미국 기준 14일부터 종료...한국에서는 15일부터 본격 종료될 듯
자원 부족이나 워크플로우 때문에 업그레이드 불가능하다면 직원 교육부터
[보안뉴스 문가용 기자] 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008 R2에 대한 지원이 미국 기준 이번 달 14일에 끝난다. 우리나라 시간 기준으로 내일 정도에 종료된다고 볼 수 있다.
[이미지 = iclickart]
윈도우 7은 2009년 10월 22일 출시된 OS로, 10년이 넘게 지원이 이어졌다. 2020년 1월 14일 이후부터는 윈도우 업데이트(Windows Update)를 통한 기술 지원이나 소프트웨어 업데이트는 이뤄지지 않을 것이다. 윈도우 7 서비스들도 서서히 종료될 것이다. 이번 달 종료될 서비스는 윈도우 미디어 센터를 위한 전자 프로그램 가이드(Electronic Program Guide for Windows Media Center)다.
그러나 지원이 이어지는 서비스들도 존재한다. 에지 브라우저에 대한 지원은 지금부터 최소 18개월 동안 이어질 전망이다(2021년 7월 15일까지). 구글 역시 크롬 브라우저가 윈도우 7에서 최소 18개월 동안은 사용될 수 있도록 지원을 이어갈 것이라고 한다.
윈도우 서버 2008이 종료된다는 것은, 앞으로 무료 온프레미스 보안 업데이트, 보안 외 업데이트, 무료 지원 옵션, 온라인 기술 센터 업데이트가 전부 종료된다는 뜻이다. MS는 윈도우 서버 2008 제품과 서비스들을 전부 애저로 옮겼을 경우 별도의 비용 없이 3년 더 보안 업데이트를 지원받을 수 있다고 한다. 치명적 위험도와 중요 위험도 취약점에 대한 보안 업데이트를 의미한다.
정말 피치 못할 사정이 있어 지원 종료일까지 업데이트나 애저 이주를 완료할 수 없는 MS 사용자들이라면 보안 업데이트 연장(Extended Security Update)이라는 서비스를 구매하는 것이 좋다고 한다. 이전과 같은 수준의 지원이 이뤄지는 건 아니지만, 업그레이드까지 시스템과 서버를 보호할 수는 있다고 한다.
MS가 윈도우 7 지원 종료에 대해 알린 건 지난 해 4월부터다. 윈도우 7 사용자들에게는 관련 내용이 팝어 창 형태로 떴었다. 지난 10월부터는 윈도우 7 프로 장비 사용자들도 비슷한 경고를 받기 시작했다.
보안 업체 테너블(Tenable)의 사건 대응 및 연구 엔지니어인 사트남 나랑(Satnam Narang)은 “MS가 꽤나 긴 시간 동안 경보를 울렸다”고 말한다. “그 정도로 OS 지원 종료가 대단한 위험 요소라는 것입니다. 이미 공격자들은 패치하지 않는 사용자들을 집중적으로 노려오는 걸 수년 간 연습해왔죠. 그들도 윈도우 7 종료일만 기다리고 있을 겁니다.”
공격자들이 가장 좋아하는 윈도우 7과 윈도우 서버 2008의 취약점들 중 하나로 나랑은 CVE-2019-1458을 꼽는다. 이미 공격자들이 활발히 공략하고 있는 권한 상승 취약점으로 지금이라도 이에 대한 패치를 적용해야 한다고 강조했다. “뿐만 아니라 이제부터 윈도우 7과 서버 2008을 겨냥해 노린 제로데이 공격도 조심해야 할 것입니다.”
자동화 기술 전문 업체인 오토목스(Automox)의 수석 제품 관리자인 리차드 멜릭(Richard Melick)은 원격 데스크톱 프로토콜(RDP)과 서버 메시지 블록(Server Message Block)의 취약점을 노린 공격이 급증할 것이라고 예상한다. “즉 각종 서비스를 기반으로 한 공격이 이어질 거라고 봅니다. 윈도우 7의 서비스는 물론, 윈도우 7을 기반으로 했던 서드파티 서비스들이 종료되면서 이러한 위험은 더 커질 전망입니다.”
게다가 미국에서는 기술 지원 사기가 큰 문제라는 것도 변수다. “윈도우 7 등에 대한 지원 종료가 이미 대대적으로 알려져 있는 상태입니다. 이제 기술 지원 사기를 치는 공격자들은 ‘당신의 윈도우에 대한 지원이 종료되었습니다’라는 제목으로 사람들을 유혹할 수 있게 됐습니다. 그리고 업데이트를 해준다면서 각종 사기 공격을 이어가겠죠.”
