본문 바로가기
보안경고 & et cetra

당신이 윈도우 XP를 버려야 하는 이유 / 마이크로소프트 2014년 4월 8일 Windows XP 지원 중단

by 글벌레 2014. 4. 7.
반응형

 

현재 XP를 사용하는 대부분의 컴퓨터들에서는 2014년 4월 8일에

마이크로소프트는 윈도우즈 XP에 대한 지원을 중단한다는 메시지가 뜰 겁니다 .

 

해당 메시지가 뜨는 이유는 마이크로소프트가 2014년 3월 8일에 윈도우즈 XP 지원 중단 알림 메시지를

윈도우 업데이트를 통해서 배포했기 때문입니다 .

 

윈도우즈 XP 지원 중단 알림은 2014년 3월 8일에 게시되고 , 그 외의 업데이트들은 3월 12일에 게시되었다 .

 

 

일단은 2014년 4월 8일 , 화요일이 가지는 의미부터 간략하게 살펴봅니다 .

그 날짜를 꼭 지키는 것은 아니지만 ,

마이크로소프트는 매월 둘째 주 화요일에 보안 업데이트 및 각종 업데이트들을 배포해 왔습니다 .

 

그러므로 2014년 4월 8일 화요일에 XP 지원을 종료한다.라고 하는 건

꼭 4월 8일이 아니더라도 마이크로소프트가 2014년 4월까지는 윈도우즈 XP에 대한 업데이트를 해 주겠다는

뜻으로 풀이를 할 수도 있습니다 .

 

그러나 만약 4월 8일에 업데이트를 배포하지 못할 경우에는

마이크로소프트는 그것이 준비가 되었든 안 되었든 XP에 대한 업데이트들을 배포하지 않을 확률도 있습니다 .

 

만약 마이크로소프트가 XP에 대한 4월 업데이트들을 배포해 준다면

2014년 5월 정도까지는 그래도 어느 정도 안심하고 XP를 사용할 수 있을 겁니다 .

그러나 만약 마이크로소프트가 4월 업데이트를 꿀꺽한다면

XP 사용자들은 가급적 2014년 4월 중으로는 XP를 버리는 게 가장 좋은 방법일 겁니다 .

 

그렇다면 윈도우즈 업데이트란 게 무엇이길래

마이크로소프트가 더 이상 XP에 대한 업데이트들을 지원하지 않는다고 해서 XP를 버려야만 하는 걸까요 ?

 

윈도우즈 업데이트는 크게 보면 두 종류로 구성이 됩니다 .

 

하나는 오류 수정 및 기능 강화를 위한 업데이트이고

또 하나는 윈도우의 보안상 취약점들을 메꾸어 주는 보안 패치입니다 .

 

둘 중에 지원이 중단이 됨으로써 문제가 되는 건 보안 패치인데요 .

 

보안 패치란 윈도우의 신규 취약점들을 메꾸어 주는 역활을 하는 겁니다 .

신규 취약점이라고 하니까 , 뉘앙스상 윈도우에 없던 취약점이 새로 발생하는 거로 느낄 수도 있지만 ,

윈도우의 취약점들은 윈도우가 처음 발표될 당시부터 태생적으로 존재를 해온 겁니다 .

 

윈도우는 방대한 소스 코드이기 때문에 그걸 짜는 데 종사한 마이크로소프트의 프로그래머들도

자신들이 짠 코드에 어떤 헛점이 존재해서 어떻게 악용이 될까를 모두 파악할 수는 없었습니다 .

그렇게 파악되지 못했던 헛점들이 마이크로소프트 스스로에 의하여 또는 다른 제삼의 프로그래머들 또는

해커 집단들에 의하여 새롭게 발견이 되면 그게 바로 신규 취약점이 되는 겁니다 .

 

이렇게 밝혀진 취약점들은 악성코드 제작자들에 의하여 악용이 될 수밖에 없는데요 .

바로 그러한 어뷰즈를 막아 주려고 마이크로소프트는 매월 둘째 주 화요일에 새롭게 밝혀진

취약점들에 대하여 패치를 해 주는데 , 이게 바로 보안 패치들인 겁니다 .

 

그런데 이제 마이크로소프트는 XP에 대하여는 더 이상 보안패치들을 배포하지 않겠다는 겁니다 .

 

그렇다면 취약점이 패치 안 된 컴퓨터들에서는 어떤 일들이 일어날까요 ?

 

가장 대표적인 예를 들어 본다면

요즘 개인 사용자의 컴퓨터가 악성코드에 감염이 되는 대표적인 경로는

악성코드를 유포하도록 변조된 웹 사이트 방문을 통해서입니다 .

