[NetSec-KR 2025] “공공기관, 윈도우·리눅스 EOS 대응 시급...해킹 위협 증가”

“EOS 대응은 단순한 시스템 유지보수가 아니라, 보안 전략이자 비즈니스 전략”

최근 해킹 위협이 끊이지 않고 있는 가운데, 보안 기술 지원이 종료된 OS(운영체제)의 사용이 여전히 많은 공공기관 내에서 보안 사고 가능성이 급증하고 있다는 우려의 목소리가 커지고 있다.

NetSec-KR 2025(제31회 정보통신망 정보보호 컨퍼런스) 세션17 정보보호 EOS/EOL(좌장 유진호 상명대 교수)에서 메가존소프트 이재춘 시큐리티 스페셜리스트(이하 수석)는 ‘기업의 비즈니스 연속성을 위한 EOL 계획 수립’을 주제로 강연을 진행하며 “EOS(End of Support) 대응이 늦어지면 기업과 공공기관은 연쇄적인 사이버 공격의 타깃이 될 수 있다”고 경고했다.

◆“EOS는 단순 종료가 아니라 비즈니스 리스크의 시작”

이재춘 수석은 “EOS는 단순히 기술 지원이 종료된다는 의미를 넘어, 기업의 비즈니스 연속성과 직접 연결된 위험”이라며 발표를 시작했다. EOL(End of Life)이 제품의 개발 및 판매 종료 시점을 뜻한다면, EOS는 유지보수와 보안 패치 등 기술 지원까지 모두 종료된 상태를 의미한다. 이 시점부터는 보안 취약점이 발견되더라도 제조사로부터 패치를 받을 수 없고, 공격자 입장에서는 공략이 훨씬 쉬운 환경이 된다.

그는 “특히 공공기관이 CentOS, 윈도우10, 일부 클라우드 저장소 소프트웨어 등 EOS가 된 시스템을 계속 사용하는 경우가 많다”며 “레드햇(Red Hat) 기술 지원이 2024년 6월 종료됨에 따라 CentOS 사용자들은 새로운 유료 리눅스 OS 도입 또는 별도의 기술 지원 서비스를 반드시 고려해야 한다”고 강조했다.

◆EOS 방치 시 현실화된 보안 위협

실제 EOS 제품을 방치하다가 심각한 보안사고로 이어진 사례도 적지 않다. 이 수석은 과거 Windows XP를 예로 들며 “당시 ATM기에 여전히 XP를 사용하는 은행들이 있었고, 이를 통해 대규모 금융 해킹이 발생한 바 있다”며 “보안 패치 중단은 단순한 기술 종료가 아니라, 외부 위협에 완전히 노출된다는 의미”라고 설명했다.

운영과 관리의 복잡성도 커진다. EOS 시스템은 다른 시스템과 호환이 어려워 인프라 통합이나 자동화에 큰 제약이 생기며, 해당 시스템을 계속 사용하려면 인적 자원을 투입해 수작업 대응을 해야 한다. 이 과정에서 관리 효율이 떨어지고 인력 리소스 낭비가 뒤따르게 된다.

또한 규제기관의 컴플라이언스 준수에도 문제를 야기할 수 있다. 특히 금융권이나 공공기관은 시스템의 기술 지원 종료 여부에 따라 인증 갱신에 제동이 걸릴 수 있어, 시스템 교체가 불가피한 상황이 빈번하다.

◆“기술 생명주기는 점점 짧아진다…사전 대응 필요”

이 수석은 EOS 발생 주기가 점점 짧아지고 있다는 점도 강조했다. “스마트폰 사례를 보면 기술 주기가 초기에는 길었지만, 최근에는 거의 1~2년 단위로 기술이 변화하고 있다”며 “이제는 기업도 제품 출시 시점부터 EOS에 대비해 자산을 관리하고 생명주기를 예측해야 하는 시점”이라고 말했다.

이를 위해 이 수석은 자산 인벤토리 구축과 비즈니스 영향 분석(BIA: Business Impact Analysis)을 통한 EOS 대응계획 수립을 제안했다. 인벤토리에는 소프트웨어 이름, 버전, 라이선스 정보, 규정 준수 사항, 보안 기능 등 상세 정보를 포함해야 하며, 자동화 도구를 활용해 관리의 정확성과 효율성을 높여야 한다고 강조했다.

