공공 해킹 지속되는데…'센트OS' 종료 취약점 대응해야

공공 해킹 지속되는데…'센트OS' 종료 취약점 대응해야

#. A시스템은 공무원 수만명이 이용하는 주요 시스템 중 하나다. 공무원이 사용하는 주요 데이터가 오가기 때문에 보안이 중요하다. 그런데 이 시스템이 사용하는 운용체계(OS)인 '센트OS'가 지난 6월 말 보안 업데이트 지원이 종료됐다. 하지만 다른 OS 교체나 보안지원 제품으로 교체되지 않은채 방치돼 보안 위협에 노출됐다는 지적이 제기된다.

7일 업계에 따르면 최근 공공 해킹 위협이 지속되는 가운데 센트OS 이용 시 보안 위협에 노출될 가능성이 커 대책 마련이 시급하다.

센트OS는 레드햇 엔터프라이즈 리눅스(RHEL) 오픈소스 소프트웨어 버전 제품이다. 리눅스 서버 OS로 고가 레드햇 제품을 사용하지 못하는 기업, 공공기관은 센트OS를 도입해 사용해왔다. 레드햇은 그동안 센트OS 버전에 대해 보안 취약점 패치 등 기술 지원을 하다, 지난 6월 말 센트OS7 버전에 대한 지원을 종료했다.

레드햇 기술 지원 종료에 따라 센트OS 이용자는 유료 리눅스 OS 솔루션으로 교체·도입하거나 별도 보안 기술 지원 서비스를 받아야한다. 해커가 OS 취약점을 악용해 정보 탈취 등 공격을 하는 상황에서 보안 기술 지원이 종료된 OS를 계속 사용할 수 없기 때문이다.

이미 대기업을 비롯 금융 등 주요 기업은 지난해부터 센트OS 대응책을 마련했다.

문제는 공공은 이 같은 대응에 상대적으로 취약할 수 있다는 점이다.

공공 시스템 유지보수 기업 대표는 “일부 고객사는 센트OS 기술 지원 종료를 인지하고 먼저 타 제품 교환이나 별도 유지보수 서비스가 필요하다고 요청한다”면서 “하지만 센트OS 종료 대응이 필요하다고 관련 예산이나 조치 관련 공문을 수 차례 보냈지만 몇 달째 아무런 대응이 없는 곳도 적지 않다”고 말했다.

행안부가 공개하는 '2023년도 공공부문 정보자원 현황 통계보고서'에 따르면 OS 도입 비중은 '레드햇(42.09%), 마이크로소프트(32.20%), 센트OS(8.84%), IBM(8.56%), 오라클(8.31%) 순으로 나타났다. 센트OS는 레드햇에 비해 4분의 1수준이지만 공공 사용 OS 톱5 안에 꼽힐만큼 공공 여러 사이트에서 사용 중이다.

이성권 엔키화이트햇 대표는 “세계는 사이버 전쟁 중으로 사이버 공격은 일상이 됐고 해커는 취약점을 계속 찾고 있다”면서 “보안 패치 등 더 이상 보안을 지원하지 않는 OS는 취약점 발견 시 대응법이 없어 위험이 그대로 노출된다”고 말했다.

행안부 관계자는 “개별 OS 기술 지원 종료 때마다 부처 등에 안내하거나 대책 마련을 촉구할 수 없다”면서 “개별 시스템 유지보수 담당 전문 기업이 사전에 OS 종료 등 정보를 파악해 공공 고객사와 함께 대책이나 예산 등을 마련해야 한다”고 말했다.

김지선 기자 river@etnews.com, 조재학 기자 2jh@etnews.com