“대한민국이 IT강국? 누가 그래요② – 이젠 안녕, 윈도우XP” by 방글라데시브라운

“대한민국이 IT강국? 누가 그래요② – 이젠 안녕, 윈도우XP” by 방글라데시브라운

1) 이슈 들어가기

안녕하세요 BB입니다. 지난번 공인인증서에 이어 오늘 이야기할 주제는 윈도우XP입니다.

4월 8일자로 마이크로소프트사에서는 공식적으로 윈도우XP에 대한 서비스 지원을 종료(공식홈페이지 공지)했습니다. 이는 윈도우XP 출시 이후 지속적으로 이루어진 운영체제의 보완(upgrade) 및 보안(Security) 업데이트가 이뤄지지 않는다는 것을 의미합니다.

윈도우XP는 2001년 10월 25일 출시된 운영체제이니 벌써 햇수로는 14년째가 된 셈입니다. 요즘 스마트폰의 운영체제(애플iOS, 안드로이드 등)의 새로운 버전이 출시되는 기간을 생각하면 상당히 장수한 운영체제라고 볼 수 있습니다. 이 기간 동안 마이크로소프트는 지속적인 서비스 업데이트를 제공해 왔고, XP이후로 윈도우Vista, 윈도우7, 윈도우8(그리고 윈도우8.1)까지 이미 새로운 운영체제들을 계속해서 내놓은 상태이니 이쯤이면 XP에 대한 사후 지원을 그만둘 때도 되었다고 판단한 모양입니다. 게다가 이를 통해 새로운 운영체제의 판매량도 늘릴 수 있죠. 그런데 왜 일부에서는, 특히 관공서 및 금융사에서는 윈도우XP 지원종료가 이슈가 되고 있는 걸까요?

 

2) 이슈 디테일

1. 윈도우XP를 이제 그만 떠나 보내야 하는 이유

그동안 MS에서는 윈도우XP에 적용할 수 있는 새로운 기술을 업데이트 해주거나 악성코드나 바이러스에 대한 보안 패치를 제공하는 등 꾸준하게 애프터서비스(AS)를 해왔다. 이걸 중단하면서 문제가 불거질 가능성이 크다는 얘기다.

윈도우XP는 10년이 넘은 운영체제(OS)로 최신 버전인 윈도우8보다 보안 위협이 14배나 높다. 또 여전히 윈도우XP를 사용하는 곳은 정보기술(IT) 정보가 취약한 개인이나 보안에 대응 능력이 떨어지는 중소업체가 태반이다. 한국MS는 국내 중소기업의 윈도우XP 사용률이 현재 국내 전체 평균의 2배인 약 30%인 것으로 보고 있다. 이들은 본인 PC가 바이러스에 감염돼 좀비PC로 활용되는지 여부조차 알지 못하는 경우가 많다. 좀비PC란 평소에는 별다른 징후를 보이지 않다가 해커의 지시가 있을 때만 특정 웹사이트나 PC를 공격한다.

[이데일리, 4월 2일]발등의 불 윈도우XP, 좀비PC 되지 않으려면

2. 윈도우XP를 떠나 보내야 한다는 건 알겠는데, 맘같지 않은 현실

BB: 사실 어지간한 신형 컴퓨터에는 윈도우7이나 8이 탑재되어 있는 경우가 대부분이라 개인 사용자들 중 윈도우XP를 사용하는 비중은 매우 낮습니다. 윈도우XP 지원 종료가 관공서 및 기업에서 특히 큰 문제가 되는 이유 중 하나이기도 합니다. 글로벌 보안업체 시만텍은 최근 시연을 통해 윈도우XP의 위험성을 경고하기도 했는데요, 윈도우XP가 깔린 은행 ATM에 해커가 USB를 통해 악성코드를 심어놓고 스마트폰을 통해 돈을 마음대로 인출할 수도 있음([아시아투데이, 4월 8일]윈도우XP 지원 종료… 현금인출기 해킹 취약)을 보여준 바 있습니다.

외교부 본부 및 재외공관에서 사용하는 모든 업무용 PC가 지난 8일 보안 기술 지원이 종료돼 해킹 위험이 있는 ‘윈도XP’ 운영체제(OS)를 사용하는 것으로 확인됐다. 외교부는 내년 상반기에나 새 운영체제로 교체할 계획이어서, 1년 가까이 국가 기밀을 담은 PC가 해킹 위험에 노출될 상황인 것으로 나타났다. 본지가 9일 국회 외교통일위원회 소속 우상호 새정치민주연합 의원으로부터 입수한 자료에 따르면, 외교부 본부의 1500대, 179개 재외공관의 3000대 등 업무용 PC 4500대가 100% 윈도XP를 사용 중인 것으로 드러났다.

