전 세계를 강타한 랜섬웨어 WannaCry가 국내에도 어김없이 상륙했다. 다른 국가에 비해 국내에 별다른 큰 피해가 있었던 것은 아니지만 그렇다고 조용하게 넘어간 것도 아니다. 오래된 OS와 취약한 OS를 사용하는 유저들이 속속 WannaCry의 희생양이 되었고 많은 이가 얼마나 보안에 무책임하였는지 여실히 보여준 사건이었지 않나 싶다. 특히나 가장 공포에 떨었을 옛 운영체제, Windows XP 사용자들은 이 시기가 무사히 지나가길 바라며 컴퓨터를 조심스레 틀었을 것이다. 단순히 바꾸기 귀찮아서 XP를 사용하고 있다면 할 말이 없지만 어쩔 수 없이 서비스가 종료된 Windows XP를 사용해야 한다면 이번 WannaCry로 그 운영체제 사용에 대해서 깊이 고려해야 하는 부분이지 않을까 한다. 오늘은 죽어도 죽지 않는 잡초 같은 Windows XP에 대해 말해보자.
Windows XP는 Microsoft에서 개발한 운영체제로 2001년 8월 24일에 출시되었다.[1] Microsoft에게 Windows XP는 상당히 효자손 같은 녀석이라 Windows XP가 출시되고 난 후부터 상당한 수익을 가져다줬다. 물론, 처음부터 완벽한 운영체제라 그랬던 것은 아니다. 더군다나 출시된 직전에는 초기의 운영체제가 그렇듯이 호환성 등 문제가 많았던 녀석이었다. 하지만 앞서 얘기했듯 상황이 Windows XP에 유리하게 흘러갔다. 얼추 상황이 잘 들어맞았다고 해야 하나. 윈도우 98과 완전히 망해버린 vista 덕에 많은 사람이 어쩔 수 없이 Windows XP를 선택해야만 했다.
2001년에 출시된 Windows XP는 2014년 4월 8일을 기준으로 서비스 지원이 완전히 종료되었다.[2] 서비스가 종료되는 순간부터는 성능 개선이나 보안패치 등 최신 업데이트를 제공되지 않았다. 사실 종료되는 시점에 워낙 공공기관, 시설 등 여러 곳에서 많이 사용되었던 터라 종료된다는 발표가 많은 이를 반발하게 만들었다. 그러한 사용자의 요구로 인해 종료 시점은 2년 정도 연기되었고 그렇게 2014년에 종료되었다.[3] 당시 사람들의 반응이 어느 정도였느냐면 일본에서는 Windows XP 종료를 기리며 동영상까지 만들었을 정도다. 국내 역시 종료되는 시점에 은행권에서 소유하고 있는 ATM 기기들이 Windows XP로 운영[4]될 뿐만 아니라 수많은 곳에서 Windows XP 가 사용[5][6]되었기 때문에 위기의 XP라는 말과 함께 여러 기사가 올라오며 떠들썩하게 만들었다. 아무튼, Microsoft에서 Windows XP서비스 지원은 종료했지만 업데이트나 지원만 종료되었을 뿐이고 운영체제를 사용하는 데는 전혀 문제가 없었다. 예를 들어, 잘 돌아가던 특정 프로그램 실행이 안 된다던가 운영체제가 멈춘다든지 등의 이러한 문제가 있었던 것은 아니었다. 그래서인지 서비스가 종료된 시점에서 3년이 지난 지금까지도 여전히 사용되고 있는 곳이 있다.
이번 WannaCry 랜섬웨어는 Windows XP 사용량이 어느 정도인지 적나라하게 보여준 계기가 되었지 않나 싶다. WannaCry는 영국의 국민건강서비스(NHS)를 죽여버리고 국내 영화관인 CGV와 여러 치과의 전산 시스템을 마비시켰다.[7] 죽어버린 영국의 국민 건강 서비스와 국세청은 대표적으로 Windows XP를 사용하고 있는 것으로 유명하다.[8] 왜냐면 Microsoft에서 Windows XP 서비스를 종료한다고 했을 때 영국에서는 돈을 지불하고 유료 연장 지원을 요청하기도 했었기 때문이다.[9] 중국도 지원을 연장하길 원한다는 얘기가 나오면서 Microsoft에서 이럴 승낙했다는 오보가 떴지만 Microsoft에서 사실이 아니라고 확실하게 부인했다.[10] 사실 이 같은 경우는 사용하고 있는 운영체제에서만 동작하는 특정 프로그램을 실행하거나 혹은 그 운영체제가 특정한 목적을 위해 사용될 때 이런 식으로 연장하기도 한다. 국내에서도 CGV는 사실 잘 모르겠고 필자를 비롯하여 근래 치과를 다녀온 이의 말에 따르면 치과에서 사용하는 운영체제는 Windows XP 였다. 아마도 치과에서 사용되는 프로그램이 XP에서만 실행되거나 혹은 OS를 바꾸기 어려운 상황이지 않을까 예상된다.
