[프라임경제]한국HP(대표 최준근, www.hp.co.kr)는 플래시(Flash) 개발자들이 의도하지 않은 애플리케이션 보안 취약점으로부터 웹 사이트를 보호하고, 해커가 중요한 데이터에 액세스하는 위험을 줄일 수 있도록 지원해 주는 무료 툴인 ‘HP 스위프스캔(HP SWFScan)’을 발표했다.

기업들이 사용자에게 보다 나은 온라인 경험을 제공하기 위해 애플리케이션 현대화에 노력하면서 Adobe® Flash Platform을 포함한 Web 2.0 기술로 이전하고 있다. 인터넷으로 연결된 전세계 PC 98% 이상에 Adobe Flash Player가 설치되어 있고 30–40%의 사이트가 플래시 파일을 운용하는 터라, 플래시 기술에 기반한 웹 애플리케이션들이 보안상 안전하게 개발되어야 하는 중요성이 절실히 대두되고 있다.

이런 추세를 반영하여 HP의 해킹 보안 연구소인 HP Web Security Research Group은 플래시 기술을 악용하여 부정한 접근이 가능한 해킹 기술을 발견하고, 이에 대비하여 플래시 애플리케이션의 보안 취약점을 사전에 파악해 주는 점검 툴인 HP 스위프스캔을 개발하고 공익적인 활용을 위해 무상 배포를 실시한다.

스위프스캔은 플래시 개발자로 하여금 보안에 관한 전문 지식 없이도 보다 안전한 코드로 개발할 수 있도록 해준다. 이 툴은 플래시 애플리케이션을 디컴파일하고 액션 스크립트 코드의 추출 및 그 소스 코드의 동작을 분석함으로써, 대표적인 200여 개의 보안 취약점을 스캔하고 점검하며 보고서를 작성해 준다. 스위프스캔은 정적 분석을 수행하는 최초의 툴로써, 일부 알려진 플래시 보안 점검 기술인 동적 방식으로는 찾아낼 수 없는 ’Information Disclosure’ 취약점 등에 대응할 수 있도록 해준다.

Adobe의 보안 소프트웨어 엔지니어링팀 제품 보안 및 개인 정보 담당 이사인 Brad Arkin(브래드 알킨)은 “대규모 미디어 기업과 비즈니스 크리티컬한 애플리케이션들에 의해 Adobe Flash Platform이 점점 더 많이 사용되고 있다. 당사는 HP와의 협력을 통해 개발자들이 컨텐츠와 고객을 안전하게 보호할 수 있는 툴을 갖출 수 있도록 지원하고 있다”면서, “HP 스위프스캔 툴을 기반으로 한 양사 간의 공조는 플래시 개발자가 개발 프로세스 초기에 잠재된 보안 이슈를 찾아내는 데 도움을 주어, 웹 애플리케이션이 배포되기 전에 문제를 사전에 파악하여 예방할 수 있도록 해준다”고 말했다.

한국HP 소프트웨어 솔루션 사업부 총괄 이상렬 상무는 “Web 2.0 기술로 애플리케이션을 현대화하는 기업들은 악의적인 해커 공격을 예방하고 보안 특성에 따른 소프트웨어 결함을 없애는 데 만전을 기해야 한다”면서, “HP는 앞으로도 지속적인 보안 연구를 통해 얻어진 결과를 그대로 솔루션으로 구현함으로써, 웹 애플리케이션의 안정적인 운영을 위해 최선을 다할 것”이라고 말했다.

한편, HP는 이번 스위프스캔 무상 배포 이전에도 대표적인 웹 해킹 기술인 ‘SQL Injection’의 보안 취약성을 점점해주는 ‘스크라울러(Scrawlr)’ 툴을 마이크로소프트의 요청으로 무상 배포한 바 있다.