교체가 되지 않은 PC들은 신종 악성 코드에 무방비로 노출되는 것인데 제대로 된 컨트롤타워 없이는 이런 위험이 반복될 것이란 지적이 나온다.
◇ 공공‧행정부문, 윈도7 교체 99%25…다른 부문은?
CBS노컷뉴스 취재결과 중앙부처와 지방자치단체, 공공기관 등을 제외하고는 금융권과 국회, 법원, 민간부문에서 사용되는 PC중 상당수가 여전히 윈도7로 조사됐다.
행정안전부는 행정‧공공기관 윈도7 PC 약 309만대 중 99%(약 306만대)를 윈도10을 교체한 것으로 파악됐다고 밝혔다. 1%에 해당하는 나머지 PC(약 3만대)는 교육용‧실험용, 윈도10 교체 시 프로그램 작동에 문제가 생겨 교체시기를 늦춘 PC 등이라고 행안부는 설명했다.
하지만 행정‧공공기관을 제외하고는 여전히 윈도7 PC가 사용되고 있다. 금융감독원에 따르면 은행과 보험, 증권 등 금융권에서 윈도7이 사용되는 PC 중 70%만이 교체됐다. 금감원 관계자는 "3월까지 전체 윈도7 PC 중 95%를 교체하는 것을 목표로 한다"고 밝혔다.
금융권을 제외한 민간부문은 윈도7 PC 교체를 권고하고, 만일의 사태에 대비하는 것 말고는 뚜렷한 방법이 없는 상황이다.
행안부가 관할하지 않는 국회와 법원, 중앙선관위 등의 상황은 더욱 심각하다.
국회사무처에서 사용하던 윈도7 PC중 70~80%는 교체됐지만, 국회의원실에서 사용되는 PC는 100% 윈도7을 사용하고 있는 것으로 나타났다.
대법원은 "업그레이드를 위한 라이센스 구입 등 준비를 완료해 윈도7에서 윈도10로 업그레이를 하고 있는 중"이라면서도 윈도7 PC 사용 현황과 구체적인 교체 시기는 밝히지 않았다.
중앙선거관리위원회도 윈도7 PC 사용 현황과 구체적인 교체 시기는 공개하지 않았다. 선관위 관계자는 "선거를 앞두고 사이버 공격 등에 악용될 소지가 있어서 구체적인 내용을 공개하기 어렵다"고 말했다.
◇ 2009년부터 윈도7 기술 지원 중단 시기 예고됐는데 "아직 업그레이드 중"
윈도7 PC 교체가 완료되지 않은 기관들은 업무시스템과 외부 인터넷망이 분리돼 있어서 사이버 안전에는 문제가 없다는 입장이다. 윈도7 기술 지원 중단 시기가 일찌감치 예고됐음에도 교체를 서두르지 않은 이유는 주로 '내부 사정'을 꼽았다.
금감원 관계자는 "금융사들은 내부전산시스템과 외부 인터넷망을 단절시켜놨고 내부 보안체계가 잘 되어있다"면서도 "그럼에도 불구하고 올해 3워까지는 금융권의 95% 윈도7 PC를 교체하는 것을 목표로 하고 있다"고 말했다.
윈도7 교체가 늦어진 이유에 대해서는 "금융사별로 시스템을 교체하는 주기가 있는데 재작년에 차세대시스템을 구축하고 내부시스템도 교체하다보니 (윈도7 교체) 일정이 늦어지는 것 같다"고 전했다.
국회 관계자는 "회기 중 의원실 PC를 정비하게 되면 의정활동에 영향을 줄 수 있어서 21대 국회 개원시기에 맞춰 의원실 PC를 회수해 재정비하면 업무 공백을 최소화할 수 있어서 5월까지 의원실 PC 운영체제를 교체할 계획"이라고 말했다.
법원 관계자는 "법원은 업무시스템이 전문적이고 복잡해 윈도7에서 윈도10으로 업그레이드를 하기 위한 호환성테스트에 다른 기관에 비해 상당한 시간이 소요된다"며 "업그레이드가 돼 있지 않은 컴퓨터에 대한 업그레이드는 빠른 시일 내에 마칠 예정"이라고 밝혔다. 이어 "법원 업무시스템은 외부와 망이 분리되어 있어 안전에 전혀 문제가 없다"고 단언했다.
선관위 관계자도 "윈도7 교체 관련 예산을 올해부터 확보했다"며 윈도7 교체 대응이 늦어졌던 이유를 에둘러 설명했다.
◇ "윈도 교체 때마다 혼란…컨트롤타워 없으니 권력기관들 안이하게 대응"
전문가들은 이런 혼란의 중요한 원인 중 하나를 '컨트롤타워 부재'로 꼽았다. 윈도 교체시기때마다 비슷한 혼란이 반복되고 있는데 특정 부처가 컨트롤타워 역할을 하다 보니 제대로 된 사이버 보안 관리가 되지 않는다는 것이다.
개별 부처들이 관리에 나서는 형국이다보니 국회와 법원, 선관위 등 권력기관들이 사이버 범죄의 위험을 과소평가하며 안이한 모습을 보인다는 것.
고려대 정보보호대학원 김승주 교수는 "윈도우 업데이트 관련한 문제는 윈도우XP때부터 계속 반복되고 있는 문제"라며 "국내에 '국가안보실'이라는 컨트롤타워가 있음에도 불구하고 나라 전체에서 체계적으로 업데이트 계획이 짜여 움직이는 것이 아니라 부처별로 제각기 논다는 문제가 있다"고 지적했다.
망 분리를 이유로 '보안 위험이 없다'는 법원 등 일부 기관의 설명에 대해서는 "우회로를 통해 악성코드가 침투할 가능성을 배제할 수 없다"며 "안이하게 판단하고 있다"고 꼬집었다.
2017년 윈도XP의 보안 지원 종료 후 대규모 사이버공격으로 피해를 입은 국가는 150개국, 피해 PC는 30만대다. 당시 미국 재무부, 영국 국민보건서비스(NHS)도 해킹을 당했고, 국내에서도 CGV 등이 피해를 본 것을 감안하면 윈도7 보안 지원 종료 위험을 과장할 필요는 없지만 만전을 기해 피해 가능성을 최소화할 필요가 있다는 목소리가 설득력을 얻고 있다.