• 구름많음동두천 -2.3℃
  • 구름조금강릉 1.9℃
  • 구름많음서울 -0.9℃
  • 흐림대전 1.0℃
  • 흐림대구 3.0℃
  • 흐림울산 3.2℃
  • 흐림광주 2.0℃
  • 흐림부산 5.0℃
  • 흐림고창 0.9℃
  • 흐림제주 7.5℃
  • 구름많음강화 -1.4℃
  • 흐림보은 -0.8℃
  • 흐림금산 -0.2℃
  • 흐림강진군 3.4℃
  • 흐림경주시 0.9℃
  • 흐림거제 3.7℃
기상청 제공

윈도XP 보안 지원 종료에 따른 보안대란, 대책은?

정부, 지속적 홍보와 동시에 업그레이드 비용 절감을 위한 다양한 대책 마련 시급

마이크로소프트(MS)는 현지시간 기준으로 8일 오전 9시에 윈도XP에 대한 마지막 보안패치를 공개함으로써 윈도XP 지원을 공식적으로 종료하였다. 앞서 한국마이크로소프트(이하 MS)는 4월 8일 0시부터 본사에서 공개된 보안패치를 끝으로 윈도XP에 대한 기술 지원을 종료하였다. 윈도XP는 2001년 처음 선보인 이후 14년 가까이 사용되고 있어 지원 중단은 업체 입장에서는 새로 출시된 운영체제의 판매를 촉진하고 기존 운영체제에 대한 유지 보수비를 절감하기 위한 당연한 결정이라 할 수 있다.

윈도XP지원이 종료되었음에도 불구하고 현재 윈도XP의 국내 점유율은 14.97%에 이르고 있다. 특히 국내 중소기업의 경우 30% 이상 탑재된 것으로 판단되고 있다. 국외의 상황은 더욱 심각해서 윈도XP의 점유율은 27.69%로 국내에 비해서도 상당히 높은 편이다.

높은 점유율이 문제가 되는 것은 윈도XP가 최신 운영체제에 비해 근본적으로 보안에 취약한 구조를 가지고 있다는 것이다. 이로 인해 발매 후에 지금까지 수많은 취약점들이 발생하였고 이를 막기 위해 보안 업데이트나 핫픽스 등이 추가로 끊임없이 제공되어 왔다. 하지만 윈도XP의 지원이 종료된 2014년 4월 8일 이후 발견되는 보안 취약점에 대해서는 더 이상 수정이 불가능하므로 윈도XP를 사용하는 PC는 개인 혹은 회사 기밀정보 유출 등 사이버 공격에 그대로 노출되는 것을 의미한다.

현재 가장 우려되는 것은 윈도XP의 취약점을 악용하는 해킹이 크게 증가할 것이라는 점이다. 특히 은행의 단말기나 ATM, CD기 등이 가장 먼저 해킹 대상이 될 가능성이 높다. 국내 금융사의 전체 단말기 중 31.5%가 아직 윈도XP 이하 버전을 사용하고 있다. 더욱이 ATM이나 CD의 경우에는 무려 94.1%가 윈도XP 이하 버전을 사용하고 있는 상황이다. 따라서 금융권을 대상으로 금전적 이득을 목적으로 하는 다양한 형태의 해킹은 피할 수 없을 것으로 보인다. 실제 미국에서는 이미 ATM 해킹을 통한 피해사례도 발표되고 있다.

