[기고]윈도10 기술지원 종료, 지금 우리가 준비해야 할 것

“개인용컴퓨터(PC) 잘 쓰고 있는데 굳이 바꿔야 할까요?”

윈도10 운용체계(OS)의 기술지원 종료 소식을 듣고 가장 먼저 떠올리는 질문일 것이다. 새로운 환경에 적응하는 건 누구에게나 불편한 일이기 때문에, 익숙한 시스템을 그대로 쓰고 싶은 마음은 충분히 이해한다. 하지만 이는 단순히 '익숙함'의 문제가 아니다. 더 이상 보안이 담보되지 않는 상태로 남을 것인가, 아니면 안전을 선택할 것인가의 문제다.

윈도10 기술지원 종료는 새로 발견되는 취약점에 대한 보안 업데이트를 더 이상 제공하지 않는다는 뜻이다. 해커에게는 이보다 좋은 기회가 없다. 막혀 있던 보안 문이 열리거나, 아예 사라진 것과 같으니 말이다.

유사한 사례가 과거에도 있었다. 윈도 XP를 기억하는가? 윈도 XP는 2014년 4월부로 기술지원이 종료됐다. 하지만 이후에도 많은 기업과 기관에서 XP 기반 시스템을 유지했고, 그로 인해 보안 공백이 생겼다. 이 틈을 파고든 것이 바로 2017년 5월, 전 세계를 마비시킨 '워너크라이'(WannaCry) 랜섬웨어다.

글로벌 보안 기업 카스퍼위스키에 따르면, 워너크라이 랜섬웨어는 불과 15일 만에 전 세계 150개국 23만대 이상의 컴퓨터를 감염시켰으며, 이 공격으로 인해 전 세계적으로 약 5조원(약 40억달러)의 피해가 발생한 것으로 추산된다. 이로 인해 영국에선 국민보건서비스(NHS) 산하병원의 수술 연기 및 예약 취소, 응급실과 수술실 중단 등 원활한 진료가 불가능했으며, 프랑스와 루마니아 등에서는 자동차 공장의 생산이 중단됐고, 미국에선 물류 배송 관리 시스템이 마비되는 사태가 벌어졌다. 단순한 PC 감염을 넘어 사회 기반 서비스 전체가 마비된 글로벌 사이버 재난이었다. 이와 같이 익숙함이란 옷을 입은 안일함은 잊기 어려운 상흔을 남겼다.

어느새 우린 다시 같은 시험대에 올랐다. 이번에도 비슷한 상황이 반복될 가능성이 높다. OS 전환 예산과 인력 부족, 특정 업무용 프로그램이 새 OS와 호환되지 않아 추가 점검이 필요하는 등 신속한 진행이 어려울 수 있다. 하지만 디지털 기반에 의존하는 사회에서, 이러한 취약점은 개인의 문제가 아니라 사회 전체의 위험으로 확산될 수 있다.

“이번엔 다를 것인가?” 그 선택은 우리에게 달렸다. 그럼 앞으로 우리는 무엇을 어떻게 준비해야 할까? 방법은 크게 두 가지다. 첫째, 최신 OS로의 전환이다. 보안 업데이트가 지속적으로 제공되는 OS로의 전환은 보안 유지의 가장 기본적인 조건이다. 둘째, 당장 전환이 어려운 경우, 보완책을 병행해야 한다. 네트워크 분리, 접근제어 강화, 백신 최신화, 주기적 백업은 기본이다. 또 출처가 불분명한 이메일이나 링크, 첨부파일은 절대 열지 않는 등의 보안 수칙을 철저히 지켜야 한다.

일반 사용자는 마이크로소프트 계정을 활용해, '윈도 백업' 기능을 활성화하면 기술지원 종료 후 1년간 한시적으로 무료 업데이트를 받을 수 있다. 기업과 기관에선 마이크로소프트가 제공하는 '확장 보안 업데이트(ESU)'를 통해 최대 3년간 보안 업데이트를 받을 수 있다. 이를 고려해 교체 계획과 시스템 점검을 미리 진행해야 한다.

과학기술정보통신부와 한국인터넷진흥원(KISA)에선 윈도10 기술지원 종료 후 신규 취약점 악용 위협을 집중 점검하고, 신규 악성코드 출현 시 전용 백신 개발 및 보급 등 피해확산 방지를 위해 '윈도10 기술지원 종료대응 종합상황실'을 운영 중이다. 또 중소기업과 기관을 대상으로 보안 취약점 점검, 사이버 위기 대응 훈련, 분산서비스거부(DDoS) 사이버 대피소 등 다양한 서비스를 제공하고 있다.

그러나 이러한 제도적 지원만으로는 한계가 있다. 안전한 디지털 환경은 정부와 기관의 지원만으로 완성되지 않는다. 무엇보다 중요한 건, 사용자 한 사람, 한 사람의 인식 변화와 준비다. OS 교체 또는 업그레이드, 더 이상 미루지 말고 지금 바로 실천해야 한다. 안전한 디지털 환경은 정부와 기관의 지원뿐만 아니라 국민 개개인의 준비에서 시작된다.

이동근 한국인터넷진흥원 디지털위협대응본부장 leedg@kisa.or.kr