다음달 8일이면 마이크로소프트(MS)의 대표 운용체계(OS) ‘윈도XP’의 생명이 끝난다. 최후의 날이 한 달 앞으로 다가왔는데도 여전히 많은 기업 및 기관에서 윈도XP를 끌어안고 있어 심각한 보안 위협으로 대두되고 있다.
업계에선 4월 7일 대규모 해킹 공격이 기승을 부릴 것이라는 소문이 무성하다. 일각에선 2000년도 전 국민을 긴장하게 했던 ‘Y2K(PC의 2000년 연도인식 오류)’ 이슈까지 꺼내들 정도로 불안감이 커지고 있다. 실제로 윈도XP는 MS OS 가운데 그동안 가장 많은 해킹 공격을 받아왔다.
서비스 지원이 종료되면 현재 제공되던 보안 업데이트, 버그 수정, 온라인 기술 지원 등을 더 이상 받을 수 없게 된다. 바이러스나 악성코드와 같은 보안 위협에 노출될 가능성이 높아 사실상 소프트웨어(SW)로서의 생명은 다하게 된다. 문제는 윈도XP 기반 PC만이 심각한 사이버 범죄의 표적이 되는 게 아니라 이들과 연결된 다른 PC도 피해를 입을 수 있어 추가 조치가 시급하다.
업계 전문가는 “지금 당장 아무 문제없이 원하는 작업을 수행할 수 있다고 하더라도 심각한 위험에 노출돼 있다는 것을 알아야 한다”며 “일부 백신 솔루션으로 대처한다고 하지만 신규 보안 위협 등에 실시간으로 빠르게 대처할 수는 없을 것”이라고 지적했다.
◇윈도XP 사용률 여전히 높아…준비 미흡 심각
스탯카운터의 조사에 따르면 이달 국내 윈도XP 사용률은 16.55%다. 낮아지긴 했지만 미국(10.92%)이나 일본(10.08%), 호주(7.5%)를 기준으로 하면 한국은 여전히 높은 상황이다. 중국은 50% 이상이다. 업계 전문가들은 국내에서 10%대로 알려져 있지만 확인되지 않은 이용자까지 포함하면 25% 이상일 것으로 분석하고 있다.
특히 우리나라에서는 공공기관의 사용률이 높다. 중앙전파관리소, 한국원자력연구원 등이 전체 PC의 30% 이상 윈도XP를 사용하고 있다. 전 국민의 병의원 진료기록 데이터를 보유하고 있는 국민건강보험공단도 전체 사용 PC 가운데 70%가 윈도XP를 사용하고 있는 것으로 알려져 있다. 상위 버전으로 단계적으로 전환하고 있지만 다음 달까지 완료하긴 힘들 것으로 보인다. 서울시 유관기관들도 XP 사용률이 68%로 높은 비중을 차지하고 있다.
보안에 민감한 금융권은 그나마 상황이 낫다. KB국민은행, IBK기업은행, 우리은행 등 시중 은행 대부분은 PC 업그레이드 작업을 마쳤다. 다른 금융사들도 윈도XP 지원 종료에 맞춰 전환을 진행 중이다. 다만 금융권도 업무용 PC가 아닌 현금자동입출금기(ATM)에 대해선 속수무책이다.
특히 국내 ATM 90% 이상이 윈도XP를 사용하고 있을 정도로 OS 의존도가 높다. 내부폐쇄망으로 운영되기 때문에 보안 위협이 없다는 주장도 있지만 내부폐쇄망을 이용하더라도 외부인터넷망과 연결해주는 ‘중립지대’가 뚫릴 가능성을 배제할 순 없다. 또 최근 폐쇄망을 통한 악성코드 감염 및 정보 유출 사례도 급증하고 있어 보안 위협은 존재한다.
업계 관계자는 “ATM과 같은 금융기기가 해커들의 놀이터가 되면 금융 피해는 물론이고 고객 정보 등 개인정보 유출로 이어질 수 있어 그 여파가 상당할 것”이라고 경고했다.