영국에서 발생한 NHS 시스템에서는 전체 90%가 Windows XP를 사용하고 있었다고 한다.[11] 실제로 전 세계 Windows XP 점유율은 5.06%에 이르며 전체 Windows XP 사용자 중 7% 정도만 개인용으로 Windows XP를 사용하고 있다.[12] 그렇다면 7% 외에 나머지 점유율은 거의 기업이나 기관, 특정 사용 용도로 쓰이고 있다는 것이다. 이렇게 종료된 시점에서 3년이 지난 지금까지도 많이 사용되고 있는 이유는 분명 있다. Windows XP는 안정적인 Windows 버전 중 하나였을 뿐만 아니라 Windows의 후속작인 Windows Vista의 폭망으로 거의 5년간 여러 중요 시스템에 기반이 되는 운영체제가 되었기 때문이다. 사실 단도직입적으로 이야기하면 XP에서 다른 운영체제로 바꾸기에는 상당한 돈이 들 것이고 결국 돈 때문인 이유가 더 크겠지만.
아무튼 다시 WannaCry를 가져와 이야기하자면 이 랜섬웨어로 Windows XP 사용이 위험하다는 것과 아직도 많은 이가 Windows XP를 사용하고 있었는지가 여실히 보여준다. 그렇다면 여기서 우리가 알아야 할 것이 무엇일까. 첫째, WannaCry는 단순히 일회성 이벤트가 아니라는 것이다. 세상에는 악의적인 목적을 품은 사람들이 많고 Windows XP가 종료되는 시점부터 이를 겨냥한 범죄자가 호시탐탐 노리고 있다. 심지어 이번 WannaCry를 푼 Shadows brokers도 6월에 Windows를 겨냥한 악성코드를 더 풀겠다고 말하기도 했다.[13] 방법도 랜섬웨어서부터 봇넷까지 다양하게 공격할 것을 염두에 둬야 할 필요성이 있다. 둘째, Windows XP처럼 서비스가 종료된 운영체제는 최신 운영체제 Windows 10처럼 Microsoft에서 관리하고 업데이트를 해주는 것이 아니므로 같은 운영체제라도 위험도가 확연하게 차이 난다는 것이다. 엄밀히 말하자면 최신 운영체제인 Windows 10도 업데이트를 한 달여간 하지 않으면 한 달 전에 비해 훨씬 더 큰 위험에 처하게 된다. 사실 이 글에서 가장 핵심적으로 하고 싶은 말은 이 문단이었지 않았을까 생각된다.
좀 더 풀어보자면 이는 우리가 알아야 할 것을 넘어서 몇 가지를 더 의미한다. 만약 Windows XP처럼 오래된 시스템을 보호하고 관리하는 업데이트를 Microsoft에서 해줬다면 WannaCry의 확산을 좀 더 늦추는 데 도움이 되었을 것이다. 하지만 우리가 모두 알고 있듯이 이러한 선택적 대응형 업데이트는 차후 Windows XP를 사용하는 유저들에게 있어 전혀 도움이 되지 않는다는 것이다. 그건 그 한순간일 뿐이지, 꼭 WaanaCry가 아니더라도 다른 수많은 취약점에 치이게 될 것이다. 더욱이 이 같은 대응은 사용자에게 보안에 대한 잘못된 인식을 부여할 수 있고 보안적인 측면에서 잘 되어 있는 시스템, 운영체제로 업그레이드하려는 동기를 전혀 주지 못할 것이다.
이 때문에 내가 여기서 말하고 싶은 것. 결국, 이 본 문을 한 마디로 주장하자면 Windows XP를 사용하고 있는 사용자라면 지금 당장 다른 운영체제로 갈아타라는 것이다.
