공공기관 PC 50%, 보안성 취약한 윈도98 사용중

MS, “충분한 시간줬다. 추가 연장요구는 한국뿐...”

NCSC, 대책 마련 부심...사후 확산방지와 리눅스 활용방안 마련

KISA, 백신업체와 협의해 백신 무료공급 지원 합의

마이크로소프트가 윈도98에 대한 보안패치 서비스를 내년 6월까지 만료하고 더 이상의 연장은 없을 것이라고 못 박았다. 이에 윈도98을 사용하고 있는 정부기관과 일반 사용자들은 내년 7월부터 웜 바이러스와 해킹 등 사이버 위협에 무방비로 노출될 처지에 이르렀다.

<한국MS 최고보안고문(CSA) 조원영 이사>

한국 마이크로소프트 최고보안고문인 조원영 이사는 “윈도98은 94년경에 설계돼 97년에 배포된 OS다. 당시는 지금처럼 인터넷 베이스의 사이버 공격 위협이 심각하지 않았고 보안성 보다는 편리성과 개방성이 우선 고려 대상이었다. 그래서 보안성에 취약점이 많다”며 “이런 사태가 발생하지 않도록 윈도98 보안패치 연장을 위해 본사와 수차례 미팅을 하고 다각도의 노력을 기울였지만 본사의 입장을 돌릴 수는 없었다”고 밝혔다.

MS사는 지난 2002년 12월, 윈도98 보안패치 서비스를 2003년 6월까지 종료한다고 1차 보안패치 종료를 발표했다. 당시 MS는 2000년대부터 사이버 위협들이 증가함에 따라 취약성 공격에 대한 대비로 윈도me와 윈도2000, 윈도XP 등을 연이어 발표하고 보안성에 초점을 둔 OS로 업그레이드 시켜나갔다.

1차 윈도98 보안패치 종료가 발표될 당시는 전세계 많은 나라에서 보안패치 연장을 요구해왔고, MS는 다시 2차로 2004년 12월까지 연장을 만료하겠다고 발표했다. 이후 한국을 비롯한 몇 개 국가의 요청으로 2006년 6월까지 최종적으로 윈도98 보안패치 서비스를 만료하기로 결정하고 더 이상의 연장은 없다고 공식적으로 입장을 밝혔다.

MS측은 “두 번의 연장으로 충분히 준비할 시간을 줬다. 특히 2006년 6월 이후로 다시 연장을 요청하는 나라는 한국이 유일하다. 윈도98 보안패치 서비스를 지속하기 위해서는 많은 인력과 자금과 관련 소프트웨어 기업의 동의를 얻어야 한다. MS에서 연장해주고 싶어도 이제는 그 많은 기업을 설득할 수도 없는 상황”이라고 설명했다.

조원영 이사는 본사의 입장을 설명하면서 “MS 본사에 수도 없이 한국의 입장을 고려해 달라고 요구했지만 본사는 현재 앞으로 개발해야할 제품들에 대한 연구와 투자에 집중할 때”라며 “윈도98로는 아무리 보안패치를 서비스 한다 하더라도 지금처럼 사이버 공격이 날로 고도화 되는 상황에서는 감당할 수 없는 한계가 있다는 입장”이라며 난감함을 표시했다.

국가사이버안전센터(NCSC)는 정부의 사이버안전을 책임지는 기관으로 MS에 계속해서 윈도98 보안패치 서비스를 2007년 중반까지 연장해 달라는 요구를 해왔었다. 하지만 내년 6월까지 서비스 만료가 최종 확정되면서 당혹감을 감추지 못하고 있다.

NCSC 관계자는 “여타 국가에 비해 MS 운영체계 의존도가 월등히 높은 우리나라로서는 국가차원의 사이버보안 측면에서 매우 심각한 사안이 아닐 수 없다. 이제 내년 7월 이후에 발견되는 윈도98 보안취약점을 이용한 해킹, 웜 바이러스 공격에 속수무책으로 당할 수밖에 없다”며 “침입차단시스템, 침입탐지시스템, 안티바이러스 시스템 등의 보안제품관리를 잘한다 할지라도 어느 정도는 막을 수 있지만 근본적인 해결책이 될 수 없다”고 우려했다.

현재 정부의 대응방법으로는 사후대응조치에 초점이 맞춰져있다. NCSC 조사에 따르면 현재 공공기관에서 사용하는 윈도98 PC는 50%에 달하는 17만대 정도로 추정되며, 국내 총 PC 2700만대의 13%인 350만대 정도가 윈도98 OS를 사용하고 있는 것으로 나타났다. 특히 공공기관의 윈도98 비중이 민간에 비해 높은 상황이다. 내년 7월 이후 국내 350만대의 PC는 이제 각종 사이버 위협에 무방비로 노출될 위기에 처했다.

또한 MS의 OS에 대한 보안패치는 MS만이 할 수 있어 윈도98을 50%이상 사용하는 국내 공공기관 PC들의 집중공격이 발생할 경우 국가정보보호에 심각한 문제가 발생할 공산이 크다.

NCSC측은 “윈도98의 소스코드가 공개되지 않아 보안패치 개발을 할 수 없다”며 “소스코드만 공개된다면 충분히 국내 연구인력으로 보안패치 개발을 할 수 있다”고 밝혔다.

한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 해킹대응팀 성재모 팀장은 “사후조치로는 지난주 9일 백신업체 대표들과의 협의를 거쳐 내년 7월 이후 윈도98에 문제가 발생시 무료로 백신을 공급하겠다는 협의가 이루어졌다”고 밝히고 사전예방 조치로는 “KISA내의 MS 취약점 분석센터에서 윈도98의 취약점을 빨리 찾아내 그에 맞는 백신을 신속히 개발하는 작업을 수행할 방침”이라고 설명했다. 주로 피해가 발생한 다음 신속하게 확산을 방지하겠다는 입장이다.  

NCSC 한 관계자는 “공공기관과 민간기업의 윈도98을 XP로 교체할 수 있도록 권고하고 있고 공공기관들이 쉽게 예산을 마련할 수 있도록 기획예산처 및 각급 기관들과 협의를 강화할 예정”이라며 “또한 OS시장에서 MS의 독점적 지배에 대한 부작용을 예방하기 위해 공개소프트웨어인 리눅스 등 대체 OS사용을 더욱 활성화시킬 계획”이라고 밝혔다.

하지만 정부는 현재 내년 7월까지 윈도98을 XP버전으로 업그레이드할 수 있는 예산이 확보돼 있지 않다. 특히 국방부와 각 군의 초, 중, 고교의 윈도98 의존도가 높은 것으로 나타나 국가안보와 개인정보의 유출과 관련 심각한 보안사고 발생가능성이 커 정부가 의지를 가지고 해결점을 찾아야할 시점이라는 지적이 나오고 있다.

한국MS 조원영 이사는 “한국 정부의 1년 추가 연장에 대해 본사의 거부입장을 되돌릴 수 있는 여지는 없다. 다만 예산 집행과 관련해 본사와 협의를 거쳐 운용의 미를 살릴 수 있는 방안도 있고 보안패치와 관련해서 기술적인 부분도 적극적으로 지원할 방침”이라고 밝혔다. 

[길민권 기자(is21@infothe.com)]

          <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>