Home > 전체기사
MS 오피스 2010 보안 지원 종료, 어떻게 대응해야 하나
  |  입력 : 2020-10-13 09:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2020년 10월 13일, 오피스 2010 보안 지원 종료
신규 취약점 대비해 최신 오피스 사용 권고


[보안뉴스 이상우 기자] 보안전문가가 개인사용자들에게 권고하는 보안 수칙 중에는 ‘소프트웨어를 최신 버전으로 유지할 것’이 언제나 포함돼 있다. 개발사가 주기적으로 제공하는 업데이트에는 단순한 기능 추가나 UI 개선뿐만 아니라 보안 취약점 제거, 버그 수정 등 소프트웨어 보안과 관련한 변경사항이 포함돼 있기 때문이다.

마이크로소프트가 2020년 10월 13일부터 자사의 업무 생산성 소프트웨어 ‘오피스 2010’에 대한 10년간의 지원을 완전히 종료한다. 이에 따라 해당 버전 사용자는 더 이상 보안 업데이트를 포함한 지원을 받을 수 없다. 지원이 끝난다고 해서 오피스 2010을 사용할 수 없는 것은 아니며, 문서 열기, 작성, 수정 등 모든 기능 역시 이전과 마찬가지로 쓸 수 있다. 다만, 보안 지원이 종료된 만큼 향후 등장할 수 있는 소프트웨어 취약점을 이용한 공격에는 대응하기 어렵다.

▲오피스 2010 지원 종료[이미지=마이크로소프트]


MS 오피스는 해커의 꾸준한 공격 대상이 되고 있다. 가령, 지난 2014년 3월에는 MS 워드에서 원격코드 실행을 통해 윈도우 사용자 권한을 탈취하는 제로데이 취약점이 발견됐으며, MS는 이를 해결하기 위해 4월 초 보안 업데이트를 진행했다.

2016년에는 매크로 기능을 악용해 랜섬웨어를 설치하는 공격도 등장했다. 매크로는 사용자가 글쇠 입력이나 단축키 등을 워드나 엑셀 문서에 사전 등록해 단순한 반복 작업을 줄여주는 기능이지만, 해당 사례에서는 사용자를 공격하는 수단으로 쓰였다. 뿐만 아니라 2017년에도 파워포인트 원격코드 실행 취약점을 악용한 PPT 파일을 사용자에게 전송해 윈도우 사용자 권한을 탈취하는 공격이 발생했다.

▲2014년 발견된 MS 오피스 제로데이 취약점[이미지=한국인터넷진흥원]


MS 오피스는 기업부터 개인까지 다양한 소비자가 사용하는 소프트웨어인 만큼, 해커가 기업이나 개인의 PC 시스템에 침투하는 통로로 악용되기 쉬우며, MS 역시 이러한 공격으로부터 사용자를 보호하기 위해 일반지원이 끝난 시점에도 추가지원을 통해 보안 기능 업데이트를 제공하고 있다.

특히, 해커는 기업의 주요 데이터를 유출하는 것 외에도 사용자의 PC에 악성코드를 심어 가상화폐를 채굴하는 ‘크립토재킹’ 등의 공격도 시도하고 있어 일반 사용자에게도 최신 보안 업데이트의 중요성을 강조할 필요가 있다.

물론 외부 인터넷에 연결하지 않는 PC라면 보안 업데이트 없이도 비교적 안전한 사용이 가능하며, 안티 바이러스 등의 보안 소프트웨어를 함께 사용하면 어느 정도 피해를 예방할 수도 있다. 하지만 근본적인 해결책은 보안 업데이트를 통한 취약점 제거다.

지원 종료된 오피스 2010 대안은?
오피스 2010은 지난 2010년 7월 15일 출시됐으며, MS는 출시 후 일반지원 5년, 추가지원 5년 등 약 10년간 보안 업데이트를 제공해왔다. 다음 버전인 오피스 2013(2013년 출시)의 경우 2023년 4월, 오피스 2016(2015년 출시)는 2025년 10월까지 진행하기 때문에 2018년 출시된 오피스 2019를 선택해야 가장 오랜 기간 지원받을 수 있다.

초기 도입비용이 부담스럽다면 마이크로소프트 365(오피스 365) 역시 좋은 대안이 될 수 있다. 앞서 언급한 것처럼 MS는 자사의 소프트웨어에 대해 정책에 따라 5년~10년 정도 기능 업그레이드 및 보안·버그 개선 업데이트를 제공하며, 이를 ‘고정 정책’이라고 부른다.

반면, 정기 구독형 버전인 마이크로소프트 365의 경우 MS가 제시하는 요구사항(운영체제 버전, 소프트웨어 업데이트 유지상태, 하드웨어 성능)을 준수할 경우 지속적인 기능 개선과 보안 업데이트를 제공하는 ‘최신 수명주기 정책’을 적용한다. 예를 들어 ‘윈도우 7’ 운영체제에 마이크로소프트 365를 사용한다면 이에 대한 지원은 2023년 1월 종료되지만, ‘윈도우 10’ 최신 버전을 유지한다면 마이크로소프트 365 역시 지속적인 지원을 받을 수 있다는 의미다.

비용 부담이 없는 오피스 온라인을 이용하는 방법도 있다. 오피스 온라인은 웹 브라우저를 기반으로 작동하는 웹 앱으로, 가입만 하면 5GB 클라우드 저장소와 함께 문서 작성 및 수정 등 MS 오피스의 주요 기능을 무료로 사용할 수 있다. 이 밖에도 오픈오피스, 리브레오피스 등 doc, xls, ppt 등의 문서 형식을 지원하는 무료 설치형 소프트웨어 역시 존재하니 대안이 될 수 있다.

최신 버전을 사용하더라도 최소한의 보안수칙을 지키는 것 역시 중요하다. 사용자는 MS 오피스 등 소프트웨어 업데이트를 주기적으로 확인하며 취약점을 보완하고 버그를 해결해야 한다. 또한, 의심스러운 이메일에 포함된 문서 파일을 내려받아 실행할 경우 매크로 기능 등을 통해 악성코드가 설치될 우려가 있으니 최신 버전이라도 차단 기능을 활성화하는 것이 좋다(보안센터 > 보안센터 설정 > 매크로 설정).

▲매크로 기능 비활성화 방법[캡처=보안뉴스]


마지막으로 불법 복제 버전을 지양해야 한다. 운영체제나 보안 소프트웨어에서 이러한 불법 복제 버전 및 라이선스 인증용 크랙을 자동으로 차단하지만, 사용자는 불법 복제 버전을 설치하기 위해 이러한 보호 기능을 차단하는 경우가 대부분이다. 이 때문에 해당 소프트웨어를 통해 악성 소프트웨어가 설치될 수 있으며, 보안 기능 비활성화 중 알 수 없는 위협에 노출될 가능성 역시 높아지는 만큼 사용자들의 주의가 필요하다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)