 

그런데 사용자가 악성코드가 유포되게 변조된 웹 사이트를 방문했더라도

사용자의 컴퓨터에 모든 보안 패치들이 되어 있고 , 더하여 어도비 플래시 플레이어까지 최신 버전이라면

사용자의 컴퓨터는 99.9% 악성코드에 감염이 되지 않습니다 .

 

그런데 만약 보안 패치들도 안 되어 있고 , 어도비 플래시 플레이어도 옛 버전이 설치되어 있는 컴퓨터라면

악성코드 유포 사이트를 방문하는 경우 100% 악성코드에 감염이 된다고 보면 됩니다 .

 

이게 바로 현실임에도

일부 사용자들은 다음(DAUM) 지식 또는 네이버 지식iN을 통하여

윈도우 업데이트는 필요가 없는 것이다 . 백신만 좋은 걸 사용하고 방화벽만 켜 놓는다면

악성코드 감염은 일어나지 않는다고 주장들을 하고 있는데요 .

 

그들이 모르고 있는 건 백신은 사후 약방문적인 성격이 강하다는 겁니다 .

(물론 이게 백신이 필요 없다는 뜻은 아니니 지나치게 비약 , 왜곡하지는 마시기 바랍니다 .)

무슨 말이냐면

백신은 취약점을 메우지는 못합니다 . 즉 , 선제적으로 악성코드의 공격을 차단하지는 못한다는 겁니다 .

백신은 취약점을 통하여 공격이 있을 경우 , 공격해 온 악성코드를 치료를 할뿐입니다 .

물론 이 과정에서도 백신은 해당 공격이 윈도우 취약점을 통하여 들어온 거란 건 알지 못합니다 . 

즉 취약점에 대하여는 아무런 조치도 하지 않고 ,

다만 백신의 엔진 패턴에 정의된 악성코드가 감지가 되었기 때문에 잡고 치료를 한 거뿐인 거죠 ....

 

바로 여기에 주요 포인트가 있는데요 .

백신의 엔진 패턴에 취약점을 타고 들어온 악성코드에 대한 패턴이 추가가 되려면

해당 악성코드의 공격이 발생한 후 일정 사용자들은 감염이 된 후에

백신 회사들이 그 감염체를 수집하고 분석하고 나서야

패턴에 해당 악성코드에 대한 것이 추가가 되는데요 .

결국 이 과정에서 많은 사용자들은 자신이 감염이 된 거조차도 모르고

컴퓨터를 계속 사용할 수도 있다는 겁니다 .

 

악성코드 감염을 모르고 컴퓨터를 계속 사용한 사용자는 어떤 피해를 입을까요 ?

그건 말할 필요도 없이 금전적인 피해입니다 .

요즘 악성코드들은 100% 금전적인 이득을 목적으로 하기 때문에

악성코드 감염 사실을 모르고 컴퓨터를 계속 사용하는 사용자들은 인터넷 뱅킹을 통하여 돈을 도둑맞든가  

또는 카드 도용을 당할 겁니다 .

 

그런데 더 심각한 건 어떤 취약점을 이용해 그런 공격이 발생한 경우

그러한 공격은 또 다른 악성코드들을 통하여 계속적인 재발이 가능한데 ,

이때에도 역시 백신들은 해당 악성코드들에 대한 패턴이 업데이트가 되어야만 진단이 가능하다는 겁니다 .

(물론 요즘 백신들은 클라우드 기반의 진단 , 행동 기반 진단을 병행하는 경우가 많지만 , 그 진단의 유효성은

시그니처 , 즉 패턴에 의한 진단만은 못합니다 .)

 

그러므로 보안 패치 없이 백신에만 의존할 시에는

일정 수 이상의 사용자들은 취약점을 이용해 공격해 들어오는

새로운 악성코드들에 의한 희생자들이 될 수밖에 없다는 겁니다 .

 

이렇게 말을 해도 말귀를 알아먹지 못하는 사람들을 위하여 또 다르게 말을 한다면

 

2006년 , 마이크로소프트가 윈도우 98에 대한 지원을 중단하기 직전에 

우리 정부는 우리 관공서들에 아직도 많은 윈도우 98 컴퓨터들이 존재한다는 이유로

마이크로스프트에게 윈도우 98에 대한 지원 연장을 요청했다가 거절을 당했었습니다 .

 

만약 마이크로소프트의 보안 패치를 통한 지원이 일부 사람들의 주장처럼 그렇게 중요하지 않고 ,

필요하지 않은 거라면

 

2006년에 우리 정부는 괜스런 말을 마이크로소프트에게 해서 개망신을 당했던 걸까요 ?

 

아니죠 .

마이크로소프트가 해주는 지원 , 보안 패치는 그만큼 중요하다는 뜻인 겁니다 .