업그레이드 과정의 단점
왜 많은 사용자들이 종료될 것을 알면서도 윈도우 7과 같은 OS를 고집하는 것일까? 멜릭은 “워크플로우 때문”이라고 말한다. “업데이트나 업그레이드 모두 어느 정도는 일반적인 워크플로우를 파괴하거나 방해하죠. 기업 환경을 한 번 생각해보세요. 서드파티 애플리케이션이 정말 많죠. 이 모든 앱들의 기반이 되는 OS를 변경한다는 건 리스크가 큰 행위이며, 무슨 일이 벌어질지 아무도 예상할 수 없습니다. 실제로 보안 업데이트 적용했다가 시스템이 마비되는 현상은 종종 일어나죠. 그런 리스크를 허용하거나, 완전 업그레이드를 하는 데 필요한 자원이 없는 조직들도 분명 있을 것입니다.”
자원이 부족한 경우도 있지만, 자원이 넘쳐나도 문제가 되는 경우가 있다. “돈이 부족해서 업그레이드를 못하는 게 아닌 대기업의 경우, 업데이트 해야 할 시스템이 너무 많아서 업그레이드를 좀처럼 못하기도 합니다. 몇 천대에서 몇 만대를 업데이트 하고, 경우에 따라 그 많은 시스템을 하나하나 살피며 부작용도 고쳐야 하는데요, 이건 정말 오랜 시간과 많은 인력을 투입시켜야 하는 일입니다. 서비스가 중단될 것을 감수해야 할 수도 있고요.”
나랑은 “결국 양자택일의 문제”라고 말한다. “업그레이드를 하자니 워크플로우가 망가지고 서비스 일부가 중단될지도 모른다는 리스크를 짊어져야 하고, 업그레이드를 하지 않자니 해커들의 공격 가능성이 높아진다는 리스크를 짊어져야 합니다. 자, 둘 중 어떤 게 더 심각한가요? 조직마다 답은 다를 것입니다.”
나랑은 “요즘과 같은 시대에는 업그레이드를 하지 않을 경우 GDPR과 같은 각종 데이터 보호 규정에 걸려 큰 벌금을 내야 할 리스크도 가져가야 한다”고 언급한다. “예전에는 벌금이 그리 높지 않았어요. 그래서 리스크 요인으로 보이지 않았죠. 하지만 지금은 아닙니다. 이 부분 또한 반드시 고려해야 합니다.”
업그레이드가 정말 불가능하다면?
업그레이드가 정말로 불가능한 처지라면 어떻게 해야 할까? “재력이 부족하다거나, 기술력이 부족해서 발만 동동 구르는 조직들이 세계적으로 꽤나 많은 것으로 알려져 있습니다. 그런 경우 다음과 같은 조치를 취하는 것이 좋습니다.” 멜릭의 설명이다.
“가장 먼저는 가능한 모든 IT 및 보안 인력을 모아 네트워크에 연결된 모든 서비스와 장비들에 대한 감사를 시작해야 합니다. 모든 장비의 상태를 파악하고, 어떤 장비가 업그레이드 가능한지를 알아내는 것이죠. 물론 그 동안 놓친 업데이트가 얼마나 되는지, 장비 업그레이드 시 발생할 수 있는 문제들은 어떤 것이 있는지도 최대한 파악하는 게 필요합니다. 그러면서 가장 안전한 것들부터 가능한 만큼 업그레이드를 해야 할 것입니다. OS 업그레이드 말고 필요한 모든 패치는 반드시 적용하고요.”
나랑은 “OS 업그레이드가 불가능하다면, 당연히 직원들에 대한 보안 교육을 강화해야 한다”고 강조한다. “특히 윈도우 7을 유지할 때 예상되는 각종 피싱 공격과 기술 지원 사기에 대해 알려줘야 할 것입니다.”
4줄 요약
1. 오늘~내일부터는 윈도우 7과 서버 2008 등에 대한 지원이 공식 종료됨.
2. 윈도우 업그레이드가 되지 않는 경우가 분명히 존재함.
3. 그럴 때는 최대한 현 상황을 파악해 가능한 장비부터 하나 둘 업데이트하는 것이 중요함.
4. 또한 윈도우 OS 외 모든 소프트웨어 업데이트를 적용하는 것도 중요.
