윈도 XP 지원 중단, ATM 괜찮을까?

 윈도 XP의 지원이 중단된다는 뉴스에 1년이 술렁였습니다. 이전부터 얘기는 있었지만, 1년 남은 시점에 XP를 교체해야 한다는 지적이 이어진 것입니다. 그럼에도 여전히 XP 사용률은 높습니다. 결국에는 쳐내야 할 XP지만, 지원 중단에도 꾸준히 사용되니 보안 위협에 더 예민해지는 것도 사실입니다.
 

---

윈도 XP 지원 중단, ATM 괜찮을까?
 
 MS는 XP 전환이 완전히 이루어지지 않자 4월 8일 지원을 중단하는 예정은 진행하지만, 7월까지는 보안 부문에 한해서 지원 서비스를 연장한다고 밝혔습니다. 하지만 지원 자체를 연장하는 것은 아니므로 어쨌든 교체해야 한다는 것은 변하지 않습니다. 문제는 개인 사용자보다 그 외 부분의 교체가 더 시급하다는 겁니다.
 

 The Verge는 NCR(National Cash Register)의 자료를 통해 '윈도 XP로 작동하는 ATM이 전 세계 95%를 차지하고 있다.'고 전했습니다. MS는 계속해서 고객들에게 지원 중단을 경고했지만, ATM 업계의 반응 속도는 느렸다는 겁니다. 조금씩 시스템이 윈도 7으로 이동 중이지만, ATM 소프트웨어 전문 기업인 KAL(Korala Associates Limited)는 XP가 중단되는 4월에 윈도 7으로의 이행이 15%까지 진행될 것으로 내다봤습니다.
 
 윈도 XP의 지원이 중단된다고, XP를 사용하는 ATM이 동시에 멈추는 것은 아닙니다. 다만, ATM의 보안 위협에 더욱 긴장해야 할 판입니다. 지난해 등장한 ATM 해킹 수법을 돌아본다면 더욱 그렇습니다.
 
 지난해 7월, 유럽에 있는 은행에서 ATM의 돈이 모두 사라지는 일이 벌어졌습니다. ATM에는 보안 장치가 있었지만, 절도범은 감쪽같이 돈을 빼간 것입니다. 그리고 12월에 독일 함부르크에서 열린 해킹 세미나인 카오스 커뮤니케이션 콩그레스(Chaos Communication Congress)에 참가한 보안 연구원 2명은 ATM에서 돈을 빼간 수법의 정체를 공개했습니다.
 
 절도범은 ATM에 구멍을 뚫어 USB 드라이브를 이용해 악성코드를 설치했습니다. 이 방법은 같은 종류의 기기 여러 대에서 동시에 발견되었으며, 악성코드의 정체를 완벽히 분석할 수는 없었지만, ATM이 보안으로부터 안전할 수 없다는 것을 잘 보여줬습니다.
 
 그런데 이런 새로운 절도 수법의 대상으로 지목된 것이 바로 윈도 XP입니다. ATM에도 운영체제는 설치되어 있고, 작정한다면 얼마든지 침입할 수 있는데, NCR의 자료대로라면 전 세계 95%의 ATM이 그 대상입니다.
 
 

 XP를 버리고 윈도 7으로 이행하면 ATM이 안전해진다는 것은 아닙니다. 결국, 같은 수법을 윈도 7에 적용해버리면 그만이니까요. 그러나 지원이 중단되기 시작하는 것은 그만큼 노후화된 ATM이라는 것이고, 이는 범죄에 자연스럽게 노출하는 것입니다. 좀 더 안전한 방법에 대한 강구는 분명 필요합니다.
 
 결코, 노후한 ATM들은 괜찮지 않습니다. 은행들은 XP 교체에 빠르게 움직일 수 있어야 합니다. 여기서 벽에 부딪히는 것은 당연히 '비용'입니다. 교체 시기가 되었으니 교체해야 하는 것은 맞는데, 비용을 어떻게 충당할 수 있을는지 계획을 명확히 제시한 은행은 거의 없습니다.
 
 브라질은행(Banco do Brasil)은 2000년 초부터 ATM을 리눅스 기반으로 교체하는 프로젝트를 진행했습니다. 브라질의 현금인출기 사용률은 모든 금융업무 수단 중 30% 수준을 차지하며, 브라질의 ATM 시장은 프로젝트 시작 당시 세계 3위였을 만큼 큰 시장이었습니다. 브라질은행은 리눅스 전문가를 영입했고, 2,500개 이상의 ATM이 리눅스에서 동작할 수 있도록 합니다. 이유는 간단했습니다. 교체 비용을 MS 쪽으로 넘기는 것이 아니라 IBM이나 오라클 등에 지원을 받는 쪽으로 돌려 비용 절감 효과를 노렸고, 윈도 보안 이슈에 쫓겨 다니기 보다는 자체적으로 해결한다는 가닥을 잡으니 자연스럽게 오픈 소스인 리눅스를 선택한 것입니다. 이 프로젝트는 ATM 업계에서 상당한 호평을 받습니다.
 
 ATM을 전부 리눅스를 돌리라는 것은 아닙니다. XP의 지원이 중단되고, 교체를 해야 하는 시점에서 은행들이 소극적으로 대처할 것이 아니라 ATM의 지원에 대해서도 장기적으로 생각하고, 자체적으로 해결하는 방안을 적극적으로 고민할 수 있어야 한다는 겁니다. 거기에 대한 투자도 확실해야 하고, 오히려 이 부분은 고객들에게 내세울 수 있어야 할 것입니다.
 
 기술적으로 어떻든 불안감에 쌓인 고객들은 보안 문제에 소극적인 은행의 ATM에도 불신을 둘 수밖에 없습니다. 그것이 직접 통장의 돈을 빼가는 것이든, 그렇지 않든 보안에 투자하지 않는 은행에 돈을 맡길 만큼 바보가 아니라는 얘깁니다. ATM이 텅텅 비는 사태를 맞이하고서야 서두르기보단 현시점에서라도 전반적인 XP 위주의 체계를 벗어던지고, 장기적인 보안 대책을 구상해야 합니다.
 
 

 사상 최악의 카드사 개인 정보 유출 사건도 은행의 자체 보안에 그만큼 허점이 많았다는 것을 잘 보여줬습니다. 보안이라는 것은 몇 가지 보안 프로그램을 설치한다고 해결되는 것이 아니라 지속적인 관리와 투자가 이어져야 거듭하는 보안 위협에도 견뎌낼 수 있습니다.
 
 이런 투자가 야박하다는 것이 NCR이 공개한 것처럼 전 세계 ATM 95%가 윈도 XP라는 사실이며, 적당히 좋은 사례는 브라질은행이 보여주고 있죠.
 
 필자는 '책임감'의 문제라고 생각합니다. ATM을 교체하는 것에 비용 부담을 느낄 것이 아니라 허술한 보안에 책임감을 느끼는 것이 정당하고, 올바르다고 말입니다.