마이크로소프트(MS)는 지난 8일 윈도XP용 마지막 문제 수정 업데이트를 배포한 후 기술 지원을 종료했다. 새로운 보안 허점이 발견되더라도 더 이상 고치지 않는다는 뜻이다.

이에 따라 해커가 윈도XP의 보안 허점을 이용해 외교부의 업무용 PC를 공격하면 국가 중요 기밀이 빠져나가는 것은 물론, 최악의 경우 179개 재외공관의 업무가 일시에 마비될 수도 있다.

외교부는 이에 대해 “업무용 PC는 인터넷망과는 달리 내부 전용망으로 운영돼 외부 해킹 공격으로부터 안전하다”고 설명했다. 하지만 김승주 고려대 정보보호 대학원 교수는 “이란 핵시설을 망가뜨린 악성코드 ‘스턱스넷(Stuxnet)’도 인터넷과 분리된 전용망에 침투해 국가 기간 시설을 마비시켰다”며 안전을 장담할 수 없다고 지적했다.
[조선비즈, 4월 10일]외교부 업무용 PC(재외공관 포함 총 4500대)는 모두 ‘윈도XP’… MS의 保安지원 끝나 해킹에 노출

ATM 업체나 금융사들이 기술지원이 종료되기 전까지 운영체제를 바꾸거나 판올림해야 마땅하지만, 문제는 비용이다. 일반 PC와 달리 ATM 소프트웨어를 판올림하기 위해선 하드웨어도 바꿔줘야 하기 때문이다. 금융감독원 IT감독국 관계자는 “최근 2년 안에 산 장비는 일부 부품 교환으로 업그레이드가 가능한데, 그 이전 제품은 기기 전체를 바꿔야 한다”라며 “ATM 1대당 약 1500만원은 비용이 들어간다”라고 전했다.

그렇다면 4월8일까지 국내 윈도우 OS 판올림 전환 일정은 어떻게 될까. 이 금융감독원 관계자는 “2월말 기준으로 금융사 자료를 취합하고 있고, 2월 자료가 있어야 금융사들의 윈도우XP 전환 일정이 정리될 예정”이라며 “4월8일이 전환 계획 목표 시점은 아니다”라고 밝혔다. 윈도우XP 지원 종료를 20여일 앞둔 지금까지 정확한 현황 파악이 안 돼 있다는 얘기다.
[블로터닷넷, 3월 17일]‘윈도우XP 현금지급기’, 어찌하오리까

3. 그러게 미리 조금씩 대비해둘 것이지, 내놓는 대책이라고는 죄다 사후 약방문

보호나라의 무료 백신이 누리꾼들 사이에서 화제다. 윈도우 XP지원이 종료되면 악성코드, 바이러스, 해킹 등 각종 사이버 공격 위협에 노출될 우려가 있다. 한국인터넷진흥원 ‘보호나라(www.boho.or.kr)’에서는 윈도우 xp 사용자들을 위한 백신을 무료로 배포할 계획이라고 밝혔다.
[동아일보, 4월 8일]윈도우 xp 지원 종료… 보호나라 무료 백신 vs 윈도우 7 설치

BB: 대대적으로 정부측에서 홍보 중인 보호나라 백신은 한 때 각종 포털 사이트에 실시간 검색어 순위에 오르며 화제가 되었습니다. 그러나 운영체제 차원에서의 보안 결함은 백신으로 막기에는 분명 한계가 있다는 것이 관련 업계 종사자들의 대체적인 의견입니다.

안전행정부(장관 강병규)는 윈도우 XP 기술지원 종료에 따라 신규 악성코드 감염 및 해킹위험 노출 등 보안문제에 적극 대응하기 위해 4월 7일부터 ‘행정기관 윈도우 XP 대응 종합상황실’을 운영한다고 밝혔다. 종합상황실은 정부서울청사에 설치됐으며, 3명의 상황 전담요원이 중앙부처 및 지방자치단체 등 행정기관에서 발생하는 사이버 위협에 대응하고 위협상황을 신속히 전파하여 피해 확산을 방지한다.
[아이티데일리, 4월 8일]안행부, 행정기관 윈도우 XP 대응 위한 종합상황실 개소

BB: 3명의 전담요원이 소화가능한 업무량은 도대체 어느 정도일지 궁금합니다. 한편 종합상황실의 컴퓨터마저 그대로 윈도우XP를 사용하고 있는 스크린샷이 SNS와 각종 커뮤니티에 펴지며 이 역시 단순 보여주기용 전시 행정이 아니냐는 의견이 네티즌들 사이에서 오가기도 했습니다.

