"2017년 전 세계를 휩쓴 ‘워너크라이’ 랜섬웨어가 악용한 취약점도 실은 마이크로소프트가 이보다 2년 앞서 배포한 보안 패치에 포함됐던 내용이었습니다. 업데이트만 제때 했어도 전혀 문제될 게 없었던 셈입니다. 마이크로소프트가 윈도10에서 주요 업데이트를 자동으로 실행되도록 한 이유도 이 때문입니다."
김귀련 한국마이크로소프트 보안 담당 부장은 22일 글로벌 보안 위협 트렌드 미디어 브리핑에서 이같이 말하며, 내년 초 공식적으로 기술지원 서비스가 중단되는 윈도7 마이그레이션의 중요성을 강조했다.
이 연장지원도 2020년 1월 14일이면 끝난다. 일체의 기술지원 서비스를 비롯해 마이크로소프트가 정기적으로 배포하는 최신 보안 업데이트도 더 이상 받아볼 수 없다. 단, 기업의 경우 마이크로소프트와 연장 보안 업데이트(ESU) 계약을 맺은 경우 정해진 기간 동안 월마다 패치를 제공받는다.
기술지원 서비스가 중단되더라도 운영체제를 더 이상 쓸 수 없는 건 아니다. 문제는 김 부장이 언급한 워너크라이 사례처럼 이미 알려진 보안 취약점을 악용한 제로데이 공격 등에 무방비가 된다는 점이다. 별도의 써드파티 보안 솔루션으로 최소한의 방비를 할 수는 있지만, 이는 지어진 지 오래 돼 골조가 취약한 건물에 보수공사를 하는 수준일 뿐 근본적인 해결책은 못 된다.
한국에서는 이미 2014년 윈도XP 기술지원 종료 당시 정부 차원에서 마이크로소프트와 협상을 펼치고, 대외 캠페인을 벌일 정도로 큰 혼란을 경험한 바 있다. 윈도XP 기술지원 계획은 이미 몇 년 전부터 공식화된 내용이었음에도 불구하고, 교체 비용 등을 들어 차일피일 교체를 미룬 기관이나 기업에서는 뒤늦게 허둥지둥대는 촌극을 연출했다.
내년 초 윈도7 기술지원 종료 시점에도 비슷한 상황이 연출될 가능성이 높다. 시장조사업체 스탯카운터에 따르면, 국내에서 윈도7을 탑재한 컴퓨터 비중은 34%에 달한다. 수량으로는 1200만대 수준이다. 마이크로소프트가 윈도10을 2015년 7월 출시했음을 고려하면, 현재 윈도7을 탑재한 컴퓨터는 구매한 지 최대 10년, 최소 4년쯤 된다. 전면 교체를 고려하기에 아직 쓸만한 컴퓨터도 많다는 얘기다.
마이크로소프트는 최근 윈도7 사용자를 대상으로 기술지원 종료가 임박했음을 알리는 팝업 공지를 띄우기 시작했다. 기관이나 기업의 경우 윈도7 기술지원 중단에 따른 후속 조치를 이미 시작했지만, 중소기업이나 일반 사용자의 경우 아직 인식이 낮아 홍보가 필요하다는 판단에서다.
김 부장은 "과거와 달리 최근에는 사이버 공격이 다양해지고 정교해짐에 따라 기업과 개인 모두 적극적으로 경계하는 자세가 중요하다"며 "운영체제 업데이트는 가장 기본적이고 필수적인 선제대응법 중 하나로, 기업 입장에서는 비용이나 운영관리 측면에서도 최신 운영체제를 쓰는 편이 더 유리하다"고 말했다.