 

사실 윈도우 98의 경우에는 보안 패치들이 XP만큼 많이 게시가 되지도 않았었습니다 .

그럼에도 우리 정부는 마이크로소프트에 신규 취약점들에 대한 보안 패치들을 연장해 달라고 했었는데

XP는 윈도우 98과 비교해서 엄청난 신규 취약점들이 발견이 되었고 ,

또 마이크로소프트의 XP 지원 중단 이후에도 계속해서 많이 발견이 될 겁니다 .

바로 그런 XP에서 패치가 되지 못하는 신규 취약점들이 앞으로 악성코들의 주요 공격 루트가 될 확률이 크고요 .

 

그래서 XP를 사용하는 당신이라면 당신은 XP를 버려야 합니다 .

 

자 , 아직도 말귀를 못 알아먹었나요 ?

그렇다면 이번에는 이렇게 말을 해 봅니다 .

 

윈도우 업데이트는 많은 서버들을 필요로 합니다 . 전 세계인이 수시로 내려 받는 것이니까요 .

그래서 제가 추측하기로는 마이크로소프트는 서버 확충을 위해 TUCOWS , OAK뭐시기라는

회사(명칭이 확실히 기억이 안 나는군요 .) , Akami뭐시기라는 회사 등등에서 서버를 임대도 해서

사용하는 거로 보입니다 . 윈도우 업데이트를 위해서는 서버 비용만도 엄청나다는 거죠 .

 

게다가 보안 취약점이 발견이 되면 그걸 분석하고 패치를 만드는데 필요한 인력에 대한 비용도 엄청날 겁니다 .

또 보안 패치는 영어로만 만듭니까 ? 아니죠 . 세계 각국 언어 윈도우에 맞추어서 배포가 됩니다 .

그래서 한글 윈도우용 패치 파일에는 kor라고 표시가 되죠 .

윈도우 업데이트가 필요가 없는 거라면 엄청난 비용을 써 가면서 마이크로소프트가 왜 이런 일을 하는 걸까요 ?

돈이 많아서 돈지랄하는 걸까요 ?

아 ! 사람들을 협박해서 상위 버전 윈도우 구매를 촉진하려 하는 건지도 모른다고요 ?

그렇다면 백신 회사들이 악성코드 분석을 내놓으면서

어떤 악성코드는 어떤 보안 취약점을 이용했다고 하는 것도 거짓말인가요 ?

백신 회사들이 마이크로소프트에서 뭐 얻어 먹을 게 있다고 거짓을 말할까요 ?   

 

이렇게까지 말을 했음에도 말귀를 못 알아먹는 사용자들은 하는 수 없습니다 .

계속 XP를 사용하다가 도둑을 맞아 보아야 정신들을 차리겠죠 .....

 

참고로 첨언을 하면

물론 마이크로소프트가 내일 XP에 대한 지원을 중단한다고 해서 내일 당장 큰일이 나는 건 아닙니다 .

많은 악성코드들이 신규 취약점들보다는 좀 시간이 지난 취약점들을 이용해 공격을 해 들어오니까요 .

그런데 5월 이후에 패치가 안 되는 신규 취약점들이 한 달 , 두 달 , 석 달 . 

시간이 지나다 보면 바로 좀 시간이 지난 취약점들이 되는 겁니다 .

 

그래서 제가 모두에 언급을 했던 거처럼

XP 사용자라면 

가급적이면 4월 말 또는 경우에 따라서는 5월 말까지는

XP를 버리셔야 한다는 겁니다 .

 

개인 사용자들은 여기까지만 읽으셔도 충분하고요 ......

아래에 적는 내용들은 개인 사용자 수준을 벗어나서 부언을 좀 하는 겁니다 .

 

ATM의 94%가 아직도 XP를 사용 중이라는데 ?

 

뉴스를 보니 현재 은행의 자동화기기 (현금 인출기 , ATM)의 94%가 아직도 XP를 사용 중이라고 하는데요 .

 

이 부분은 개인 사용자들이 XP를 계속 사용하는 거보다도 더 심각한 문제입니다 .

ATM의 특성상 ATM을 은행망에서 완전 분리해서 운영을 한다는 거는 불가능할 겁니다 .

 

그렇다면 ATM들은 언제든 외부로부터의 공격을 당할 수도 있다는 건데

혹시라도 ATM들이 XP이기 때문에

대규모의 무단 계좌이체와 무단 현금 인출 사태가 발생하는 날에는

 

상황은 국가적인 공황 상태로 치달을 겁니다 .

그런 일이 발생한 은행의 행장은 물러나야 할 것이고 , 그런 일이 발생한 은행의 피해는 엄청날 겁니다 .

사람들은 은행에 돈을 예금해 둔다는 거 자체를 불안하다고 여기게 될 수도 있고요 .

