본문 바로가기

IT/MS

윈도 XP 보안 위협 '나는 괜찮다?', 꼭 대응해야 하는 이유!


시장조사기관 가트너는 윈도 XP 종료로 올해 1분기 전 세계 PC 출하량이 전년 동기 대비 1.7% 감소한 7,600만 대를 기록했다고 밝혔습니다. 계속해서 내림세였던 PC 판매량이 이번에 소폭 상승한 것입니다. 이 효과가 언제까지 이어질 것인지 모르겠지만, 어쨌든 윈도 XP가 PC 시장에 긍정적인 영향을 끼친 것은 분명합니다.






윈도 XP 보안 위협 '나는 괜찮다?', 꼭 대응해야 하는 이유!

그러자 이를 두고 '강매'라는 얘기가 나옵니다. XP 지원 종료는 MS가 최신 윈도를 판매하기 위한 방책이라고 말이죠. 완전히 틀린 얘긴 아닙니다. 단지 필자가 이전에 얘기했던 것처럼 그것이 왜 강제적인지 소비자로서 생각해볼 부분이 있고, 윈도 XP가 더는 해결하지 못할 한계점에 도달했을 때 MS는 이후에 대해서 경쟁사들과의 경쟁이 어려워질 수 있습니다. 전략적인 부분에서 윈도 XP 지원 종료로 고객들이 MS를 외면하게 되더라도 강행해야 했던 겁니다.


보안 업체인 어베스트는 윈도 XP를 사용하는 개인과 기업 고객들을 조사했습니다. 그러나 여전히 윈도 XP를 사용하겠다고 응답한 사용자가 응답자의 27%로 나타났으며, 21%는 아예 지원이 종료된다는 사실을 알지 못하는 것으로 나타났습니다. 지원 종료에 대해 아무런 대응도 하지 않은 것입니다.

문제는 여기에 대한 사람들의 반응입니다. 필자가 가장 눈여겨본 것이 '내 PC에 있는 건 영화뿐이라 빼갈 것이 없어서 누군가 해킹해도 안전하다.'는 거였습니다. 어차피 빼가더라도 영화만 가져갈 테니 다른 정보 유출은 문제 될 것이 없다는 것이죠. 더 재미있는 건 '이미 내 정보는 유출될 대로 유출되어서 굳이 보호하지 않아도 된다.'는 것이었는데, 큰 문제가 없으니 호들갑 떨지 말고 윈도 XP를 계속 사용하겠다는 겁니다.

필자는 본인 고집이 꼭 그렇다면 말릴 생각은 없습니다. 손해 보는 건 제가 아니니까요. 그러나 저 얘기가 얼마나 위험한 것인지는 짚고 넘어가야겠습니다. 굉장히 쉽게 말이죠.

우선 지원이 계속되던 윈도 XP와 지원이 종료된 윈도 XP는 공격 방식부터 많이 달라집니다. '예전에도 보안 패치를 안 했었으므로 지금도 상관없다.'는 식의 의견도 종종 볼 수 있는데, 정확히 얘기하면, 그래도 보안 패치를 하는 사람이 있었기에 악성코드 유포 방법이 대부분 '트로이목마'였습니다. 백신을 설치하면 자주 볼 수 있는 트로이목마는 정상적인 프로그램처럼 위장하거나 불법 복제 프로그램에 포함되어 유포됩니다. 다른 방식보다 사용자의 보안 수준에 따라 공격하기 수월하고, 불특정 다수를 한 번에 감염시킬 수 있는 탓에 애용된 것인데, 예를 들어 많이 사용하는 프로그램에 악성코드를 심어 다운로드를 유도하기만 하면 한 번에 많은 감염자를 만들 수 있습니다. 워낙 윈도 XP 사용자가 많아서 보안 수준이 높든 낮든 한 번에 공격하는 쪽이 훨씬 많은 감염을 일으킬 수 있었기에 트로이목마가 대부분이었던 겁니다.

