본문 바로가기
시사/보도

윈도XP 지원 종료가 가져올 보안대란

by 생각비행 2014. 3. 28.
윈도XP 지원 종료, 무엇이 문제인가?

IT 세계의 일세를 풍미했던 OS인 마이크로소프트(MS)의 윈도XP 지원 종료가 일주일 남짓 앞으로 다가왔습니다. 컴퓨터를 아예 못 쓰게 되는 것이 아니고 윈도 업데이트 지원이 중단되는 것 정도로 웬 호들갑이냐 싶은 분이 계시다면 생각을 바꾸시는 편이 좋습니다.

자동차도 10년이면 폐차를 고려할 세월인데, 윈도XP는 출시한 지 12년이 넘었다는 얘기니까요. 윈도XP가 나올 당시는 아이폰 같은 스마트폰은 고사하고 인터넷 보급이 한창일 때였고, 오늘날 공룡 포털이 된 네이버가 걸음마를 시작한 기업이었습니다. 그 유명한 지식in 서비스는 아예 존재하지도 않던 시절입니다. 안 그래도 IT업계의 1년은 다른 업계의 10년만큼 변화가 빠르다고 하니 얼마나 오래전 일인지 이제 실감이 나시나요?

출처 - 매일경제

이렇게 오래된 OS이다 보니 윈도XP는 이제 한계에 다다랐습니다. 오늘날과 같이 인터넷 보안 위협이 고도화된 사회를 고려하여 나온 설계가 아니어서 땜질식 업데이트로는 대응하기가 힘들어진 겁니다. IT업계에서는 마이크로소프트가가 4월 8일 윈도XP 지원을 종료하면, 그 즉시 제로데이 공격(컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로 해당 취약점에 대한 패치가 나오지 않은 시점에 재빨리 이루어지는 공격)이 발생하리라 예측하고 있습니다.

4월 8일 윈도XP 지원 종료를 앞두고 세계 각국은 수년 전부터 준비에 바빴습니다. 여전히 많은 국가의 정부, 금융권, 개인이 윈도XP를 쓰고 있기 때문입니다.

영국은 MS와 윈도XP 기술지원 기간을 놓고 협상중인 것으로 알려졌다. 영국 국가건강서비스(NHS)가 가입자 의료정보와 같은 민감 데이터를 보안 위협에 노출시킬 가능성을 우려해 최소 1년 이상 MS에 기술지원 연장을 요청한 상태다.

일본은 특히 지방 정부가 과세 및 주거 등 민감 정보를 다루는 행정용 PC에 윈도XP를 여전히 사용중이며 대책 방안으로 인터넷선을 뽑은 상태로 쓰거나 백신SW를 최신 상태로 유지하게 하는 등 여러 방안을 고심중이다.

중국은 전체 PC의 25% 가량이 윈도XP를 사용중인 것으로 나타났다.  중국은 MS에 윈도XP의 지원기간을 연장할 것을 요청했지만, MS는 중국 정부의 요청을 거절한 상태인 것으로 알려졌다. 이에 중국의 대형 IT회사인 텐센트, 킹소프트, 소우거우 등이 MS를 대신해 기술지원이 종료되는 4월 8일 이후 윈도XP 시스템 업그레이드와 보안기능에 대한 기술지원을 하기로 결정했다.

독일은 MS에 공식적으로 지원 연장을 요청하지 않고, 운용체계(OS)를 리눅스 기반으로 전환을 시도하고 있다.  독일 정부의 이같은 결정은 특정 업체의 OS 종속에서 벗어나겠다는 의미로 해석된다.

 

ATM현금인출기 해킹 비상

각국 정부가 수년 전부터 비상 사태를 대비한 데 비해 우리 정부는 아직고 그 심각성을 깨닫지 못하고 있습니다. 한국인터넷진흥원은 별다른 대응방안이 없고 미래창조과학부에서 지시받은 바도 없다고 말하고 있고, 미래창조과학부의 주무 부서인 정보보호정책과와 소프트웨어정책과는 서로 자기 관할이 아니라며 떠넘기기에만 급급하고 있다고 합니다. 국민의 개인 정보를 세계인의 공공재로 유출하고 있는 보안 불감증의 나라다운 모습입니다.

