아직 윈도우 XP를 사용하는 '의외의 7곳'

CIO

마이크로소프트 윈도우 XP에 대한 모든 지원을 종료한 시점이 2014년 4월이었다. 그러나 그로부터 1년이 넘은 현재, 아직 윈도우 XP를 구동하는 PC의 비율은 아직도 16~17%에 이르는 것으로 추산되고 있다.

그렇다면 윈도우 XP를 이용하는 이들은 도대체 누구일까? 구형PC를 수입한 후진국의 일반 소비자들일까? 놀랍게도 선진국 공공 및 기업 분야에서도 얼마든지 찾아볼 수 있다. 여기 이 은퇴한 운영체제를 아직 사용하고 있다는 사실이 어울리지 않는 이색 사용처 7곳을 정리했다. ciokr@idg.co.kr 

미국 해군(U.S. Navy) 최근 미 해군의 공개 자료에 따르면, 해군 함정과 지상 기지의 레가시(구형) 시스템으로 운영되는 핵심 지휘통제(C&C) 시스템에 윈도우 XP가 사용되고 있으며, 이는 사이버보안 위험을 초래할 수 있다. 물론 해군이 손을 놓고 있는 것은 아니다. 레가시 시스템에서 이를 제거하기 위해 노력하고 있다. IDG 뉴스 서비스는 이와 관련, 미국 해군이 2017년까지 XP 보안 패치와 업데이트를 제공받기 위해 마이크로소프트와 910만 달러의 1차 계약을 체결했다고 보도했다. 해군은 계약 기간 동안 총 3,100만 달러를 지불하게 된다. 해군 자료는 "지원이 끊기면 시스템의 취약점이 드러나고, 시스템을 보호할 패치를 제공받지 못한다. 그렇게 되면 미국 해군은 사이버 침입에 취약해진다. 그리고 그 결과 데이터 무결성, 네트워크 성능, 핵심 네트워크에 대한 대비책이 손상 또는 무력화될 수 있다"라고 표현하고 있다. 해군은 또 마이크로소프트 오피스 2003, 익스체인지 2003, 서버 2003을 계속 지원받기 위해 대가를 지불하고 있다. 해군은 노후화된 시스템을 폐기하는 과정에 있지만 자료가 공개된 시점을 기준으로 XP가 설치된 워크스테이션이 10만 대에 달한다.

미국 육군(U.S. Army) 구식 기술 때문에 곤경에 처한 군 조직은 해군만이 아니다. 미 육군 또한 지난 해 윈도우 XP를 지원받기 위해 마이크로소프트와 CSA(Custom Support Agreement) 계약을 체결했다. 육군은 해군과 마찬가지로 영향을 받는 시스템을 공개하기 꺼렸다. 그러나 공개된 문서에는 "이번 조달은 육군이 기존에 라이선스한 기술의 보안 취약점을 극복하기 위해 계속해서 지원을 받는데 목적이 있다. '핵심'으로 분류된 취약점에 대한 보안 업데이트에는 추가 비용이 부과되지 않는다. 그러나 '중요'로 분류된 보안 핫픽스에는 건당 수수료가 부과된다. 보안과 무관한 핫픽스는 제공되지 않는다"고 기술돼 있다. 이는 영향을 받는 시스템 가운데 작전과 사명에 아주 중요한 시스템이 포함되어 있음을 시사한다.

영국 공공조달청 최근 가디언(The Guardian)의 보도에 따르면, 영국 공공조달청(Crown Commercial Service)이 2015년까지 XP를 유상 지원 받는 계약을 체결했다가, 5에 계약을 해지하면서 수만 대의 컴퓨터가 '기초적인 해커'들의 해킹 공격에도 위험하게 됐다. 그러나 영국 공공조달청은 7년 전부터 이런 문제를 인식했으며, 윈도우 XP를 다른 시스템으로 이전할 필요성을 파악하고 있었다.

영국 국민건강보험 비슷한 도전에 직면한 영국의 정부 기관이 있다. 국민 건강 보험을 책임진 방대한 규모의 정부 기관인 국민건강보험(NHS: National Health Service)이다. 국민건강보험은 지난 10월 지원이 끊긴지 7개월이 넘은 윈도우 XP가 탑재된 NHS 트러스트(NHS Trust)가 35%에 달한다"고 발표했다. 이들 NHS 트러스트 중에는 의존도가 너무 높아 이전 일정을 수립할 수 없는 비율이 14%나 된다. 최근 세상을 떠들썩하게 만든 해킹 사고를 감안하면, NHS에 조만간 대형 개인정보 유출 사고가 발생할 가능성을 배제할 수 없다. 2008년, NHS는 전체 조직을 대상으로 시스템을 업데이트, 이 문제를 해결한다는 계획을 수립했다. 그러나 120억 파운드를 쏟아붇고는 계획 실행을 중단했다.