◇대안책 없는 것이 더 큰 문제
윈도XP 사용자들이 적극적으로 대응에 나서지 않는 데는 크게 두 가지 이유다. 우선 비용 문제다. 기업이나 기관들이 상위 버전 OS로 갈아타기 위해선 대규모 투자가 필요하다. 단순 OS 투자 외 PC 성능도 함께 개선돼야 한다. 실제로 많은 공공기관들이 OS 업그레이드를 하지 못하는 것도 미처 예산 확보를 하지 못했기 때문이다.
윈도XP 기반으로 사내 관리시스템을 구축한 경우는 어쩔 수 없이 끌어안고 가야하는 상황이다. 호환성 문제 등으로 OS만 업그레이드할 수 없다. 대규모 업무시스템 개편이 동반돼야 하기 때문에 쉽사리 나서지 못한다. ATM기도 이러한 경우에 해당된다. 새로운 OS와 현 ATM에 상위버전 OS를 설치하면 하드웨어 인식에 여러 문제가 있다. OS를 업그레이드하려면 ATM기 전체를 새롭게 바꿔야 한다. 은행당 수백억원이 투입돼야 한다.
두 번째 이유는 ‘설마 무슨 일이 생기겠어’라는 안일한 태도 때문이다. 많은 기업이나 기관이 여전히 “업그레이드 의향이 없다”고 답하고 있다. 내부폐쇄망을 이용하고 있기 때문에 굳이 기술지원을 받지 않더라도 큰 문제가 발생하지 않을 것이라 판단하고 있다.
보안 업계 관계자는 “설마 했다가 화를 불러일으킨 경우가 많았다”며 “윈도XP 관련해서는 보안 투자가 일순위로 이뤄져야 할 만큼 예민한 사안”이라고 강조했다.
한국MS도 마음이 급해졌다. 상위 버전으로 이전하는 ‘탈윈도XP’ 바람이 기대만큼 일지 않자 최근 갖가지 방법을 동원해 윈도XP 사용자들에게 지원종료를 상기시키고 있다. 주요 공공기관을 대상으로 윈도XP 지원 종료 대응방안 세미나도 적극 개최하고 있다.
◇장기적인 대안책 마련 필요
최근 보안 전문 업체들은 윈도XP 보안 취약점이 갑절이상 증가했다는 보고서를 연이어 내놓았다. 덴마크 보안업체 시큐니아는 지난해 윈도XP에서 발견된 보안 취약점이 99개로 전년 49개보다 배 이상 늘었다고 발표했다. 최근 시만텍이 내놓은 보고서에서 지난해 발견된 윈도XP 취약점이 시큐니아 발표치보다 세 배 가까이 많은 281개라고 밝혔다.
윈도XP ‘대란’을 막을 수 있는 방법은 현재로선 상위 버전으로 전환하는 방법 외에 뚜렷한 대안이 없다. 일부 기관에서는 윈도XP PC의 인터넷 연결을 끊어버리는 것을 대안으로 내세울 정도다. 가장 손쉽게 대응할 수 있는 방법은 비용을 들여 업그레이드하는 것이다.
보안 위협 노출이 심각한 상황인데도 MS는 윈도XP 지원종료를 강행하고 있다. 이들이 내건 주된 이유는 아이러니하게도 ‘보안’이다. 각국에서 지원 중단을 좀 더 늦춰 달라는 요구를 하고 있고, 고객들의 항의가 거세져도 MS는 뜻을 굽히지 않고 있다.
미래창조과학부는 윈도XP 기술지원 종료에 따른 대책으로 ‘홍보 강화’와 ‘전용 백신 공급’을 내걸었다. 기술지원 종료 이후 발생되는 악성코드에 대해 신속하게 전용 백신을 개발해 배포하겠다는 입장이다. 하지만 이 또한 ‘미봉책’에 불과하다는 지적을 받고 있다.
기존 해킹 수법에는 어느 정도 대처할 수 있지만 새로 발견된 보안 취약성이나 해커들의 위협에는 대처 능력이 갈수록 떨어질 수밖에 없기 때문이다.
업계 관계자는 “이번 윈도XP 지원 종료 문제를 계기 삼아 윈도OS 종속에 대한 심각성을 전면적으로 검토해 봐야 한다”며 “오픈소스 기반 OS를 활용하는 등 MS 종속 탈피를 위한 대안책을 장기계획으로 마련해야 한다”고 말했다.
성현희기자 sunghh@etnews.com