MS PC보안 업데이트 중단,V3 등 프로그램으론 한계 커

MS PC보안 업데이트 중단,V3 등 프로그램으론 한계 커

“운영체제 교체가 근본 해결책”

현금지급기 90% 이상 XP사용

연장지원 7년 업그레이드 안돼

정부 늑장대응 ‘책임방기’ 지적

해 봄맞이 대청소는 컴퓨터 안의 디지털 영역도 신경을 좀 써야 하겠다. 마이크로소프트(MS)가 개인용컴퓨터(PC) 운영체제 ‘윈도엑스피(XP)’에 대한 보안 지원을 다음달 8일 종료하기로 했기 때문이다. 그날 이후 윈도엑스피를 쓰는 컴퓨터는 외부 공격에 매우 취약하게 된다. 가정이야 지금 준비해도 되겠지만, 미리 서둘렀어야 할 정부와 금융기관 등의 대응은 늦어 ‘보안 대란’이 닥쳐오리라 우려하는 목소리도 높다.

8일 지원 종료를 맞으면 무슨 일이 벌어질까? 온라인에는 ‘당장 내 컴퓨터를 쓰지 못하는 것 아니냐’는 문의들도 있지만, 종료를 맞는다고 윈도의 기능이 정지되거나 파일이 삭제되는 등 사태가 일어나는 것은 아니다. 그대로 쓰는 데 문제는 없다. 설령 문제가 된다 해도, 엠에스라는 특정 업체 소프트웨어 제품에 의존해 국가 정보화를 추진하고, 정부기관과 금융기관조차도 자체 보안 능력을 갖추지 못하고 있는 것에 경종을 울리는 순기능도 기대해볼 수 있다.

그렇다고 그냥 사용한다면 위험한 일이 발생할 수도 있다. 엠에스가 밝힌 지원 종료의 의미는 8일 이후에는 운영체제에 대한 불법적인 접근과 공격 등에 대한 개발자 차원의 보안 업데이트 등을 중단하겠다는 뜻이다. 즉, 종료 시점 이후에 윈도엑스피를 쓰는 것은 악성 해커 등과 같은 사이버 세계의 하이에나들 앞에 벌거벗고 나서는 것과 같은 셈이다. 8일 종료되는 보안 지원 대상에는 엠에스 오피스(워드, 엑셀, 파워포인트 등의 프로그램) 2003 버전도 포함된다.

V3와 같은 별도 보안 프로그램을 쓰고 있으면 문제가 없지 않을까? 한국인터넷진흥원은 악성코드 전용백신을 제작해 무료 배포(www.boho.or.kr)하겠다고 밝히기도 했다. 하지만 이는 쓰지 않는 것보다야 도움이 되겠지만 해결책은 되지 않는다는 것이 보안 전문가들의 지적이다. 백신 등의 경우 문제점이 알려지면 이후에 그에 대한 치료약을 개발하는 식이다. 또 아무리 외부에서 훌륭한 보안책을 만들어낸들, 개발회사인 엠에스만큼 지원하기는 어렵다. 

더 근본적인 이유는 엑스피 자체의 취약성이다. 김승주 고려대 정보보호대학원 교수는 “2001년 발매된 엑스피는 설계 자체가 최근의 공격을 막아내기 어려운 구조다. 운영체제를 교체하는 것이 근본 해결책”이라고 말했다. 우리나라에서 윈도엑스피를 사용하는 피시 비율은 지난달 기준 15.4%에 이른다.(온라인 시장조사업체 스탯카운터) 그동안 엑스피에 대한 지원 종료 안내 등으로 지난해 같은 때 33.5%에 비하면 많이 떨어진 수치지만 여전히 무시 못할 숫자다. 전세계 엑스피 탑재 피시 비율은 17.1%다.

엠에스는 보통 제품 발매 뒤 5년 동안의 지원에 5년 연장 지원을 해왔는데, 엑스피는 소비자의 우려 등으로 2년을 더 지원해 왔다. 엠에스는 지원 종료를 맞아 다양한 온·오프라인 안내를 벌이고 있다. 개인 사용자의 경우 주요 포털에서 ‘윈도우 XP’를 검색하면 해당 지원 누리집으로 이동할 수 있다. 문의 전화는 1577-9700이다. 특히 기업 고객의 경우, 보안에 대한 인식이 높고 자원이 풍부한 대기업에 견줘 취약한 중소기업을 대상으로 대체 운영체제를 할인 판매 중이다. 컴퓨터 활용에 자신이 있는 중급 이상의 사용자라면, 이 기회에 편리성이 많이 개선된 무료 공개 운영체제 ‘리눅스’로 갈아타는 것도 고려해 볼 만하다. 

하지만 정작 지원 종료로 인해 소비자들의 보안 피해가 가장 우려되는 쪽은 따로 있다. 바로 금융기관과 유통사 등 기업들이다. 은행 현금지급기(ATM)와 음식점을 비롯해 대부분 소매점에서 사용하는 포스(Point Of Sales·판매시점 정보관리시스템) 단말기에서 현재 사용하는 운영체제의 대부분이 윈도엑스피인 탓이다. 안 그래도 이들은 금융과 신용카드 정보 등 치명적인 정보들이 담겨 있어 온라인 범죄자들의 좋은 먹잇감인데, 보안이 취약해지면 해커들이 활개를 칠 환경이 되는 셈이다. 

하지만 정부의 늑장 대응과 기업들의 안이한 인식, 예산 부족 등으로 이들 기기 대부분은 업그레이드를 하지 못한 채 다음달 8일을 맞게 될 상황이다. 금융감독원은 지원 종료 이후에도 현금지급기의 90% 이상 대부분이 엑스피 또는 이하 버전으로 그대로 운용될 것으로 파악하고 있다. 송현 금감원 아이티(IT)감독국장은 “8일 전까지 상위 버전으로 교체하도록 권고해 왔는데, 업체들이 비용 부담과 윈도 운영체제 종속 문제 등으로 교체가 미흡했다. 강제는 할 수 없기 때문에 각사 최고정보책임자(CIO) 등에게 대책 제출 및 최고경영자(CEO) 보고를 하도록 하고 개인정보 유출 때 강력 제재하겠다고 경고한 바 있다”고 말했다. 금감원은 또 이들 기기와 외부망의 연결을 끊도록 지도했다고 밝혔다.

이미 예정된 종료 시한에 추가 연장까지 있던 상황에서 사실상 거의 업그레이드가 이뤄지지 않은 점은 정책상 ‘책임 방기’에 가깝다는 지적이 나온다. 김승주 교수는 “엑스피 문제의 핵심은 정부의 늑장 대응이다. 최근 해킹 기술 등을 보면 인터넷 등에 연결되어 있지 않더라도 직접 기기를 통해 취약점으로부터 정보를 빼낼 수 있는데 앞으로 큰 보안 사고가 걱정된다”고 말했다.