그런데 보안 패치가 완전히 중단된 시점에서는 굳이 그런 귀찮은 방식을 쓰지 않더라도 보안 취약성만 드러나면 전체를 공격하기가 수월해집니다. 바로 '웜'이라는 녀석인데, 웜은 컴퓨터를 숙주로 삼아 내부에서 계속 증식하여 컴퓨터 자원을 갉아먹고, 또 다른 컴퓨터로 넘어가서 다시 증식을 반복합니다. 대개 웜은 운영체제의 취약점을 노려 지속해서 컴퓨터에 상주하도록 하는데, 현재 윈도 XP가 가장 좋은 먹이입니다. '그럼 왜 이전에 보안 패치를 하지 않은 사람이 있었는데도 대부분 트로이목마였나?'라고 질문할 수 있는데, 앞서 얘기했듯이 보안패치를 하는 사람도 존재했고, 자동으로 업데이트가 진행되는 일도 있어서 트로이목마보다 한꺼번에 감염시키는데 탁월하진 못했습니다. 그러나 벌거숭이가 된 윈도 XP는 공격하기가 수월해졌죠. 그렇다고 웜이 이전에 전혀 공격을 하지 않았던 건 아닙니다. 2003년 등장한 슬래머 웜(SQL Slammer)은 취약점을 파고 들어 10분만에 7만 5,000대의 컴퓨터를 감염시켰고, 블래스터 웜(Blaster Worm)은 20만 대가 감염되었으며, 아예 운영체제를 손상시키기도 했습니다. 단지 그런 웜이 공격할 수 있는 통로가 굉장히 활짝 열렸다는 것입니다.

그럼 또 '포맷하면 괜찮지 않나?' 싶은데, 지원 종료 전까진 포맷이 방법이 될 수 있었지만, 더는 계속 웜 형태의 악성코드가 취약점을 노려 여러 종류로 늘어날 것이고, 어떤 것이든 한 번 감염되면 증식하여 다른 컴퓨터로 넘어가기를 반복하므로 포맷을 하더라도 금방 공격받을 확률이 엄청나게 늘어납니다. 또한, 과거의 웜은 단지 컴퓨터 자원을 갉아먹는 것이 전부였지만, 현재는 웜들이 다른 공격 방식을 옮기는 역할도 수행하므로 계속 윈도 XP를 사용하게 되면 악성코드를 유포하는 PC를 사용하게 되는 것과 다르지 않습니다. 이를 막아 줄 보안 패치는 이제 없으니까요.

보안 업체 카스퍼스키는 윈도 XP 사용자를 대상으로 자사 백신을 1년간 무상 지원한다고 밝혔습니다. 카스퍼스키 홈페이지를 통해 신청하면 사용권을 얻을 수 있는데, 카스퍼스키는 '10억 개 이상의 방대한 화이트리스트 DB를 활용해 제로데이 공격에 대응한다.'고 밝혔지만, 취약점은 계속 열어둔 상태이므로 제로데이 공격을 완전히 방어할 수 있다고 얘기하는 건 무리가 있습니다. 카스퍼스키의 설명도 대응만 한다는 뜻이죠.


그럼 이렇게 공격하는 이유가 무엇일까요? 재미로 하는 일도 있겠지만, 영화에서처럼 중요한 문서를 빼내는 등을 위한 공격은 극소수입니다. 그러니 '내 컴퓨터에는 중요한 문서가 없어서 상관없지.'라는 식의 말은 의미조차 없습니다. PC를 공격하는 가장 큰 이유는 '컴퓨터라는 자원을 확보하기 위함'인데, 컴퓨터는 본래 멀티미디어 기기가 아닌 연산도구입니다. 고로 한 대보다는 두 대가 있는 쪽이 더 빠른 연산을 할 수 있겠죠. '좀비PC'가 이것이라고 생각하면 되는데, 감염된 컴퓨터를 통해 디도스(DDoS) 공격을 한다는 뉴스는 많이 접해왔습니다.

