당신의 윈도 10은 최신인가?

당하면 그냥 울고 싶은 정도로 끝나지 않을 랜섬웨어 ‘워너크라이'(WannaCry, 정확한 명칭은 WannaCrypt0r)로 새로운 한 주의 시작이 시끄럽다. 몰래 PC에 침투해 데이터에 풀기 힘든 암호를 걸어 삼은 채 돈을 요구하는 디지털 인질범 랜섬웨어에 대한 주의는 어제 오늘의 이야기는 아니다. 다만 워너크라이처럼 세계를 대상으로 대규모 공격이 진행된 사례를 거의 찾기 힘든 데다 동시에 피해 사례를 남기는 랜섬웨어의 표본이 많았던 게 아니다보니 더 눈여겨 보게 만든 듯하다.

주말 동안 워너크라이에 대한 경고가 이어지고 실제 몇몇 피해 사례들이 전달됐다. 이와 함께 예방법이 다양한 경로로 공유되는 한편으로, 작동을 멈추게 하는 킬스위치 도메인을 찾아 일시적으로 전파가 중단됐던 워너크라이의 변종들이 새로운 공격을 준비 중이라는 소식도 들린다. 보안 취약점이 남아 있는 한 이 공격은 멈추지 않는다는 이야기다.

사용자 삽입 이미지
워너크라이에 걸린 PC에 나타나는 화면. 잠긴 파일을 풀고 싶으면 비트코인을 보내라지만, 실제로 해결된 경우는 거의 없다고 알려졌다.

워너크라이는 미국가안보국 NSA의 이터널블루라는 SMB(Server Message Block) 취약점(MS17-010)을 이용한 해킹 공격법을 응용한 것이다. SMB는 윈도와 네트워크 장치에서 파일이나 폴더 정보를 주변 장치와 공유하는 데 쓰는 메시지 형식(프로토콜)으로 그 취약점을 발견한 NSA는 공격을 위한 무기로 만들었던 것이다. 그런데 이를 더 쉐도우 브로커스(The Shadow Brokers)라는 해커 그룹이 지난 4월에 NSA에서 탈취해 세상해 공개했고, 누군가 그 변형을 만들어 지금 세상을 공격하도록 만든 것이 워너크라이다. SMB 취약점을 악용한 공격 도구를 만들어 이 사단을 낳은 NSA를 MS가 비난하는 것도 그런 이유다.

어쨌든 지금까지 워너크라이의 공격에 150개국 20만 대의 윈도 PC가 피해를 본 것으로 알려졌지만, 그렇다고 모든 윈도 PC에서 피해 증상이 나타난 것은 아니다. 윈도의 버전에 따라, 또는 윈도의 보안 관리에 따라 피해 정도는 확연히 달랐다는 것이다. 외부 공격의 취약성을 줄여 보안에 강하게 설계된 커널을 가진 윈도와 이 위협에 대비한 지난 3월 MS가 공개한 보안 패치를 손수 설치한 윈도는 잠시 피해를 비켜가는 중이다. 결과적으로 보안에 대해 끊임없이 관리해온 윈도 PC들은 그나마 마음을 놓을 수 있는 상황이다.


사용자 삽입 이미지
원격 시스템에 대한 악용 시도의 예

그렇다고 워너크라이에 대한 대비를 마친 윈도 PC를 안전하다고 말할 수는 없다. 워너크라이 뿐만 아니라 운영체제의 미세한 틈을 찾아 뚫으려는 취약성 공격은 지속적으로 일어나고 있어서다.

때문에 그 취약성 공격을 막기 위해 윈도를 내놓는 마이크로소프트는 끊임 없이 빈틈을 찾아 메울 수 있는 보안 패치를 공급해 왔다. 단지 보안 패치를 받을 수 있는 환경은 윈도 버전마다 다를 뿐이다. 마이크로소프트가 주요 보안 패치를 지속적으로 공급하더라도 운영체제에 따라 이것이 자동으로 적용되기도 하고 그렇지 않을 수도 있는 것이다.

이는 윈도의 수명 주기(Life Cycle)에 따른 결과다. 수명 주기는 윈도의 보안이나 기능을 보완하는 업데이트를 제공할 수 있는 기간이다. 보통 윈도가 발표된 뒤 일반 지원 5년, 연장 지원 5년을 합쳐 최대 10년을 수명 주기로 본다. 일반 지원은 이용자가 무료로 보안 패치나 업데이트를 받을 수 있고, 그 이후는 유료 플랜을 구입해 계속 지원을 받을 수 있는 것이다.

물론 윈도는 수명 주기가 끝난 이후에도 계속 쓸 수 있다. 단지 수명주기가 끝난 운영체제에 대한 지원은 중단되므로 이용자 스스로 문제를 해결해야 할 뿐이다. 이번 워너크라이 사태에서 윈도 XP의 피해가 많은 것은 이런 위협을 견디도록 설계되지 않은 커널과 2014년에 끝난 연장 지원, 그리고 자율적인 보안 소홀 등이 겹친 것이 이유기도 하다. 그나마 윈도 비스타부터 새로 설계한 커널을 담은 덕분에 이번 위협에서 버티고 있지만, 비스타도 지난 4월 11일로 연장 지원이 끝났다. 윈도 7은 2020년 1월 14일, 윈도 8은 2023년 1월 10일로 예정되어 있다.

