윈도우 XP 운영체제(OS)의 보안 지원 종료 시기가 내달초로 다가왔다. 하지만 윈도우 XP OS를 주로 쓰고 있는 은행이나 카드사 등 금융권에선 아직까지도 뾰족한 대비책을 세워놓지 않고 있다. '별다른 문제가 없을 것'이란 안이한 보안 의식뿐만 아니라 '비용이 만만치 않아서'란 현실적인 문제로 미적거리는 분위기다. 때문에 최악의 경우 대규모 개인정보 유출 사고가 터질 가능성이 제기되고 있다.
17일 관련업계에 따르면 마이크로소프트(MS)는 내달 8일 윈도우XP에 대한 지원을 종료한다. 이후부터 PC 보안이나 버그 수정, 온라인 기술 지원 등 XP에 대한 일체의 지원이 끊긴다. 지원이 끝난 이후 XP를 사용할 경우 컴퓨터는 그대로 작동하지만 새로운 보호막이 덮히지 않기 때문에 신종 보안 위협이나 바이러스에 취약해 질 수 밖에 없다.
국내 XP 점유율은 평균 15.46%로 이용자 6~7대 가운데 한대는 XP를 여전히 사용하고 있다. XP는 국내 뿐만 아니라 해외에서도 인기가 높다. 시장조사업체 스탯카운터에 따르면 XP의 세계 시장 점유율은 18.57%로 '윈도우7'(55.2%)에 이어 2위다.
지난 2001년 출시된 XP는 세계적으로 높은 인기를 얻으며 MS의 대표 OS로 성장했다. XP는 지난 2008년에 공식적으로 단종됐으며, 당초 2012년에 지원이 중단될 계획이었으나 소비자 반발로 2년 연장된 바 있다. MS측에 따르면 총 12년 동안 서비스를 지원한 OS는 XP가 유일하다.
문제는 XP가 개인컴퓨터(PC) 뿐만 아니라 은행이나 카드사 등 금융권 단말기에도 많이 사용되고 있다는 점이다. 금융감독원에 따르면 전국에 설치된 현금자동입출금기(ATM)의 90% 이상이 XP를 사용하고 있다.
보통 XP 같은 OS는 ATM이나 신용카드결제기(POS) 등에도 탑재된다. 이처럼 특정 단말기에 사용되는 OS를 '임베디드'라 하는데, 임베디드 XP는 단말기별로 혹은 버전별로 종류가 다양하기 때문에 지원 종료 시기도 제각각이다. 일부 임베디드 XP는 PC용과 마찬가지로 내달 8일에 지원이 종료하는가 하면 또 다른 버전은 오는 2019년에나 지원이 끝나는 경우도 있다.
특이하게도 국내에서 사용되는 ATM이나 POS에는 임베디드가 아닌 PC용 XP가 대부분 탑재되고 있다. 이에 따라 내달 8일 지원 종료 이후부터 거의 모든 ATM이나 POS는 심각한 보안 위험에 노출될 수 밖에 없다. 해커가 시스템 상의 취약점을 노리고 악성코드를 심어놓을 경우 개인 금융정보가 털릴 수 있다는 것이다. 이에 대비해 안랩이나 시만텍, 맥아피 같은 보안업체가 XP용 백신 서비스를 앞으로 2~3년 가량 지원해 줄 계획이나 안전을 담보할 수 없다. 개발사인 MS가 아닌 제 3자 보안업체가 아무리 보호막을 잘 만들어봤자 한계가 있기 때문이다. 보안 업계에서도 "백신이 현실적인 모든 보안 위협에 대해 완벽하게 방어하는 것은 불가능하다"라고 입을 모으고 있다.
XP 지원 종료 시기가 2주 정도 남았지만 은행과 카드사 등은 아직 뾰족한 해결책을 찾지 못하고 있다. ATM 단말기 특성상 하드웨어와 OS를 같이 교체해야 하는 경우도 많은데다 유지·보수업체가 ATM 설치 장소를 일일이 방문해 교체해야 하기 때문에 비용이 만만치 않다. 금융감독원에 따르면 8만대에 육박하는 전국 ATM 기기 교체 비용은 1조원이 넘을 것으로 예상된다.
금융감독원은 은행 지점마다 최소 1대 ATM은 상위 OS 버전으로 업그레이드 하도록 하고, 2개의 하드디스크를 사용해 내부와 외부망을 분리토록 하는 등 대비책을 각 은행에 지시하고 있다. 하지만 강제 사항이 아니기 때문에 은행들이 반드시 이를 따르지 않고 있다. 한 은행 관계자는 "금감원 지시사항에 맞춰 자체적으로 보안 대책을 세우고 있으나 비용 문제 탓에 ATM OS 전면 교체는 현실적으로 어렵다"고 말했다. 금감원 관계자도 "ATM 장비가 워낙 고가다보니 은행들이 쉽게 업그레이드에 나서지 못하고 있다"라며 "법적으로 강력하게 지도할 수 있는 근거도 없어 강제가 아닌 권유하는 수준"이라고 설명했다.
은행들이 XP 지원 종료로 인한 '보안 대란'이 뻔히 예상됨에도 선뜻 대비책을 마련하지 않는 이유는 보안 의식이 낮기 때문이란 지적도 있다. 최근 금융사를 비롯해 이동통신사, 인터넷 쇼핑몰 등에서 개인정보 유출 사고가 잇따르면서 관심과 경각심은 높아졌으나 보안 의식 수준까지 높아진 것은 아니라는 것이다. 한 보안업체 관계자는 "경영자들이 미래를 대비하는 차원에서 보안 장비에 과감한 투자를 해야 하지만 여전히 보안에 대한 투자를 경시하고 있다"라고 지적했다.