교육부는 우선 정보보호대책반을 운영해 PC 교체 완료시까지 사이버 침해 예방 조치 등을 추진하기로 했다. 각 시·도교육청은 윈도우 XP 운영체제를 업그레이드하고 노후 PC가 조기에 교체 될수 있도록 지도·점검할 계획이다.

교육용 PC는 나이스(교육행정정보시스템), 에듀파인(학교회계프로그램) 등 주요 정보시스템에 접근하는 즉시 차단하고 업무용 PC는 윈도우 XP 보안 취약점이 보고될 경우 국가사이버안전센터(NCSC), 인터넷진흥원(KISA) 등 주요정보시스템의 접속을 차단하기로 했다. 소속기관 및 대학에 대해서도 지도 점검 등을 통해 윈도우 XP 업그레이드와 PC 교체 등 보안 조치 활동을 함께 강화하기로 한다.
[뉴시스, 4월 8일]교육부, 윈도우 XP 기술 지원 종료에 보안 강화

BB: 한 교육청 관계자의 제보로 해당 기사에 관한 코멘트를 갈음하겠습니다.

“4월 첫째주에 갑자기 공문이 내려와서 곧 윈도우7으로 운영체제 업그레이드가 이뤄질테니 그 전까지 자료를 백업해두라는 지시가 떨어졌다. 현재 대부분의 업무용 PC가 2008년 구매해서 XP에 최적화된 사양인데, 운영체제 업그레이드 후 속도가 심하게 느려져서 업무에 지장이 크다.

교육부 홈페이지 접속을 위해서는 공무원 전용 인증서가 필요한데 이 인증서를 재발급받고 각종 액티브X를 설치하고 윈도우7와 업무용 사이트의 호환성 문제로 접속 장애와 각종 오류가 난무하면서 그 날 업무는 그냥 중단됐다. 게다가 공공기관에서는 기기를 한번 구입하면 일반적으로 5년 동안 본인 앞으로는 물품을 바꿀 수가 없다. 인력이 늘거나 이에 준하는 합당한 사유가 있어야 겨우 구입이 가능한데 이 경우에는 해당이 없으므로 고스란히 2008년 구매한 이 구형 컴퓨터에다 윈도우7을 설치하는 어처구니 없는 일이 일어나고 있는 것이다.”

마이크로소프트(MS)가 윈도XP에 대한 기술 지원을 종료하면서 윈도XP를 기반으로 운영되는 금융사 현금입출금기(ATM) 등이 보안 위험에 노출된 것과 관련, 새누리당 정우택 최고위원이 관계당국의 미온적 대응을 질타했다. 정 최고위원은 “공공기관을 포함해 국내 윈도XP 사용률이 15%에 달해 PC 6대 당 한 대가 문제에 노출돼 있다. 당국이 대책을 세우고는 있지만 악성코드, 바이러스 보안 위협을 피할 수 없다고 한다. 금융사 현금인출기의 94%가 윈도XP 이하 버전을 사용하고 있어 국민 불안이 가중되고 있다”고 지적했다.

정 최고위원은 “MS가 서비스 중단을 일찍부터 밝혀왔고 각 국은 수년 전부터 대책을 세워왔지만 우리 안전행정부, 미래창조과학부는 뒷북 대응에 나서고 있는 것”이라며 “금융권은 해킹 및 정보유출로 국민들을 경악에 몰아넣고도 이를 지켜봤으니 비판을 받아 마땅하다”고 질타했다.

정 최고위원은 “국내 IT환경이 바뀌어야 한다. 늦었지만 정부에서 새로운 OS 개발을 추진하는 것은 바람직하다”면서 “관계당국은 OS 개발에 박차를 가함과 동시에 각 부처가 힘을 모아 보안 위협에 대한 전략적·체계적인 대응 방안을 수립해야 한다”고 당부했다.
[아이뉴스24, 4월 10일]정우택 “안행부·미래부, 윈도XP 종료 뒷북” 질타