◆EOS 대응 전략, ‘위기’ 아닌 ‘기회’로 전환하라

이 수석은 EOS 대응이 단지 리스크 완화가 아니라, 기업이 기술 전환을 통해 경쟁력을 확보할 수 있는 '기회'가 될 수 있다고 강조했다. “대응 전략은 네 가지로 정리할 수 있다”며 ▲위험 회피(사용 중단 및 교체), ▲위험 감소(가상 패칭 및 인프라 구성 변경), ▲위험 전가(보험 등), ▲위험 수용(비추천) 등을 소개했다.

예를 들어 한 게임기업의 DBMS EOS 사례에서는 AWS 기반 데이터베이스를 구글 클라우드 기반 DB로 교체하면서 VPC 및 VPN 구성을 통해 보안 문제를 해결했다. 단순 교체를 넘어 성능 개선, 운영 효율성 증대, 비용 절감까지 실현한 사례였다.

또 다른 보안기업의 SIEM 교체 사례에서는 EOS는 아니었지만 파트너사의 지원 중단으로 인한 사실상 EOS 상황을 맞았고, 이 수석은 로그 수집 및 분석, 위협 탐지, 자동 대응까지 포함한 클라우드 기반 SOAR 시스템으로 성공적인 마이그레이션을 이끌어냈다.

◆공공기관, 더는 미룰 수 없는 선택

무엇보다 이재춘 수석은 “CentOS처럼 보안서비스가 중단된 OS를 여전히 사용하는 공공기관이 많다”며 “이제는 정부 차원에서 EOS 대응을 체계적으로 점검하고 대책을 마련해야 할 시점”이라고 강조했다. 해커들이 가장 선호하는 공격 루트는 패치되지 않은 취약점을 이용하는 것이며, 공공기관이 이를 방치할 경우, 대규모 정보 탈취와 시스템 마비로 이어질 수 있다는 것이 보안 전문가들의 공통된 우려다. 이 수석은 “EOS 대응은 단순한 시스템 유지보수가 아니라, 보안 전략이자 비즈니스 전략”이라며 발표를 마무리했다.

또한 이번 발표에서 2025년 10월 14일 예정된 윈도우10 EOS에 대한 경고도 있었다. 마이크로소프트는 2021년 윈도우10의 생산 종료(EOL)를 공식화한 뒤, 약 4년에 걸쳐 단계적으로 EOS 일정을 공지해왔다. 현재 7천만 대 이상이 사용 중인 윈도우10이 곧 보안 패치와 기술 지원을 받지 못하게 되며, 이는 대규모 사이버 위협의 통로가 될 수 있다.

윈도우10의 시장 점유율은 2024년 말 기준 전 세계 데스크톱 운영체제의 약 60%에 달한다. 이는 공공기관, 기업, 교육기관 등에서 여전히 광범위하게 사용되고 있다는 의미이며, EOS 이후에도 상당수 기관이 계속 해당 OS를 사용할 경우 심각한 보안공백이 발생할 수 있다는 지적이 크다.

이재춘 수석은 “MS는 분명히 EOS 일정을 사전에 충분히 안내했음에도 많은 기관이 여전히 대응을 미루고 있다”며 “이 같은 ‘무대응’은 결국 해킹 피해가 현실화된 뒤 더 큰 비용과 혼란을 초래할 것”이라고 강조했다.

더불어 레드햇의 CentOS 7에 대한 기술 지원이 2024년 6월 종료됨에 따라, 국내 많은 공공기관과 중소기업들이 운영체제 대체에 직면해 있다. CentOS는 비용 부담 없이 사용할 수 있는 오픈소스 리눅스 배포판으로, 그동안 광범위하게 서버 운영에 사용돼 왔다. 그러나 지원 종료 이후에는 보안 패치와 업데이트가 제공되지 않아 심각한 보안 위협에 노출된다.

CentOS 사용자는 ▲유료 RHEL(Red Hat Enterprise Linux) 구독으로 전환하거나, ▲AlmaLinux 또는 Rocky Linux와 같은 커뮤니티 기반 포크 배포판을 도입하거나, ▲보안 기술 지원을 별도로 제공하는 전문 업체의 서비스에 의존하는 등 여러 갈래의 선택지를 고려해야 한다. 하지만 현실은 녹록치 않다.

첫째, 유료 OS로 전환할 경우 라이선스 비용과 마이그레이션 작업에 대한 인력 및 예산 부담이 커진다. 둘째, 포크 배포판의 경우 안정성과 지속 가능성에 대한 우려가 여전히 존재한다. 셋째, 외부 보안 기술 지원 서비스는 제한적인 커버리지를 제공하며, 근본적인 대책이 되기 어렵다는 점에서 ‘임시방편’이라는 평가가 많다.