윈도XP 지원 중단이 사회적이나 국가적으로 큰 이슈가 되고 있는 것은 윈도XP를 사용하던 PC나 단말기의 운영체제를 상위 버전으로 업그레이드하는데 많은 장애들이 있기 때문이다. 대표적인 이유는 호환성이다. 운영체제는 여러 응용프로그램들이 실행할 수 있도록 기본적인 기능과 환경을 제공하는 프로그램이다. 따라서 운영체제가 달라지면 호환성의 차이로 인해 특정 프로그램의 경우 실행이 안 될 수도 있다. 물론 일반적으로 많은 사용자들이 사용하는 프로그램들은 해당 개발사들이 새 운영체제와의 호환성에 문제가 있을 때마다 이를 해결한 새 버전을 발표하고 있다. 따라서 이 경우에는 단순히 운영체제와 프로그램을 함께 업그레이드함으로써 문제를 해결할 수 있다. 하지만 금융권이나 기업에서 사용되는 특수한 용도의 프로그램들은 업그레이드가 늦게 이루어지거나 전혀 이루어지지 않는 경우가 많다. 따라서 이를 해결하기 위해서는 사용하던 프로그램이나 혹은 시스템 전체를 변경하고 관련된 데이터들을 새 프로그램과 시스템용으로 변환하여야 한다. 이는 일반적으로 업무에 큰 장애를 줄뿐만 아니라 변환 과정 중 데이터 유실 및 변형 등의 위험이 있으므로 업체가 감당해야 하는 부담이 너무 커진다.

윈도XP 지원종료에 대한 대비책으로 미래창조과학부에서는 윈도XP의 취약점을 이용하는 새 악성코드를 치료할 수 있도록 무료 전용 백신을 한국인터넷진흥원(KISA)의 ‘보호나라(www.boho.or.kr)’에서 배포한다고 발표했다. 또한 다양한 백신 전용 업체들도 계속적인 윈도XP 지원을 약속하고 있다. 백신을 사용할 경우 전혀 사용하지 않는 경우보다는 좀 더 안전에 유리하겠지만 운영체제의 취약점을 백신 같은 응용프로그램에서 막는 데는 한계가 있다. 실제 MS사의 내부 실험에 따르면 백신만으로 운영체제의 취약점을 보호할 경우 사실상 효과가 거의 없다는 결과를 얻기도 하였다. 더군다나 전용 백신을 사칭한 스미싱도 크게 발생하고 있어 백신을 사용하여 윈도XP의 수명을 연장하려는 시도가 오히려 사이버 공격의 목적이 되고 있어 주의가 필요하다. 결국 현재로서는 근본적인 방법은 운영체제와 호환되지 않는 프로그램들을 업그레이드하는 것이 가장 최선이라 할 수 있다.

정부는 윈도XP의 지원 중단에 따른 준비의 필요성에 대해 적극적으로 홍보를 하지 않음으로써 오늘날 윈도XP의 사태를 초래한 책임을 면하기 어렵게 되었다. 더욱이 정부도 현재 예산 부족이나 프로그램 호환성 문제로 인해 상위 운영체제로 업그레이드를 제대로 진행하지 못하고 있다. 특히 많은 공공기관이 업그레이드에 대한 일정조차 정하지 못하고 있을 뿐만 아니라 업그레이드 관련 예산 편성 자체가 안 된 경우가 많아 적어도 올해까지는 윈도XP 지원 종료에 따른 정부의 시급한 대응이 요청된다.

정부뿐만 아니라 기업의 안일한 상황 인식이 더욱 문제를 키우고 있다. 기업의 경우 프로그램과 시스템의 호환성 문제로 인해 상당히 큰 경제적 부담이 있더라도 지원 중단에 따른 피해 가능성을 고려하였더라면 미리 준비할 수 있었을 것이다. 하지만 많은 기업들은 MS가 계속해서 윈도XP에 대한 지원을 연장할 것이라고 막연히 생각하며 충분히 많은 시간이 있었음에도 불구하고 준비를 의미루어 왔다. 실제로 MS사가 윈도XP의 자체 제품 수명주기 정책에 따른 종료기한보다 4년 이상 지원을 연장한 것도 사실이다. 특히 중국, 인도와 같은 나라에서 지속적으로 MS사에 요청을 하면서 앞으로의 지원 연장을 당연시 여기게 되었고, 이는 MS에서 2014년 4월 8일로 확정을 한 이후에도 계속되었다. 결국 현재 중소기업의 경우 30%에 가까운 PC들이 윈도XP를 사용하고 있어 회사의 기밀 유출 등의 피해가 예상된다.