사용자 삽입 이미지
윈도 10의 버전들. 각 버전의 지원 기간은 기본 18개월이다.

윈도 10도 처음 발표 당시 이러한 수명 주기가 설정되어 있었다. 윈도 10의 일반 지원은 2020년 10월 13일, 연장 지원은 2025년 10월 14일이다. 하지만 윈도 10의 실제 수명 주기는 최초 발표와 별개다. 마이크로소프트가 윈도 10 이후에 새로운 운영체제를 발표하지 않기로 한 데다 앞으로 윈도 10이 유일한 윈도라는 이유로 이러한 수명 주기 정책은 의미가 없다.

이에 마이크로소프트는 현재 새로운 지원 정책을 실행 중이다. 현재 분기(Current Branch)라 부르는 윈도 10의 주요 기능 업데이트 이후 18개월 동안 보안 업데이트 같은 지원을 계속 이어간다는 것이다. 즉, 마이크로소프트가 봄과 가을에 내놓는 윈도 10 기능 업데이트를 착실히 설치했다면 윈도 10의 보안 업데이트는 항상 자동으로 이뤄진다는 의미다.

윈도 10의 주요 기능 업데이트는 지금까지 모두 3번 진행됐다. 맨 처음 출시될 때 윈도 10은 버전 1507이었지만, 그 이후 버전 1511을 배포했고, 1주년 기념 업데이트인 버전 1607, 크리에이터 업데이트인 버전 1703을 공급했다. 올해에 새로운 가을 업데이트도 준비 중인데, 마이크로소프는 앞으로 큰 이변이 없는 한 봄과 가을에 기능 업데이트를 제공하고 18개월의 지원 정책을 유지하기로 했다.(단, 윈도 10 엔터프라이즈의 장기 계약 서비스 제품 LTSB는 이에 해당하지 않는다.)

사용자 삽입 이미지
크리에이터 업데이트를 끝낸 윈도 10의 버전은 1703이다.

이 말은 이용자가 윈도 10의 최신 보안 사항을 저절로 적용하도록 만들려면 주요 기능 업데이트를 게을리하지 말아야 한다는 것이다. 얼마 전 맨 처음 출시된 윈도 10 버전 1507은 18개월의 지원 기간과 2개월의 추가 지원 기간이 모두 끝났다. 최초의 윈도 10에 대한 지원은 더 이상 이뤄지지 않으므로 추가 지원을 받으려면 반드시 그 이후 버전으로 업데이트를 해야 한다.

그런데 뜬금 없이 왜 이 이야기를 꺼내는지 의아할 것이다. 이유는 단순하다. 주요 업데이트를 일부러 늦추거나 하지 않는 이들이 있어서다. 주요 기능 업데이트는 윈도 10의 새로운 기능을 추가한 업그레이드 버전이지만, 윈도를 새로 설치하는 것 이상의 시간을 잡아 먹기도 한다. 바쁜 시간에 이 업데이트가 작업을 방해하는 일이 종종 있다보니 소셜 네트워크 상에서 이에 대한 불만을 토로하거나 인터넷에는 이 업데이트를 막는 방법이 공유되고 있다.

사용자 삽입 이미지
버전 1703 이전에는 윈도 10 업데이트의 설치를 무기한 연기할 수 있으나 지금은 일정 기간만 미룰 수 있도록 바꿨다.

정말 바쁠 때 기능 업데이트를 잠시 미룰 수 있지만, 주요 기능 업데이트를 전혀 않는 것은 지금 윈도 10의 보안 지원 정책에 있어 바람직한 일이 아니다. 랜섬웨어를 비롯한 보안 취약점을 노리는 수많은 위협에 대비하려면 그 구멍을 메우는 보안 업데이트가 지속적으로 이뤄지도록 이용자 역시 그 환경을 만들어 놓아야 한다. 하지만 시간이 오래 걸린다는 이유로 윈도 10의 주요 기능 업데이트를 마냥 미룰 경우 지원 기간에서 벗어나 최신 보안 업데이트 적용에서 제외될 수 있고, 결국 보안 취약성을 드러낸 채 쓰는 것은 위험에 노출될 가능성만 더 높인다.

윈도 10이 이전의 운영 체제와 다르게 외부의 위협에 대응할 수 있는 체계가 잘 갖춰진 것은 사실이다. 허술한 공격에 뚫리지 않을 만큼 뼈대도 좋고, 치명적 위협에 발빠르게 대처할 수 있게끔 서비스로서 윈도라는 개념도 담았다. 하지만 윈도 10 자체가 완전 무결한 운영체제는 아니다. 윈도 10도 뚫릴 수 있기에 MS가 지속적으로 보안 업데이트를 추가하고 윈도 디펜더의 기능을 강화하고 있는 게 아니겠나? 그러니 보안 업데이트를 위한 지원 기간을 갱신하는 윈도 10의 기능 업데이트가 쓸모 없다고 생각하지 마시라. 18개월은 금세 지나간다.

PHIL CHiTSOL CHOI Written by:

Be First to Comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다