Home > 전체기사
[한국정보보호학회 칼럼] 윈도우 7 기술지원 종료...범국가적인 운영체제 관리 필요하다
  |  입력 : 2019-12-18 10:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
일부 산업체 국가·공공기관의 요청에 따라 지원이 종료된 운영환경에 대한 시험평가 요구
범국가적인 차원에서 기술지원 종료되어 취약점이 내재된 운영체제가 얼마나 사용되고 있는지 식별해야


[보안뉴스=박영호 한국정보보호학회 상임부회장] ‘보안(security)은 사슬(chain)과 같아서, 가장 약한 고리만큼만 안전하다’라는 시스템 보안 전문가인 브루스 슈나이어(Bruce Schneier)의 유명한 말이 있다. 아무리 안전한 문을 가진 집이라 해도 창문이 허술하다면 도둑이 쉽게 침입할 수 있듯, 안전한 집은 내부에 접근할 수 있는 모든 부분이 충분히 안전해야 한다. 특히 PC나 서버 등은 내부의 데이터에 접근할 수 있는 네트워크뿐만 아니라 운영체제(OS)의 안전성도 매우 중요하다.

[이미지=ilcickart[]


2019년 11월, Net Applications 통계정보에 의하면 전 세계 윈도우 시장 점유율에서 윈도우 7의 사용 점유율이 아직도 26.86%에 달하고 있다. 우리나라 역시 4대 중 1대가 윈도우 7을 사용 중이다. 그런데 이런 윈도우 7의 기술지원 종료가 2020년 1월로 다가왔다. 기술지원 종료의 중요성은 2017년 5월 기술지원이 중단된 윈도우 XP 취약점에 의해 전 세계 150개국 30만대 이상의 PC가 감염되는 워너크라이 사태에서 이미 경험한 바 있다.

물론, 윈도우 7의 기술지원 종료에 따라 기존 윈도우 7을 기술지원이 가능한 최신 운영체제로 업데이트하는 것도 중요하다. 최신 운영체제 유지는 PC 환경뿐만 아니라, 개인정보 등 중요 데이터가 대량 취급되는 서버급 환경에서 더 큰 이슈이다. 윈도우 서버 2003(2015년 7월 지원 종료), HP-UX 5.3(2012년 4월 지원 종료), Solaris 9(2014년 9월 지원 종료) 등 실제로 많은 운영체제가 개발사의 기술지원이 끝났지만, 노후한 운영체제를 탑재한 시스템들이 아직도 산업체, 학교, 국가·공공기관에 보편적으로 운영되고 있다.

PC를 교체하는 것보다 서버나 시스템을 바꾸는 것은 더욱 어려운 일이다. 국가·공공기관에서 새로운 정보보호제품을 도입 시에 안전성보다 기존 시스템과의 호환성을 우선시 하는 것이 현실이다. 이에 정보보호업체도 고객의 요구에 어쩔 수 없이 대응하기 위해서 기존 시스템 호환을 위한 예산과 인력을 투입하고 있다. 기술 지원이 종료되어 취약점이 내포되어 있는 운영체제 내에 검증필 암호모듈을 탑재하고, CC인증제품, GS인증제품을 사용하는 게 무슨 의미가 있을까? 좀 과장하자면 아마도 안전하다고 인증된 잠금장치를 여러 개 달고 있는 문을 닫지 않고 열어놓고 있는 집과도 같다고 할 것이다.

다행히도 암호모듈 검증이나 CC인증에서도 기술지원이 종료된 운영체제에 대한 모듈 및 제품을 정책적으로 시험평가하지 않고 있다. 그럼에도 불구하고 일부 산업체는 국가·공공기관의 요청에 따라 지원이 종료된 운영환경에 대한 시험평가를 요구하고 있다. 행정안전부는 2019년 8월 ‘행정기관 및 공공기관 정보시스템 구축·운영 지침’을 개정해 소프트웨어 개발보안 기준 및 절차 등을 규정하고 이를 준수하도록 제도화하고 있으며, 다양한 소프트웨어 보안 위협 등에 대한 보안약점 진단 기준 등을 제시하고 있으나, 이러한 진단 기준과 더불어 운영체제에 대한 안전성도 포함되었으면 더 좋았을 것이다.

▲박영호 세종사이버대학교 정보보호학과/정보보호대학원 교수[사진=박영호 교수]

현재 국가 및 민간의 정보통신망과 정보시스템에 대한 사이버위협 대응을 위하여 법· 제도적 장치들이 마련되어 있다. 정보보호 계획 수립과 조치 마련을 위한 국가정보화기본법, 정보통신기반보호법, 전자정부법, 국가사이버안전관리규정 등 다양한 법·규정은 있으나, 실제 적용되는 현실과는 차이가 크게 느껴진다.

초연결 기반 4차 산업혁명 시대에서 우리나라가 글로벌 해커들에게 빅데이터를 제공해서야 되겠는가? 2년 전 워너크라이 사태가 우리사회에 또 다시 발생한다면 해킹에 의한 직간접적인 피해액과 사회적 비용은 사전 예방 비용을 초과할 수 있다. 단순 윈도우 7만의 교체가 아닌, 범국가적인 차원에서 기술지원이 종료되어 취약점이 내재된 운영체제가 얼마나 사용되고 있는지 식별해야 하며, 중요도 및 시급성에 따라 점진적으로 교체해야 한다. 다가오는 새해에는 좀 더 안전한 사회가 되길 바랄 뿐이다.
[글_박영호 세종사이버대학교 정보보호학과/정보보호대학원 교수(youngho@sjcu.ac.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)