엣지 브라우저의 보안 기능을 우회해 동작한다. 화이트리스트는 사용자가 직접 콘텐츠 영역에 커서를 놓고 클릭하는 과정을 거치지 않고, 웹사이트 로딩과 함께 플래시 자동 재생을 허용하는 온라인 서비스 수십개 목록을 담고 있다.

MS는 이달초 이 목록의 도메인을 페이스북 두 개만 남기고 모두 제거했다. 지난해 11월 하순 구글 보안연구원 이반 프라트릭이 엣지 브라우저의 플래시 화이트리스트에서 몇 가지 보안결함을 발견한 뒤였다. 프라트릭 연구원은 '프로젝트 제로' 사이트에서 이 결함을 공개했다.

[원문보기 ☞ Issue 1722: Microsoft Edge: Default Flash click2play whitelist is insecure]

프라트릭 연구원은 자신이 발견한 MS 엣지의 플래시 콘텐츠 화이트리스트가 지닌 보안 결함의 문제를 짚었다. 핵심은 웹페이지에 공격자가 심은 악성코드가 방문자 브라우저에서 실행돼 이뤄지는 '크로스사이트스크립팅(xss)' 공격을 허용하는 보안취약점이었다.

일단 어떤 도메인에서든 이 xss 보안취약점은 공격자가 '클릭 투 플레이' 정책을 우회할 수 있게 만든다. MS 엣지 브라우저의 결함은 공격자가 악성행위를 하는 플래시 콘텐츠로 xss 공격을 수행할 수 있게 만드는 것으로 이해할 수 있다.

또 엣지의 비밀 화이트리스트를 통해 허용된 도메인 가운데 적어도 그 일부는 이미 xss 보안취약점과 관련해 '공개적으로 알려져 있고 패치되지 않은' 인스턴스에 해당했다. 공격자가 해당 도메인을 알았다면 이미 엣지 브라우저 사용자 대상 공격을 실행할 수 있었단 뜻이다.

그리고 이 화이트리스트는 허용 대상을 HTTPS 암호화통신 지원 웹사이트만으로 제한한 것도 아니었다. 따라서 xss 보안취약점이 없는 웹사이트라 할지라도 중간자(MITM) 공격자가 클릭 투 플레이 정책을 우회할 수 있게 허용한 것으로 지적됐다.

■ MS, 2018년 11월 제보 받아 2019년 2월 패치 배포…페이스북 도메인 2개 남겨

프라트릭 연구원은 자신이 발견한 엣지 브라우저 화이트리스트의 보안결함을 지난해 11월 MS에 제보했다. MS는 지난 19일자 패치를 배포해 수십개였던 화이트리스트의 플래시 자동재생 허용 URL을 두 개로 줄였고 리스트에 포함되는 도메인이 HTTPS를 쓰도록 만들었다.

보도에 따르면 플래시 자동 재생을 허용하는 화이트리스트는 올해 2월 패치 이전까지 58개였다. 이 목록은 MS의 메인 홈페이지 일반 도메인과 하위 도메인, MSN 포털, 음원 스트리밍 서비스 디저(Deezer), 야후, 중국 소셜네트워크 서비스 큐큐(QQ) 등을 포함했다.

패치를 적용한 MS엣지 브라우저는 이제 두 개의 HTTPS 기반 페이스북 웹사이트만을 허용하고 있다. 하나는 'https://www.facebook.com'이고 다른 하나는 'https://apps.facebook.com'이다. 이 도메인에서 398×298 픽셀보다 큰 면적을 차지하는 플래시가 자동 재생된다.

엣지 자동재생이 허용된 플래시 콘텐츠는 페이스북에서 여럿 제공하던 온 구형 플래시 게임 실행을 허용하려 한 결과로 풀이된다. 플래시 콘텐츠의 표시 면적 크기와 화이트리스트 목록에 포함된 도메인이란 조건에 안 맞는 나머지 플래시는 사용자가 직접 허용해야 실행된다.

프라트릭 연구원은 플래시 콘텐츠 자동실행을 허용해 엣지 사용자를 보안 위협에 노출시키는 화이트리스트의 관리 방식도 문제시했다. 삭제되기 전 목록에 스페인 소재 미용실로 추정되는 홈페이지가 있게 된 경위, 이걸 MS보안대응센터(MSRC)가 알았는지 등에 의문을 표했다.

보도에 따르면 MS가 패치 후 화이트리스트에 페이스북의 도메인을 남긴 이유는 페이스북의 요청에 따른 게 아니었다. 오히려 페이스북 측은 이후 MS의 플래시 콘텐츠 자동재생 허용 목록에서 페이스북 도메인을 빼 달라고 요청했다.

MS 측은 화이트리스트와 관련된 질의에 즉답하지 않았다. 대신 "어떤 사이트에서든 MS엣지 기본 경험에 더이상 플래시가 한 부분을 차지하지 않는 시기가 왔다"며 "이달 최근의 변화는 점진적인 전환 계획 이행이었다"는 설명을 제시했다.

■ MS 엣지 재생허용 목록, 늦어도 2년내 플래시와 함께 사라질 듯

플래시 기술을 만들어 온 어도비와, 그 콘텐츠를 지원해 온 주요 브라우저 업체들은 늦어도 오는 2020년을 플래시 콘텐츠의 시한부로 잡고 있다. 그리고 MS는 엣지 브라우저 엔진을 자체 개발한 'EdgeHTML' 대신 구글의 '크로미엄(Chromium)'으로 바꿀 셈이라고 최근 밝혔다.

[관련기사 ☞ MS, 엣지브라우저 크로미엄으로 재개발 공식화]

MS가 엣지 브라우저의 엔진을 크로미엄 기반으로 변경할 경우 이미 구글 크롬브라우저에 적용된 것과 유사한 플래시 차단 정책이 동일하게 적용될 수 있다. 크로미엄 기반 엣지 시험판이 올해 초 공개될 예정인데, 플래시 자동재생 화이트리스트가 유지될지는 미지수다.

MS도 앞서 IE와 엣지 브라우저에서 제공하는 플래시 기능을 2020년 제거하기로 했다. 다른 브라우저 개발업체에 비해서는 보수적인 계획이다. 이는 달리 보면 어도비의 기술지원이 제공될 때까지 브라우저의 플래시 처리 기능을 유지하겠다는 뜻으로도 읽힌다.

두 윈도 운영체제(OS) 내장 브라우저에서는 어도비 플래시 재생 기능을 최후까지 유지하겠다는 게 MS의 의지라 해도 공식적으로 그 시한은 어도비가 기술지원 종료시한으로 선언한 2020년말 까지다. MS 비밀 화이트리스트가 아무리 오래 유지돼도 2년을 넘기진 못할 듯하다.

MS의 화이트리스트에 한국 도메인은 없었지만, 국내서도 여전히 플래시가 많이 쓰인다. 한국 정부는 작년말 국민 이용량이 많은 국내 민간 500대 웹사이트에서 플래시로 추정되는 '멀티미디어 재생 유형' 플러그인이 2018년 190개로 집계됐다는 조사 결과를 발표했다.

관련기사

[관련기사 ☞ "민간 500대 사이트 액티브X 32.1% 줄었다"]

500대 웹사이트서 사용 중인 멀티미디어 재생 유형 플러그인이 190개라는 숫자는 작지 않다. 다만 이는 전년도인 2017년 245개에서 55개(22.4%) 감소한 수준으로, 개선되는 중이다. 정부는 플래시를 비롯한 플러그인 사용 웹사이트의 웹표준 전환 지원사업을 벌이고 있다.