그런데 감염된 컴퓨터를 활용하는 방법은 디도스만 아니라 더 많은 연산이 필요하거나 악성코드 배포를 위해 우회 경로로 사용하는 등 다양합니다. 더 많은 연산이 필요하다는 건 비트코인 사례를 보면 간단한데, 비트코인은 채굴이라는 방법으로 획득할 수 있고, 채굴은 컴퓨터가 알아서 수학문제를 푸는 것이 전부입니다. 이 수학 문제를 빠르게 풀기 위해선 컴퓨터라는 자원이 많으면 많을수록 좋고, 그걸 위해 비트코인 채굴에 감염된 컴퓨터를 이용할 수 있는 악성코드가 등장해 화제가 되었었습니다. 당연히 감염된 컴퓨터는 느려지고, 수명도 줄어들기 마련입니다.

혹은 디도스에 이용되거나 악성코드 유포를 위한 숙주가 된다면 범죄에 이용되는 컴퓨터를 사용하는 것과 다르지 않죠. 또한, 악성코드에 따라서 이렇게 감염된 컴퓨터는 공격자가 들여다볼 수 있고, 데이터를 유출하거나 웹 사이트 접속 시 비밀번호를 알아챌 수도 있습니다. 데이터와 비밀번호 유출은 영화와 달리 부수적인 목적이라는 겁니다.

그리고 마치 이런 악성코드를 유포하는 사람은 고도의 천재이거나 해킹에 능하다고 생각하는 일이 많은데, 그렇기도 하지만, 악성코드를 거래할 수 있는 암시장이 존재하고, 당연히 공격 수준이 높은 악성코드는 비싼 값만 치르면 누구나 구할 수 있습니다. 물론 보안에 대한 지식이 전혀 없어도 안 되겠지만, 일단 윈도 XP의 취약점이 드러나는 순간 공격자는 순식간에 늘어날 수 있고, 악용하고자 하는 이도 얼마든지 생길 수 있습니다. 중요한 문서를 빼내는 것보다 더 영화 같은 얘기지만, 오히려 이게 실제이며, 정확히는 이런 취약점 공격을 이용한 새로운 공격 방법이 중요한 문서를 빼내는 활로를 열어준다는 겁니다.

실상 개인의 보안 수준이 악화하면 기업의 보안 수준도 함께 악화하고, 위협을 받습니다. '내 컴퓨터는 아니니 별개'라고 생각하는 일이 있는데, 전혀 그렇지가 않으며, 실제 별개라고 생각해도 좋은 사람은 현재로선 상위 버전의 윈도를 사용하고 있거나 맥을 사용하거나 혹은 다른 운영체제 사용자들이 '그나마'입니다. 윈도 XP 사용자는 모두가 그 위협에 포함된 것이죠. 누구나 말입니다.


이 얘기에 대해서 '선동'이라거나 'MS에 노예'라거나 어떤 얘길 하더라도 상관없습니다. 앞서 얘기했듯이 당장 필자가 손해 보는 일은 한정적이고, 미안하게도 필자는 보안에 그나마 높은 수준으로 대응하고 있으니 다른 위협에 대해서도 벌벌 떠는 일은 없을 겁니다. 오히려 이 정도로 쉽게 설명했는데도 불구하고, 여전히 윈도 XP를 사용하겠다고 한다면 보안에 대한 불감증이 심각한 수준임을 실감할 수 있겠죠.

관심이 없을 수 있습니다. 부담이거나 어려운 것으로 보일 수도 있습니다. 하지만 꼭 알아야 하고, 이행해야 합니다. 왜? 피해를 보니까요. 보안의 최대 위협은 '나는 괜찮아.'에서 시작합니다. 그러나 누구도 괜찮지 않습니다. 상위 윈도로 이행해야 합니다. 혹은 윈도가 아닌 다른 운영체제로 이행해야 합니다.

필자가 분명히 말씀드릴 수 있는 건 보안 수준을 높이는 일은 어렵지 않다는 것이고, 전문가들보다도 일반인들이 더욱 불감증에 노출되어선 안 된다는 것입니다.