윈도XP의 지원이 중단된 이상 개인이나, 기업, 정부에서 사용 중인 윈도XP PC들은 빨리 상위 운영체제로 업그레이드하는 것이 필요하다. 다만 금전적인 부담이나 프로그램 호환성 등에 의해 단 시간 내에 업그레이드가 불가능할 경우에는 다음과 같은 방법으로 좀 더 안전하게 윈도XP를 사용할 수 있다. 우선 개인의 경우 보호나라의 전용 백신을 반드시 설치한다. 그리고 잘 알려지지 않은 프로그램은 설치하지 않는다. 잘 알려진 프로그램이라 하더라도 개발사나 판매사의 사이트를 통해 직접 다운로드 받아 설치하도록 하며, 웹하드 등 출처가 불분명한 프로그램은 설치하지 않도록 한다. 또한 백신의 실시간 검색 기능에는 한계가 있으므로, 반드시 정밀 검색을 선택하여 주기적으로 전체 시스템을 검색하도록 한다.

기업의 경우에는 업무상 외부 인터넷에 직접 연결할 필요가 없는 윈도XP의 경우에는 외부 인터넷으로부터 분리한다. 만일 외부 인터넷에 연결되어야 하는 윈도XP 기반 PC의 경우 네트워크 보안 장비를 사용하여 외부 침입을 최대한 방지하도록 한다. 또한 호환성 문제가 있는 프로그램이나 시스템의 경우, 최대한 빨리 대체 프로그램이나 시스템으로 이전하도록 준비하여야 한다.

정부는 지금이라도 윈도XP 지원 중단 및 이에 따라 예상되는 피해에 대해 국민들에게 적극적으로 홍보하여야 한다. 우리는 이미 밀레니엄 버그 문제를 적극적으로 홍보하고 시스템 업그레이드를 유도함으로써 피해를 최소화한 경험을 가지고 있다. 따라서 윈도XP 문제에 대한 문제 인식을 정확히 하고 지속적 홍보를 하며 동시에 다양한 업그레이드 비용 절감을 위한 대책을 마련하여야 한다. 이런 노력이 있을 때 국가적인 대규모 해킹 사태를 막을 수 있으며 국민의 재산과 안전을 지킬 수 있음을 명심해야 할 것이다.

관련기사





[기자칼럼] 가해자들의 도피처, ‘심신미약’ 요즘 하루가 멀다 하고 뉴스에선 잔인한 사건들이 보도된다. 서울 강서구 한 피시방에서 아르바이트를 하던 청년이 잔인하게 살해됐다는 보도, 오피스텔 관리사무소에서 경비원 2명을 잔혹하게 살해한 혐의로 재판에 넘겨진 20대 남성, 2011년 같은 회사에 다니던 여성의 몸속에 손을 넣어 숨지게 했지만 상해치사로 종결된 사건 등이 그러하다. 이 잔혹한 사건들의 처리과정에는 한 가지 공통점이 있다. 바로 가해자가 ‘심신미약’을 주장했다는 것이다. 실제 경비원 2명을 살해한 20대 남성은 검찰이 사형을 구형했지만 심신미약 주장이 인정돼 일부 감형되었고, 같은 회사에 다니던 여성을 살해한 가해자는 피해자에 입힌 상해 정도가 심각하지만 술에 취해 심신미약이었다는 이유로 4년형을 받았다. 한 사람의 목숨을 앗아간 범죄임에도 불구하고 심신미약을 이유로 처벌은 가벼운 수준에 그쳤다. 잔혹한 살인을 했음에도 ‘심신미약’으로 감형되는 경우가 허다하다. 형법 제10조를 살펴보면 ‘심신장애로 인해 사물을 변별할 능력이 없거나 의사를 결정할 능력이 없는 자의 행위는 벌을 하지 않거나 형을 감경한다.’고 명시돼 있다. 여기서 심신장애란 인지·지능·언어·정서·행위 등의 심신기능 면에 장애가