MS 공식 패치 면밀히 검토해, 윈도우 7과 서버 2008에 적용 가능케 개조할 예정
[보안뉴스 문가용 기자] 윈도우 7과 윈도우 서버 2008의 수명이 얼마 남지 않았다. 2020년 1월 14일부터는 MS도 더 이상 패치를 하지 않는다. 그렇다고 완전히 폐기처분해야 하느냐, 하면 그렇지 않다. 비공식 지원이 예고되었기 때문이다.
[이미지 = iclickart]
일단 윈도우 7과 서버 2008의 공식 제조사인 마이크로소프트만 해도 제한적인 업데이트를 이뤄나갈 예정이다. 확대 보안 업데이트(Extended Security Updates, ESU)를 통해 일부 고객들에게만 유료로 지원을 이어나간다. 그러나 이는 극히 예외적인 경우에만 제공되는 서비스이며, 거의 대부분의 윈도우 7 및 서버 2008 시스템들은 큰 의미가 없다.
게다가 이 ESU라는 것도 2020년부터 3년 동안만 진행된다. 결국 최신 버전의 OS로의 업그레이드 시기가 3년 연장되는 것이 이 서비스의 본질이라는 것이다. MS는 결국 모든 고객들이 오래된 OS를 버리고 최신 버전으로 갈아타기를 원한다. 그리고 그 방향으로 유도하고 있다.
이런 상황 속에서 ‘제로패치(0patch)’라는 사업을 진행하는 슬로베니아의 보안 업체 아크로스 시큐리티(ACROS Security)가 윈도우 7과 윈도우 서버 2008에 대한 보안 지원을 이어가겠다고 발표했다. 제로패치는 제조사가 공식 패치를 발표하기 전에 긴급히 위험을 완화시킬 수 있는 비공식 패치 혹은 마이크로패치를 제공하던 서비스다.
“아크로스 시큐리티는 윈도우 7과 윈도우 2008 서버의 보안을 계속해서 강화하고 지원하기로 결정했습니다. 따라서 해당 OS의 공식 지원이 종료되고서도 여러 가지 까닭으로 사용을 지속시키는 데에 문제가 없을 것입니다.” 아크로스 시큐리티 측의 발표 내용이다.
원래 제로패치는 무료와 유료 두 가지 형태로 제공되던 서비스다. 무료 서비스를 통해 아크로스 시큐리티는 윈도우, 윈라(WinRAR), 오픈오피스(OpenOffice), 마이크로소프트 젯 데이터베이스(JET Database), 어도비 리더(Adobe Reader) 등의 주요 프로그램에서 발견된 치명적 취약점들을 임시로 해결한 바 있다.
아크로스는 이 제로패치 사업을 확장하고자 계속해서 노력해왔다. 작고 임시적인 마이크로패치를 제공하는 것을 넘어서서, 보안 업데이트와 패치라는 부분에서 중요한 플레이어가 되고자 한 것이다. 윈도우 7과 2008 서버를 통해 이런 계기를 마련하고자 하는 게 아크로스의 의도로 분석된다.
“2020년 1월 이후부터 아크로스는 MS가 매달 제공하는 정기 패치를 면밀하게 분석해 어떤 취약점들이 윈도우에서 다뤄졌는지 살피고, 그 취약점들이 윈도우 7과 서버 2008에도 해당되는지 연구할 계획입니다. 그리고 발견되면 MS의 패치 내용과 결과를 응용해 마이크로패치를 개발할 생각입니다.”
또한 중앙 관리 서비스를 두고, 여러 관리자들이 그룹별로 컴퓨터 망을 조직하게 한 뒤, 전혀 다른 환경과 정책을 망마다 적용할 계획이라고도 한다. 제로패치가 개발한 마이크로패치가 별 탈 없이 잘 작동하는 걸 실험하기 위해서다. 이를 통해 패치 때문에 오류가 나는 일을 최소화 하겠다는 의도다.
“저희가 제공하는 제로패치는 시스템에 쉽게 적용했다가 쉽게 취소하도록 만들 예정입니다. 또한 많은 고객들이 요청하는 ‘제로패치 서버의 온프레미스 버전’을 개발하는 것이 저희의 다음 목표입니다.” 그러면서 내부적으로는 리버스 엔지니어링과 패치 분석, 취약점 분석, 패치 개발과 포팅 전문가들을 늘려나가고 있다고 한다.
“아직 확실하게 결정된 건 아니지만 일부 윈도우 7 및 서버 2008용 마이크로패치는 무료로 제공할 생각도 있습니다. 예를 들어 윈도우 버전을 막론하고 전 세계적으로 퍼지는 웜이 발견되었을 경우, 일반 대중들에게 저희가 개발한 패치를 공개할 수도 있습니다.” 아크로스 시큐리티 측의 설명이다.
현재 유료 서비스인 제로패치 프로(0patch Pro)나 제로패치 엔터프라이즈(0patch Enterprise) 라이선스를 가지고 있는 고객들이라면 윈도우 7과 서버 2008용의 패치를 받아볼 수 있다고, 아크로스 웹사이트에는 공지가 되어 있는 상태다.
3줄 요약
1. 마이크로패치 제공하던 제로패치, 윈도우에도 손댄다.
2. 내년 1월부터 수명 다 하는 윈도우 7과 서버 2008이 그 대상.
3. MS의 정기 패치 면밀히 분석해 윈도우 7과 서버 2008용 버전 만들겠다는 게 목표.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>