[국제부 문가용 기자(globoan@boannews.com)]
자원 부족이나 워크플로우 때문에 업그레이드 불가능하다면 직원 교육부터
[보안뉴스 문가용 기자] 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008 R2에 대한 지원이 미국 기준 이번 달 14일에 끝난다. 우리나라 시간 기준으로 내일 정도에 종료된다고 볼 수 있다.
[이미지 = iclickart]
윈도우 7은 2009년 10월 22일 출시된 OS로, 10년이 넘게 지원이 이어졌다. 2020년 1월 14일 이후부터는 윈도우 업데이트(Windows Update)를 통한 기술 지원이나 소프트웨어 업데이트는 이뤄지지 않을 것이다. 윈도우 7 서비스들도 서서히 종료될 것이다. 이번 달 종료될 서비스는 윈도우 미디어 센터를 위한 전자 프로그램 가이드(Electronic Program Guide for Windows Media Center)다.
그러나 지원이 이어지는 서비스들도 존재한다. 에지 브라우저에 대한 지원은 지금부터 최소 18개월 동안 이어질 전망이다(2021년 7월 15일까지). 구글 역시 크롬 브라우저가 윈도우 7에서 최소 18개월 동안은 사용될 수 있도록 지원을 이어갈 것이라고 한다.
윈도우 서버 2008이 종료된다는 것은, 앞으로 무료 온프레미스 보안 업데이트, 보안 외 업데이트, 무료 지원 옵션, 온라인 기술 센터 업데이트가 전부 종료된다는 뜻이다. MS는 윈도우 서버 2008 제품과 서비스들을 전부 애저로 옮겼을 경우 별도의 비용 없이 3년 더 보안 업데이트를 지원받을 수 있다고 한다. 치명적 위험도와 중요 위험도 취약점에 대한 보안 업데이트를 의미한다.
정말 피치 못할 사정이 있어 지원 종료일까지 업데이트나 애저 이주를 완료할 수 없는 MS 사용자들이라면 보안 업데이트 연장(Extended Security Update)이라는 서비스를 구매하는 것이 좋다고 한다. 이전과 같은 수준의 지원이 이뤄지는 건 아니지만, 업그레이드까지 시스템과 서버를 보호할 수는 있다고 한다.
MS가 윈도우 7 지원 종료에 대해 알린 건 지난 해 4월부터다. 윈도우 7 사용자들에게는 관련 내용이 팝어 창 형태로 떴었다. 지난 10월부터는 윈도우 7 프로 장비 사용자들도 비슷한 경고를 받기 시작했다.
보안 업체 테너블(Tenable)의 사건 대응 및 연구 엔지니어인 사트남 나랑(Satnam Narang)은 “MS가 꽤나 긴 시간 동안 경보를 울렸다”고 말한다. “그 정도로 OS 지원 종료가 대단한 위험 요소라는 것입니다. 이미 공격자들은 패치하지 않는 사용자들을 집중적으로 노려오는 걸 수년 간 연습해왔죠. 그들도 윈도우 7 종료일만 기다리고 있을 겁니다.”
공격자들이 가장 좋아하는 윈도우 7과 윈도우 서버 2008의 취약점들 중 하나로 나랑은 CVE-2019-1458을 꼽는다. 이미 공격자들이 활발히 공략하고 있는 권한 상승 취약점으로 지금이라도 이에 대한 패치를 적용해야 한다고 강조했다. “뿐만 아니라 이제부터 윈도우 7과 서버 2008을 겨냥해 노린 제로데이 공격도 조심해야 할 것입니다.”
자동화 기술 전문 업체인 오토목스(Automox)의 수석 제품 관리자인 리차드 멜릭(Richard Melick)은 원격 데스크톱 프로토콜(RDP)과 서버 메시지 블록(Server Message Block)의 취약점을 노린 공격이 급증할 것이라고 예상한다. “즉 각종 서비스를 기반으로 한 공격이 이어질 거라고 봅니다. 윈도우 7의 서비스는 물론, 윈도우 7을 기반으로 했던 서드파티 서비스들이 종료되면서 이러한 위험은 더 커질 전망입니다.”
게다가 미국에서는 기술 지원 사기가 큰 문제라는 것도 변수다. “윈도우 7 등에 대한 지원 종료가 이미 대대적으로 알려져 있는 상태입니다. 이제 기술 지원 사기를 치는 공격자들은 ‘당신의 윈도우에 대한 지원이 종료되었습니다’라는 제목으로 사람들을 유혹할 수 있게 됐습니다. 그리고 업데이트를 해준다면서 각종 사기 공격을 이어가겠죠.”