출처 - 한겨레

보안업계에 따르면 국내 윈도XP 점유율이 18퍼센트 대로 낮아졌지만 이는 공식적인 수치일 뿐 실질적으로는 25퍼센트 이상일 것으로 추측하고 있습니다. 백번 양보해 개인용 PC야 그렇다 치더라도, 윈도XP를 쓰고 있는 정부 및 공공 기관 PC, 기업용 PC에 내장된 비밀 문건과 장부들이 안전할까요? 윈도XP에 비해 덜 알려졌지만 4월 8일 마이크로소프트 오피스(MS Office)에 해당하는 워드, 엑셀, 파워포인트 같은 프로그램 2003 버전도 지원이 종료됩니다.

여기에 윈도XP 계열의 내장형 OS인 임베디드 OS를 사용하는 산업용 기기나 의료용 기기, 편의점 등 점포의 출납을 정산하는 POS, 돈을 직접 담당하는 은행의 ATM에 이르기까지 윈도XP가 쓰이지 않는 곳이 없습니다. 이것들이 오작동을 일으키거나 금융 오류가 생긴다면 큰 혼란이 일어나겠죠. 더구나 윈도XP의 지원이 중단되고 해커들이 본격적으로 공격을 시작하면 이는 개인정보 유출과는 차원이 다른 재앙을 가져올 겁니다.

출처 - 지디넷

직접적인 예로 우리나라 은행 ATM을 살펴보죠. ATM이 윈도XP와 무슨 상관인가 하고 생각하는 분도 계시겠지만 입출금 업무를 자동화한 ATM은 키보드와 마우스를 감췄을 뿐, 일종의 컴퓨터이고 화면에 보이는 메뉴는 소프트웨어입니다. 이 ATM 프로그램이 현재 대부분 윈도XP를 기반으로 운용되고 있습니다. 그리고 ATM의 수는 어마어마합니다.

21일 금융 및 ATM 업계 전문가에 따르면 국내 시중 은행에서 운영하는 ATM의 80% 이상이 윈도XP로 운영되고 있는 것으로 나타났다. MS가 4월 8일 윈도XP 지원을 종료한 이후에도 이들 ATM을 운영하게 되면 각종 보안 위협에 노출될 가능성이 매우 높다. 현 ATM은 단순 입출금, 송금뿐 아니라 공과금 납부, 티머니 충전, 인터넷 전화 기능까지 제공하고 있다. 지난해 5월 금융감독원이 조사한 자료에 의하면 전체 8만대 CD/ATM 가운데 97.6%인 7만8000대가 윈도XP를 사용하고 있는 것으로 나타났다. 일부 은행은 심지어 더 낮은 버전인 윈도2000과 윈도CE 6.0으로 운영하고 있는 것으로 조사됐다. 시중은행의 한 ATM 담당자는 “OS를 교체해야 하는데 아직 구체적인 계획은 없다”며 “기능적인 측면에서 윈도7이 특별한 가치가 있는 것도 아닐 뿐더러 기기마다 일일이 SW를 교체하는 작업도 만만치 않고, 단순히 OS만 바꿔서 해결될 사안이 아니기 때문에 매우 고민스럽다”고 털어놨다.


최대 97.6퍼센트, 최소 80퍼센트 이상의 ATM이 윈도XP로 돌아가고 있습니다. 심지어 일부는 XP보다도 더 낮은 윈도2000이나 윈도CE 등으로 돌아가고 있고요. 은행권이 인력과 비용을 감축한다며 ATM만 늘려놓고 보안에는 나 몰라라 한 게 현재 우리나라 은행의 보안 실태입니다. 물론 은행은 약간의 변명은 하고 있습니다. 한번 보실까요?

17일 은행권에 따르면 KB국민 신한 우리 하나은행 등 주요 은행들은 1년 전부터 관련 태스크포스(TF)를 만들어 MS 본사 지원 종료에 대비해왔다. 국민은행은 업무용 단말기, 노트북의 경우 대부분 윈도7로 전환했다. 신한은행도 다음 달 8일 전까지 영업점에서 사용하는 모든 PC를 다른 운영체제로 바꿀 계획이다. 다른 은행들도 인터넷이 연결되어 있는 업무용 PC 중 윈도XP 운영체제를 쓰는 PC인 경우에는 대부분 다른 운영체제로 변경했다. 전국의 은행 지점에 설치된 현금자동입출금기(ATM)의 90% 이상이 윈도XP를 사용해 보안에 취약할 수 있다는 지적도 나온다. 하지만 은행권과 금융당국은 ATM이 인터넷을 사용하지 않는 폐쇄망으로 분리되어 있기 때문에 운영체제 지원 종료에 따른 큰 혼란은 없을 것으로 보고 있다.