BB: 공공기관 행정업무용 프로그램과 대국민 전자정부 서비스 대다수가 윈도우XP에 맞추어 개발되었고 이제껏 별다른 업데이트 없이, 오히려 인터넷 익스플로러의 경우와 같이 다른 업데이트된 프로그램을 다운그레이드(인터넷 익스플로러의 최신 버전은 액티브X로 점철된 국내 관공서 사이트와 호환이 되지 않음)하는 식으로 버텨왔습니다. 관련 업계 종사자들의 제보에 따르면 “하드웨어 교체부터 각종 시스템 업그레이드까지 어디서부터 손을 대야 할지 도무지 엄두도 안 나는 상황”, “앞이 뻔히 보이는 상황이지만 정부 주도 소프트웨어 사업의 특징인 단기, 저예산, 후려치기, 하도급 시스템 구조 상 제대로 된 대책이 수립될 수 있었을 리 없다”고 합니다.

문제는 이뿐만이 아닙니다. 액티브X, 공인인증서 사용 등을 위해서는 인터넷 익스플로러를 사용해야만 하고, 이를 위해서는 필연적으로 마이크로소프트 사의 운영체제에 대한 의존성이 높아집니다. 덕분에 국내의 웹사이트들 중에는 “이 사이트는 인터넷 익스플로러에 최적화 되어 있습니다”라는 문구와 함께 다른 브라우저는 접속조차 할 수 없게 막아두는 곳도 있고, 타 운영체제 이용자들은(맥북 사용자 등) 한 컴퓨터에 두 가지 운영체제를 설치하는 등 갖은 번거로움을 감수해야만 합니다. 일찌감치 운영체제의 다양화를 꾀하고 공인인증서와 액티브X의 사용을 강제하는 대신 업계가 자율적으로 인증 수단을 선택할 수 있도록 했다면 과연 이런 상황까지 왔을까요?

한편 정부에서는 한국형 운영체제를 자체적으로 개발하자는 이야기도 나오고 있는 상황인데, 이를 바라보는 시선은 대체로 회의적입니다. ([지디넷코리아, 4월 2일]한국형 운영체제 개발, 현실성 없다)

 

3) 주목할 만한 보도

[지디넷코리아, 2월 20일]윈도XP 지원 종료…5개국 대처 사례 비교
각국이 윈도우XP의 지원 종료에 대처하는 사례를 보여주고 있습니다.
이외에 이번 이슈에 대한 이해를 도울 수 있는 글들의 링크를 추가합니다.

[Yoonjiman.net, 2013년 7월 17일] 관공서의 IT 문제
[딴지일보, 4월 4일]굿바이XP <1>, 굿바이XP <2>

 

4) 편집인 코멘트

아래는 미국의 IT전문 미디어 지디넷에 지난달 3일자로 올라온 기사인 ‘윈도우XP를 버리지 못하는 10가지 변명(Top 10 excuses for sticking with Windows XP’의 일부를 발췌한 것입니다.

“회사 IT팀에서 XP를 계속 써요” 회사에 예산이 전혀 없어서 XP환경을 바꿀 수 없다면, 회사PC로는 어떤 개인적인 업무도 보지 않는 걸 추천한다. 아니면 개인 PC를 회사에 들고 다니는 게 나을 지도 모른다.

“인트라넷에서 인터넷익스플로러(IE)6를 요구해요” 모든 회사 사람들이 이 끔찍한 브라우저를 쓸 수 밖에 없는 운명이라면, 앞서 말한 것처럼 회사PC로는 어떤 개인적인 업무도 보지 않는 걸 추천한다. 더불어 절대 인터넷은 사용하지 말라고 덧붙이고 싶다.

보안위험 및 개인정보 유출의 위험성을 염두에 둔 부분인데요, 하지만 우리들은 굳이 걱정할 필요가 없을지도 모릅니다. 지난 3월 21일자 기사인 “나보다 내 개인정보가 더 해외여행을 잘 다녀요”에서도 말씀드렸지만 대한민국 국민의 개인정보는 이미 털릴 대로 다 털린 상태거든요.

[오마이뉴스, 4월 16일]농협생명 개인정보 35만건 유출 은폐 의혹
[경향신문, 4월 14일]4개 금융사 개인정보 22만건 유출 확인
[문화일보, 4월 9일]씨티銀 유출 정보로 고객 사기 당해… “900만원 불과” 씨티銀 황당해명

 

Main editer : 방글라데시브라운, editor in crossjournalism.com

신문은 하나만 읽으면 안됩니다, 행간읽기
http://www.crossjournalism.com

기사에 대한 문의나 피드백은 필자에게 직접 전달해 주세요.

이 글에 대해 어떻게 생각하세요?