업그레이드 과정의 단점
왜 많은 사용자들이 종료될 것을 알면서도 윈도우 7과 같은 OS를 고집하는 것일까? 멜릭은 “워크플로우 때문”이라고 말한다. “업데이트나 업그레이드 모두 어느 정도는 일반적인 워크플로우를 파괴하거나 방해하죠. 기업 환경을 한 번 생각해보세요. 서드파티 애플리케이션이 정말 많죠. 이 모든 앱들의 기반이 되는 OS를 변경한다는 건 리스크가 큰 행위이며, 무슨 일이 벌어질지 아무도 예상할 수 없습니다. 실제로 보안 업데이트 적용했다가 시스템이 마비되는 현상은 종종 일어나죠. 그런 리스크를 허용하거나, 완전 업그레이드를 하는 데 필요한 자원이 없는 조직들도 분명 있을 것입니다.”
자원이 부족한 경우도 있지만, 자원이 넘쳐나도 문제가 되는 경우가 있다. “돈이 부족해서 업그레이드를 못하는 게 아닌 대기업의 경우, 업데이트 해야 할 시스템이 너무 많아서 업그레이드를 좀처럼 못하기도 합니다. 몇 천대에서 몇 만대를 업데이트 하고, 경우에 따라 그 많은 시스템을 하나하나 살피며 부작용도 고쳐야 하는데요, 이건 정말 오랜 시간과 많은 인력을 투입시켜야 하는 일입니다. 서비스가 중단될 것을 감수해야 할 수도 있고요.”
나랑은 “결국 양자택일의 문제”라고 말한다. “업그레이드를 하자니 워크플로우가 망가지고 서비스 일부가 중단될지도 모른다는 리스크를 짊어져야 하고, 업그레이드를 하지 않자니 해커들의 공격 가능성이 높아진다는 리스크를 짊어져야 합니다. 자, 둘 중 어떤 게 더 심각한가요? 조직마다 답은 다를 것입니다.”
나랑은 “요즘과 같은 시대에는 업그레이드를 하지 않을 경우 GDPR과 같은 각종 데이터 보호 규정에 걸려 큰 벌금을 내야 할 리스크도 가져가야 한다”고 언급한다. “예전에는 벌금이 그리 높지 않았어요. 그래서 리스크 요인으로 보이지 않았죠. 하지만 지금은 아닙니다. 이 부분 또한 반드시 고려해야 합니다.”
업그레이드가 정말 불가능하다면?
업그레이드가 정말로 불가능한 처지라면 어떻게 해야 할까? “재력이 부족하다거나, 기술력이 부족해서 발만 동동 구르는 조직들이 세계적으로 꽤나 많은 것으로 알려져 있습니다. 그런 경우 다음과 같은 조치를 취하는 것이 좋습니다.” 멜릭의 설명이다.
“가장 먼저는 가능한 모든 IT 및 보안 인력을 모아 네트워크에 연결된 모든 서비스와 장비들에 대한 감사를 시작해야 합니다. 모든 장비의 상태를 파악하고, 어떤 장비가 업그레이드 가능한지를 알아내는 것이죠. 물론 그 동안 놓친 업데이트가 얼마나 되는지, 장비 업그레이드 시 발생할 수 있는 문제들은 어떤 것이 있는지도 최대한 파악하는 게 필요합니다. 그러면서 가장 안전한 것들부터 가능한 만큼 업그레이드를 해야 할 것입니다. OS 업그레이드 말고 필요한 모든 패치는 반드시 적용하고요.”
나랑은 “OS 업그레이드가 불가능하다면, 당연히 직원들에 대한 보안 교육을 강화해야 한다”고 강조한다. “특히 윈도우 7을 유지할 때 예상되는 각종 피싱 공격과 기술 지원 사기에 대해 알려줘야 할 것입니다.”
4줄 요약
1. 오늘~내일부터는 윈도우 7과 서버 2008 등에 대한 지원이 공식 종료됨.
2. 윈도우 업그레이드가 되지 않는 경우가 분명히 존재함.
3. 그럴 때는 최대한 현 상황을 파악해 가능한 장비부터 하나 둘 업데이트하는 것이 중요함.
4. 또한 윈도우 OS 외 모든 소프트웨어 업데이트를 적용하는 것도 중요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