정부와 달리 수익 문제가 걸린 은행권은 1년 전부터 사내에서 인터넷과 연결된 PC의 업그레이드를 마쳐가는 중이라고 합니다. 하지만 이 경우에도 ATM에 대해서는 아무런 대책을 세우지 않고 있는데요. ATM은 인터넷과 직접 연결이 된 것이 아니어서 계속 써도 문제가 없다는 게 은행권의 입장입니다. 하지만 정말 그럴까요? 은행 ATM에서 내 돈이 털릴지도 모른단 걱정이 과연 기우에 불과할까요? 은행이 걱정 말라던 일이 실제로 일어났습니다.

출처 - MBN

시만텍은 마이크로소프트(MS)의 윈도 XP 서비스 종료가 다가오면서, 문자 메시지를 통해 현금을 인출하게 하는 악성코드를 발견했다고 27일 밝혔다. 시만텍은 2013년 하반기 멕시코에서 외부 키보드를 통해 현금자동입출력기(ATM)에 저장된 현금을 인출하는 악성코드 `Backdoor.Ploutus'를 발견했다. 또 모듈식 아키텍처로 변형된 악성코드 `Backdoor.Ploutus.B'도 추가로 발견했다. 이 악성코드는 영어로도 번역돼 공격자가 다른 나라에도 이를 유포할 의도가 있었다는 게 회사측의 분석이다.


기사의 내용이 복잡하지만 간단히 말해 ATM에 설치된 윈도의 보안 취약점을 이용해 해커가 스마트폰으로 문자만 보내면 ATM에서 돈을 인출할 수 있는 악성코드가 실제로 존재한다는 얘깁니다. 이를 해결하기 위해 보안전문업체인 시만텍은 하드디스크를 암호화하거나 기타 보안 솔루션을 사용할 수 있겠지만, 윈도XP를 가능한 한 빨리 최신 OS로 업그레이드하라고 권고합니다.

출처 - 조선일보

이렇게 실존하는 위협이 눈앞에 있는데 정부와 금융사들은 보안 불감증에 부족한 예산을 탓하며 세월아 네월아 하고 있습니다. 개인정보 유출처럼 ATM의 돈도 1000만 명 단위로 유출되어야 대책 수립에 나설 건가요? 

정부의 늑장 대응과 기업들의 안이한 인식, 예산 부족 등으로 이들 기기 대부분은 업그레이드를 하지 못한 채 다음달 8일을 맞게 될 상황이다. 금융감독원은 지원 종료 이후에도 현금지급기의 90% 이상 대부분이 엑스피 또는 이하 버전으로 그대로 운용될 것으로 파악하고 있다. 송현 금감원 아이티(IT)감독국장은 “8일 전까지 상위 버전으로 교체하도록 권고해 왔는데, 업체들이 비용 부담과 윈도 운영체제 종속 문제 등으로 교체가 미흡했다. 강제는 할 수 없기 때문에 각사 최고정보책임자(CIO) 등에게 대책 제출 및 최고경영자(CEO) 보고를 하도록 하고 개인정보 유출 때 강력 제재하겠다고 경고한 바 있다”고 말했다. 금감원은 또 이들 기기와 외부망의 연결을 끊도록 지도했다고 밝혔다. 이미 예정된 종료 시한에 추가 연장까지 있던 상황에서 사실상 거의 업그레이드가 이뤄지지 않은 점은 정책상 ‘책임 방기’에 가깝다는 지적이 나온다. 김승주 교수는 “엑스피 문제의 핵심은 정부의 늑장 대응이다. 최근 해킹 기술 등을 보면 인터넷 등에 연결되어 있지 않더라도 직접 기기를 통해 취약점으로부터 정보를 빼낼 수 있는데 앞으로 큰 보안 사고가 걱정된다”고 말했다.


정부는 뒤늦게 한국인터넷진흥원 보호나라를 통해 윈도XP 지원 종료 이후에 대응할 백신을 무료 배포하겠다거나 장차 탈 윈도 할 수 있는 리눅스나 자체 OS를 개발하겠다며 뜬구름 잡는 소리만 하고 있습니다. 기업들은 여태까지 보안에 돈을 안 들일 수 있었던 것을 오히려 능력이라고 생각해왔습니다. 이런 안일함과 무능력이 만나 앞으로 큰 재앙이 벌어지지 않을지 걱정스럽습니다. 가장 기본적인 곳에서부터 밑바닥을 드러내 보이는 상황에서 창조경제를 하겠다고요? 가당치도 않습니다.


댓글