배우고 싶다. 배우기 쉽다.

닫기버튼

배우고 싶다. 배우기 쉽다.

닫기버튼

인기검색어🔥

학과소식

학과활동

세종사이버대학교는 여러분과 함께 희망찬 미래를 꿈꾸고 만들어 갈 것입니다.

Home > 학과소식 > 학과활동 >

학과활동

학과활동

[교수활동] [한국정보보호학회 칼럼] 윈도우 7 기술지원 종료...범국가적인 운영체제 관리 필요하다

date2019.12.18

view1510

일부 산업체 국가·공공기관의 요청에 따라 지원이 종료된 운영환경에 대한 시험평가 요구
범국가적인 차원에서 기술지원 종료되어 취약점이 내재된 운영체제가 얼마나 사용되고 있는지 식별해야

[보안뉴스=박영호 한국정보보호학회 상임부회장] ‘보안(security)은 사슬(chain)과 같아서, 가장 약한 고리만큼만 안전하다라는 시스템 보안 전문가인 브루스 슈나이어(Bruce Schneier)의 유명한 말이 있다. 아무리 안전한 문을 가진 집이라 해도 창문이 허술하다면 도둑이 쉽게 침입할 수 있듯, 안전한 집은 내부에 접근할 수 있는 모든 부분이 충분히 안전해야 한다. 특히 PC나 서버 등은 내부의 데이터에 접근할 수 있는 네트워크뿐만 아니라 운영체제(OS)의 안전성도 매우 중요하다.


201911, Net Applications 통계정보에 의하면 전 세계 윈도우 시장 점유율에서 윈도우 7의 사용 점유율이 아직도 26.86%에 달하고 있다. 우리나라 역시 4대 중 1대가 윈도우 7을 사용 중이다. 그런데 이런 윈도우 7의 기술지원 종료가 20201월로 다가왔다. 기술지원 종료의 중요성은 20175월 기술지원이 중단된 윈도우 XP 취약점에 의해 전 세계 150개국 30만대 이상의 PC가 감염되는 워너크라이 사태에서 이미 경험한 바 있다.

물론, 윈도우 7의 기술지원 종료에 따라 기존 윈도우 7을 기술지원이 가능한 최신 운영체제로 업데이트하는 것도 중요하다. 최신 운영체제 유지는 PC 환경뿐만 아니라, 개인정보 등 중요 데이터가 대량 취급되는 서버급 환경에서 더 큰 이슈이다. 윈도우 서버 2003(20157월 지원 종료), HP-UX 5.3(20124월 지원 종료), Solaris 9(20149월 지원 종료) 등 실제로 많은 운영체제가 개발사의 기술지원이 끝났지만, 노후한 운영체제를 탑재한 시스템들이 아직도 산업체, 학교, 국가·공공기관에 보편적으로 운영되고 있다.

PC를 교체하는 것보다 서버나 시스템을 바꾸는 것은 더욱 어려운 일이다. 국가·공공기관에서 새로운 정보보호제품을 도입 시에 안전성보다 기존 시스템과의 호환성을 우선시 하는 것이 현실이다. 이에 정보보호업체도 고객의 요구에 어쩔 수 없이 대응하기 위해서 기존 시스템 호환을 위한 예산과 인력을 투입하고 있다. 기술 지원이 종료되어 취약점이 내포되어 있는 운영체제 내에 검증필 암호모듈을 탑재하고, CC인증제품, GS인증제품을 사용하는 게 무슨 의미가 있을까? 좀 과장하자면 아마도 안전하다고 인증된 잠금장치를 여러 개 달고 있는 문을 닫지 않고 열어놓고 있는 집과도 같다고 할 것이다.

다행히도 암호모듈 검증이나 CC인증에서도 기술지원이 종료된 운영체제에 대한 모듈 및 제품을 정책적으로 시험평가하지 않고 있다. 그럼에도 불구하고 일부 산업체는 국가·공공기관의 요청에 따라 지원이 종료된 운영환경에 대한 시험평가를 요구하고 있다. 행정안전부는 20198행정기관 및 공공기관 정보시스템 구축·운영 지침을 개정해 소프트웨어 개발보안 기준 및 절차 등을 규정하고 이를 준수하도록 제도화하고 있으며, 다양한 소프트웨어 보안 위협 등에 대한 보안약점 진단 기준 등을 제시하고 있으나, 이러한 진단 기준과 더불어 운영체제에 대한 안전성도 포함되었으면 더 좋았을 것이다.

그림입니다. 원본 그림의 이름: mem00005dd80001.jpg 원본 그림의 크기: 가로 750pixel, 세로 934pixel

박영호 세종사이버대학교 정보보호학과/정보보호대학원 교수[사진=박영호 교수]

현재 국가 및 민간의 정보통신망과 정보시스템에 대한 사이버위협 대응을 위하여 법· 제도적 장치들이 마련되어 있다. 정보보호 계획 수립과 조치 마련을 위한 국가정보화기본법, 정보통신기반보호법, 전자정부법, 국가사이버안전관리규정 등 다양한 법·규정은 있으나, 실제 적용되는 현실과는 차이가 크게 느껴진다.

초연결 기반 4차 산업혁명 시대에서 우리나라가 글로벌 해커들에게 빅데이터를 제공해서야 되겠는가? 2년 전 워너크라이 사태가 우리사회에 또 다시 발생한다면 해킹에 의한 직간접적인 피해액과 사회적 비용은 사전 예방 비용을 초과할 수 있다. 단순 윈도우 7만의 교체가 아닌, 범국가적인 차원에서 기술지원이 종료되어 취약점이 내재된 운영체제가 얼마나 사용되고 있는지 식별해야 하며, 중요도 및 시급성에 따라 점진적으로 교체해야 한다. 다가오는 새해에는 좀 더 안전한 사회가 되길 바랄 뿐이다.
[_박영호 세종사이버대학교 정보보호학과/정보보호대학원 교수(youngho@sjcu.ac.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

 

출처 : https://www.boannews.com/media/view.asp?idx=85258&page=1&kind=6