 

그러므로 무리를 해서라도 빠른 시일 안에 모든 ATM들은 상위 버전의 윈도우로 바뀌어야 한다고 생각합니다 .

 

뉴스에서는 2017년까지 교체를 완료한다고 하는데 ,

그렇다면 위험 부담이 앞으로도 3년이나 지속이 되어야 하는 건 물론이고

2017년의 시점에서는

윈도우 7에 대한 지원은 3년 , 윈도우 8에 대한 지원은 6년 정도만 남는 시점이므로

 

은행의 ATM들은 2020년에서 2023년 사이에 또 다시 취약하게 됩니다 .

즉 , 은행 ATM의 취약성은 항상 만성적으로 지속이 되게 된다는 거죠 .

그렇기 때문에 은행의 ATM들은 교체가 필요한 바로 그 시점에 교체가 되어야 한다는 겁니다 .

 

더하여 관공서들의 컴퓨터들도 아직도 XP 비중이 높다고 하는데

관공서 컴퓨터들이야말로 엄청난 개인 정보들을 담고 있는 것들입니다 .

그러므로 당연히 필요한 그 시점에 적절한 대응이 이루어져야 할 겁니다 .

 

정부는 독자적인 운영체제를 개발하겠다고 하는데 ?

 

정부는 마이크로소프트 제품들의 라이프 사이클에 따라서 국내에서 한 번씩 혼란이 반복이 된다고

독자적인 운영체제 개발을 검토하겠다고 합니다 .

 

그런데 여기에는 상당한 맹점이 존재한다는 걸 정부 관계자들은 이해를 해야 할 겁니다 .

그 맹점이란 바로 운영체제의 취약점에 대한 패치 문제입니다 .

 

제대로 구동이 되는 운영체제를 개발하는 것도 보통 일은 아니겠지만 , 

새로운 운영체제가 개발이 되고 , 운용이 되기 시작한다면

해당 운영체제에서 새로 발견되는 취약점들을 지속적으로 관리를 해야 합니다 .

 

그런데요 . 마이크로소프트의 예를 볼까요 ?

 

매월 게시되는 마이크로소프트의 테크넷 보안 공지를 한번이라도 제대로 읽어본 사람이라면

마이크로소프트가

 

어느 나라의 누구에게 감사하다는 문구를 , 어느 나라의 어느 해커 그룹에 감사하다는 문구를

보안 공지 안에 넣은 걸 보셨을 겁니다 .

 

즉 , 윈도우의 취약점들은 마이크로소프트 스스로에 의하여 발견이 되기도 하지만 ,

또 많은 취약점들은 마이크로소프트 소속이 아닌 전 세계의 프로그래머들 또는 해커 그룹들에

의하여 발견이 되어서 마이크로소프트에 보고가 된다는 겁니다 .

 

그런데 우리 정부 스스로 독자적인 운영체제를 개발해서 독자적인 정부 시스템을 구축한 경우

그 취약점들을 정부의 독자적인 운영체제를 개발한 팀에서 모두 다 발견하고 패치하는 게 가능할까요 ?

솔직히 불가능한 이야기입니다 .

오히려 어느 악의적인 공격자에 의하여 취약점이 발견되고 , 또 그 취약점을 통해

공격을 당해서 독자적인 운영체제에 의한 정부 시스템이 능욕을 당한 후에야 ,

털릴 거 모두 다 털린 후에야 취약점들을 발견할 확률이 매우 높습니다 .

 

그런 꼴을 당하게 되면 우리의 독자적인 운영체제란 건 세계인의 비웃음 꽃들이 활짝 만개하는

갈라파고스가 되고 말겠죠 .....

 

그러므로 제가 판단하기에는

정부 독자적인 운영체제란 건 어불성설입니다 .

 

만약 독자적인 운영체제를 원한다면 차라리

삼성이든 어디든 운영체제를 개발할만한 회사에게 운영체제 개발을 발주해서

해당 운영체제 개발을 지원하고 개발 후에는 전 세계적인 판매/보급에도 정부가 관여하고 지원을 해야 합니다 .

그렇게 해야만 마이크로소프트의 윈도우처럼 전 세계인이 그 취약점들을 발견하고 

보고를 해 주어서 취약점이 패치가 되는 안정적인 운영체제가 될 거니까요 .

 

즉 , 마이크로소프트와 경쟁을 해야만 안정적인 운영체제 개발은 가능하다는 건데

이게 가능한 일일까요 ?

 

정부는 독자적인 운영체제 개발을 하겠다고 결정하고 ,

막대한 비용을 쏟아붓기 전에 이러한 면을 간과해서는 안 될 겁니다 .

 

이 글은 여기까지입니다 .

 

 

반응형

댓글