일반적으로 개발업체는 애플리케이션 서비스 지원 기간이 종료된 후에는 보안 패치를 제공하지 않는다. 그러나 보안 취약성을 간과하고 있는 많은 사용자들은 애플리케이션을 삭제하거나 패치하는 일을 잊어버리곤 한다.
컴퓨터 보안업체 시큐니아 리서치의 연구·보안 총괄인 캐스퍼 린드가드는 "프로그램의 서비스 지원 기간이 만료됐다면 잊기 전에 즉시 삭제하기를 권한다. 남겨둘 경우 패치가 이뤄지지 않아 보안이 허술해 질 수 있다"고 조언했다.
사용자들의 기기에서 서비스 지원 기간이 종료된 애플리케이션의 비율은 2013년 기준으로 3~4%에 해당됐으나, 2014년에는 소폭 상승해 5~6%를 기록했다.
시큐니아는 지난 10월 말 시장 점유율을 기준으로 이전 버전을 삭제하거나 최신 버전으로 패치를 진행하지 않을 경우 보안이 취약하다고 판단되는 애플리케이션 10개를 다음과 같이 선정했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
어도비 플래시 플레이어 18.x
시큐니아에 따르면 지난 6월 출시된 어도비의 플래시 플레이어 18은 지난 9월 22일 서비스 지원 기간이 끝났다. 신 버전 출시로 서비스 지원 기간이 종료되는 프로그램들 중에서도 플래시 플레이어는 시장 점유율이 높은 프로그램이다. 각각 지난 7월과 4월에 종료된 버전 17과 16의 시장 점유율은 78%였다. 지난 1월에 종료된 버전 15의 점유율은 73%이며, 작년 10월에 종료된 버전 14의 점유율은 아직도 77%를 기록하고 있다.
마이크로소프트 XML 코어 서비스 4.x
2009년 출시돼 작년 4월에 종료된 마이크로소프트 XML 코어 서비스 4.x의 점유율은 79%, 패치 미진행 비율은 43%에 해당된다. 상당수의 사용자들은 애플리케이션을 설치한 사실조차 잊고 있으며, 일부 사용자들은 다른 소프트웨어에 부작용을 끼칠까봐 해당 프로그램을 삭제하지 않았다고 밝혔다.
오라클 자바 JRE 1.7.x and 7.x
자바는 보통 웹 브라우저에서 사용되는 프로그램인데, 마이크로소프트의 XML 코어 서비스와 마찬가지로 대부분(88%)은 서비스 지원 종료 후 최신 버전으로 패치를 진행하지 않았다. 서비스 지원 종료 직전 자바 JRE 1.7와 7의 점유율은 44%였다. 2011년에 출시됐으며, 올 4월 서비스 지원이 종료됐다.
구글 크롬 44.x
크롬과 파이어폭스는 2년 연속으로 이 리스트에 올랐다. 점유율 35%의 구글 크롬 44는 올 7월 출시됐으며, 9월에 서비스 지원이 종료됐다.
구글 크롬 43.x
트래픽 분석 전문업체인 클리키 웹 애널리틱스에 따르면, 크롬 43은 최신 버전 패치 기간이 타 애플리케이션에 비해 긴 편이었다. 여름철에는 사용자들이 컴퓨터를 잘 사용하지 않아 업데이트를 미루는 일이 빈번하다는 사실을 고려한 것으로 보인다. 이 애플리케이션은 올 5월 출시돼 지난 7월 서비스 지원이 종료됐다.
모질라 파이어폭스 39.x
모질라의 파이어폭스 39는 지난 7월 출시돼 8월에 서비스가 종료됐다. 모질라가 수년 전 자체적으로 실시한 조사에 따르면, 대부분의 웹 브라우저 사용자들은 이용 중인 버전에 만족해 최신 버전으로 패치해야 한다는 압박감을 받지 않기 때문에 업그레이드를 진행하지 않는다. 또 시간이 없어 한가한 시기까지 업그레이드를 미루는 사례도 많다.
모질라 파이어폭스 40.x
지난 8월에 출시된 파이어폭스 40은 9월경 서비스 지원이 종료됐으며, 타 애플리케이션에 비해 최신 버전 패치 기간이 길었다.
어도비 에어 18.x
올 6월 출시된 어도비 에어 18은 지난 9월 서비스가 종료됐다. 어도비 에어는 윈도우, 매킨토시, iOS, 안드로이드 등 여러 운영체제에서 함께 사용할 수 있는 통합 애플리케이션 개발에 활용되는 툴로, 2년 연속 이 리스트에 올랐다.
오라클 자바 JRE 1.6.x와 6.x
시큐니아에 따르면 자바 JRE 1.6과 6의 점유율은 서비스 지원이 종료되기 직전인 2013년 2분기 기준으로 53%였으며, 패치를 진행하지 않은 비율은 75%에 해당됐다. 종료 직후인 3분기 점유율은 39%였다. 2006년에 출시된 이 애플리케이션은 주요 애플리케이션 중 최장기간 제공된 애플리케이션으로, 일부 사용자들은 설치한 사실조차 잊고 있거나 호환성 문제로 이전 버전을 고수하고 있다.
어도비 에어 3.x
2011년 출시된 어도비 에어 3은 서비스 지원 종료 직전인 2013년 4분기 기준으로 점유율이 43%였으며, 패치 미진행 비율은 52%에 해당됐다. 그러나 끊임없이 새로운 취약점을 노리는 해커들로 인해 서비스 지원이 종료된 때부터 패치 미진행 비율의 의미는 사실상 퇴색됐다. 그 전에 패치를 온전히 진행했더라도 서비스 지원이 종료되고 개발업체 측의 후속 패치가 없다면 보안이 취약해 질 수 있음을 시사한다.