전세계의 ATM 지난 10월을 기준으로 약 95%에 달하는 ATM에서 윈도우 XP가 사용되고 있다. 그리고 해커들이 XP의 취약점을 이용해 ATM 기계에서 돈을 빼내는 사건이 이미 발생했다. 2014년, 카스퍼스키 랩(Kaspersky Lab)의 글로벌 조사분석 팀은 포렌직 조사팀의 일원으로 동유럽에서 발생한 ATM 해킹 사고를 조사했다. 이 기업은 "조사 결과 해커들이 직접 조작을 통해 ATM의 현금 상자를 비울 수 있는 맬웨어를 발견했다. 'Backdoor.MSIL.Tyupkin'이라는 맬웨어가 동유럽 금융 기관이 소유한 50여 ATM에서 실행되고 있었다. 우리는 바이러스토털(VirusTotal) 자료를 근거로 미국과 인도, 중국 등 다른 국가로까지 맬웨어가 전파됐다고 믿고 있다"라고 밝혔다. 가장 최근에는 5월에 동유럽과 서유럽에서 동일한 사건이 발생했다. 더 최근에는 123만 파운드를 도난 당하는 사건이 발생했다. ATM을 대상으로 한 범죄 동향을 조사하는 기관인 EAST(European ATM Security Team)는 "유럽에는 아직까지도 윈도우 XP를 운영 시스템으로 이용하는 ATM이 많다. ATM 맬웨어에 취약한 ATM이 많기 때문에 이에 대한 대책이 필요하다"고 지적했다.

XP를 이용하는 수도 회사 지난 해 포브스 보도에 따르면, 생명과 직결된 물을 관리하는 수도 회사 가운데 윈도우 XP를 운영 시스템으로 이용하는 비율이 75%에 달한다. 수도 유틸리티 산업이 전반적으로 사이버 공격에 취약할 수 있음을 보여주는 통계이다. GE 인텔리전트 플랫폼(GE Intelligent Platforms)의 자동화 소프트웨어 부문 대표인 매트 웰스에 따르면, 유틸리티 산업은 신기술 도입 속도가 느리다. 그는 XP 지원이 중단된 지금, 클라우드 컴퓨팅이 신기술로의 이전에 도움을 줄 수 있다고 전했다.

미 전기 에너지 산업 NAERC(North American Electric Reliability Corp)의 CSO와 부사장, AEPCI(American Electric Power Company Inc)의 CSO로 재직한 경력을 갖고 있는 마이클 아산테는 포브스와의 인터뷰에서 "미국의 많은 전기 회사와 가스 회사의 워크스테이션에 아직까지 윈도우 XP가 사용되고 있다. PC와 조명 기구에 필요한 전력, 가정의 난방에 필요한 에너지를 제공하는 시스템들이다"고 말했다. 포브스는 8월 보도에서 에너지 산업에 우려의 눈길이 쏠리고 있다고 지적했다. US 뉴스 앤 월드 리포트(U.S. News and World Report)는 최근 이와 관련, 사이버보안이 미국 전기회사의 5대 걱정 거리 중 하나로 등극했다고 보도했다. 이 신문은 "미국 내 발전소 5만 5,000개 가운데 단 9개만 기계적 고장, 해킹 등으로 가동이 중단되어도 동부 해안에서 서부 해안까지 대규모 정전 사태가 발생한다"고 지적했다. US 뉴스 앤 월드 리포트는 이어 "사이버보안은 전력 산업의 10대 문제 중 하나이다. 그 순위 또한 2계단이 상승한 4위다"고 전했다.

세상엔 이런 일도 한편 기즈모드는 XP와는 관련이 없지만 재미있는 기사 하나를 보도했다. 1985년, 그랜드 래피즈 교육구(Grand Rapids School District)는 산하 19개 공립 학교의 냉난방 서비스를 관리하기 위해 해당 지역에 살고 있던 학생이 프로그래밍 한 코모도어 아미가(Commodore Amiga)라는 시스템을 도입했다. 그리고 30년이 흐른 지금까지도 이 시스템을 사용하고 있다. 특히 흥미로운 부분은 이 시스템을 개발한 학생이 지금도 해당 교육구가 위치한 지역에 거주하고 있다는 것이다. 그는 시스템에 문제가 발생할 때마다 도움을 준다. 기즈모도는 "시스템을 프로그래밍했던 학생만이 수리 방법을 안다"라고 전했다.