최근 통신사 해킹 사고가 잇따른 가운데 마이크로소프트(MS)의 윈도10 기술 지원 종료 시점까지 겹치면서 보안 위험을 우려하는 목소리가 커지고 있다. 특히 국내 PC 절반 이상이 여전히 윈도10을 사용하고 있는 가운데 업그레이드 여력이 부족한 중소기업이 해커들의 집중 타깃이 될 수 있어 주의가 요구된다.
해킹 위기 속 윈도10 종료 ‘이중 리스크’
27일 관련업계에 따르면 MS의 윈도10 기술 지원 종료가 2주 앞으로 다가왔다. 10월 14일 이후 보안 패치가 중단되면 새로운 취약점이 발견되더라도 더 이상 보안 업데이트가 제공되지 않는다. 최근 이동통신사와 카드사 해킹 사고로 보안 불안이 커진 시점에 윈도10 종료까지 겹치면서 사이버 공격 위험은 배가 될 전망이다.
시장조사업체 스탯카운터 조사를 살펴보면 올해 8월 기준 윈도10 점유율은 55.6%다. 국내 PC 두 대 중 한 대 이상이 여전히 윈도10을 사용 중이라는 의미다. 문제는 이런 높은 의존도가 보안 공백으로 직결될 수 있다는 점이다. 실제로 지난 6월 랜섬웨어 공격으로 5일간 서비스 먹통 사태를 겪은 예스24는 운영체제 수명 종료(EOL·End of Life) 관리 실패가 어떤 결과를 낳는지 보여준 사례다.
예스24는 2023년 10월 기술 지원이 종료된 윈도 2012 서버를 1년 반 넘게 사용하다가 공격을 받았다. 서버 운영체제는 통상 4~5년 주기로 교체하거나 최소한 지원 종료 이전에 전환이 권고된다.
보안 전문가들은 “업데이트가 중단된 시스템은 해커들이 가장 먼저 노리는 표적이다”라며, 윈도10 종료 후 비슷한 피해가 확산될 수 있다고 경고한다.
대응 나선 대기업… 발 묶인 중소기업 ‘어쩌나’
문제는 업그레이드를 하려 해도 현실적으로 쉽지 않다는 점이다. 윈도11은 윈도10에 비해 하드웨어 요구 사양이 크게 높아 CPU는 싱글코어에서 듀얼코어로, 램은 1GB에서 4GB로, 저장공간은 16GB에서 64GB로 각각 4배 늘었다. 구형 PC를 쓰는 기업은 신규 장비 구매라는 추가 비용까지 감당해야 한다.
대기업은 조직 차원에서 윈도11 전환 작업을 진행하며 큰 어려움이 없는 상황이다. 반면 중소기업은 비용과 호환성, 직원 교육 부담으로 업그레이드를 미루는 경우가 많아 윈도10 종료 이후 보안 사각지대에 방치될 수 있다.
MS는 이런 중소기업의 어려움을 파악하고 기업 대상 확장 보안 업데이트(ESU) 프로그램을 제공한다. 하지만 매년 비용이 늘어나고 2029년까지만 지원되는 임시 조치라는 점에서 제한적이다. MS 측은 “ESU는 장기적인 해결책이 아니며 보안 업데이트를 제외한 신규 기능이나 기술 지원은 포함되지 않는다”고 설명했다.
정부, 대응 나섰으나 통계 부재 발목
정부도 윈도10 종료에 따른 보안 공백을 우려하며 대응에 나서고 있다. 과기정통부는 지난 4월부터 윈도10 종료 대응 종합상황실을 운영하며 한국인터넷진흥원(KISA)을 통해 매일 보안 사고 신고와 문의를 모니터링하고 있다. 하지만 전환율조차 제대로 파악하지 못하는 등 대응에는 한계가 뚜렷하다.
과기정통부 담당자는 “정부가 확보 가능한 통계는 없다”며 “MS에 데이터를 지속적으로 요청하고 있지만 영업 비밀이라는 이유로 제공받기 어렵다”고 설명했다.
전문가들은 윈도10뿐 아니라 다양한 운영체제의 기술 지원 종료 시점이 한꺼번에 다가오고 있다는 점을 들어 개선이 시급하다고 지적한다. 김용대 KAIST 전기전자공학부 교수는 “윈도10뿐 아니라 리눅스, 유닉스 등 모든 운영체제가 수명 종료에 도달한다”며 “수명이 다한 운영체제가 여전히 곳곳에서 사용되고 있다”고 지적했다.
그는 이어 “기업들은 구형 운영체제를 새 운영체제로 마이그레이션하는 비용을 보안 예산이 아니라 신규 구매로 분류해 투자를 꺼린다”며 “겉보기에 정상적으로 돌아가는 서비스라 교체를 미루지만, 이는 곧 보안과 직결된다는 점에서 구조적 해결이 필요한 문제”라고 강조했다.
홍주연 기자
jyhong@chosunbiz.com