구형 윈도우 방치가 부른 보안 참사들 다수…국내 공공·기업들 철저히 대응해야
지원 종료된 운영체제는 평균 2주 안에 공격에 악용될 수 있어
“한 국내 제조업체 A사는 여전히 윈도우10을 구형 설비 PC에서 운용하고 있었다. 기술지원 종료가 다가온다는 사실을 알고 있었지만, 설비 교체 비용과 호환성 문제로 대응을 미뤘다. 결국 보안 패치가 제공되지 않은 취약점이 악용돼 랜섬웨어 공격을 받았다. 생산라인이 3일간 멈추며 수십억 원의 손실을 기록했고, 고객 데이터 일부가 유출되면서 신뢰에도 큰 타격을 입었다. 업계 관계자는 윈도우10 지원 종료를 단순한 공지로만 본 것이 치명적인 결과를 불렀다고 말하며 후회했다.”
위 내용은 10월 14일 이후 발행할 수 있는 사이버 침해사고 사례를 예로 들어본 것이다. 아마도 현실화될 가능성이 높다는 생각이 든다.
■2025년 10월 14일, 윈도우10 지원 종료
마이크로소프트(MS)는 오는 2025년 10월 14일부로 윈도우10(Windows 10)에 대한 기술지원을 종료한다. 이 날짜 이후에는 새로운 보안 취약점이 발견돼도 더 이상 보안 업데이트가 제공되지 않는다. 겉으로는 PC가 정상 작동하지만, 사실상 보안이 전혀 되지 않는 ‘시한폭탄’ PC인 샘이다. 전문가들은 “보안 패치가 멈춘 순간부터 윈도우10은 공격자의 손쉬운 먹이감이 될 것”이라고 경고한다.
이에 한국 정부도 대응에 나섰다. 과학기술정보통신부는 올해 4월 ‘윈도우10 기술지원 종료 종합상황실’을 운영한다고 밝혔다. 관계 부처와 함께 사용자 안내를 강화하고, 공공기관 및 기업 대상 대응 체계를 마련했다. 하지만 국내에서는 여전히 상당수 기관과 기업이 윈도우10을 사용하고 있어 전환 속도가 더디다는 지적이 나온다. IT 자산 교체에 필요한 예산과 레거시 시스템 호환 문제가 큰 장애물로 꼽힌다.
MS는 지원 종료 이후에도 일정 기간 확장 보안 업데이트(ESU)를 유료로 제공한다. 기업과 기관은 최대 3년간 구매할 수 있으며, 1년 차에는 기기당 61달러, 이후 매년 비용이 2배씩 늘어난다. 반면 개인 사용자에게는 조건부로 1년간 무료 ESU가 제공된다. MS 계정 로그인 후 ‘윈도우 백업’ 기능을 활성화하면 2026년 10월까지 보안 패치를 받을 수 있다. 이후에는 리워드 포인트 1,000점이나 30달러 지불을 통해 연장이 가능하다.
하지만 가장 확실한 방법은 윈도우11 업그레이드다. 다만, 윈도우11은 64비트 CPU, 최소 4GB RAM, 64GB 저장공간, TPM 2.0 보안칩 등 까다로운 요구사항을 충족해야 한다. 구형 장비는 업그레이드가 불가능해 새 장비 도입이 불가피하다.
■공공·기업이 지금 해야 할 준비는
전문가들은 공공기관과 기업이 다음과 같은 절차를 반드시 밟아야 한다고 강조한다.
첫째, 조직 내 모든 PC 자산을 조사해 윈도우11 업그레이드 가능 여부를 점검해야 한다. 둘째, 업그레이드가 불가능한 장비는 교체 예산을 조기에 확보하고, 필요 시 ESU를 통해 최소한의 보안을 유지해야 한다. 셋째, 핵심 업무 애플리케이션의 윈도우11 호환성을 검증하고, 불가할 경우 가상화나 리팩토링으로 대안을 마련해야 한다. 마지막으로, 여전히 남을 수밖에 없는 윈도우10 장비는 인터넷 노출을 최소화하고 네트워크를 분리하는 등 추가 통제를 강화해야 한다.
보안전문가들은 “지원 종료된 운영체제는 평균 2주 안에 공격에 악용될 수 있다”고 경고한다. 실제 랜섬웨어 조직은 패치가 제공되지 않는 구형 OS를 주요 침투 경로로 삼는다. 인터넷과 연결된 윈도우10 장비가 남아 있을 경우, 공격자는 이를 발판 삼아 내부망으로 확산해 중요 데이터를 탈취하거나 서비스를 마비시킬 가능성이 높다.
한편 일반 사용자라면 사양이 된다면 윈도우11로 즉시 업그레이드하는 것이 최선이다. 불가피하게 윈도우10을 유지해야 한다면, MS가 제공하는 무료 1년 ESU를 활성화해 보안 공백을 줄여야 한다. 그러나 이는 임시방편일 뿐이므로 장기적으로는 새 장비 구매가 안전하다.
윈도우10 지원 종료일은 불과 두 달여 앞으로 다가왔다. 남은 시간은 길지 않다. 공공기관과 기업은 지금 당장 전수 조사와 전환 계획을 실행에 옮겨야 하며, 개인 사용자도 업그레이드 여부를 확인하고 준비해야 한다.
■구형 윈도우 방치가 부른 글로벌 보안 참사들
구형 운영체제를 오래 사용하다 보안 패치를 제때 적용하지 못한 탓에 전 세계적으로 대규모 사이버 피해가 발생한 사례가 반복돼 왔다. 특히 윈도우 계열 OS의 지원 종료 이후 취약점을 방치한 경우, 공격자들의 주요 침투 경로로 악용되며 심각한 피해로 이어졌다.
첫 번째 사례는 2017년 5월 영국 보건의료 시스템(NHS)을 마비시킨 워너크라이(WannaCry) 사태다. 지원 종료된 윈도우 XP와 패치가 지연된 윈도우7 단말이 대거 감염되면서 병원 예약이 1만9천 건 이상 취소됐고, 응급실과 수술실까지 중단되는 국가적 의료 대란으로 번졌다. 피해액은 약 9200만 파운드에 달한 것으로 추산됐다.
같은 해 6월에는 글로벌 해운 물류기업 머스크(Maersk)가 ‘낫페트야(NotPetya)’ 공격에 휘말리며 물류망이 붕괴됐다. 패치가 적용되지 않은 윈도우 시스템에서 공격이 급속도로 확산되었고, 전 세계 항만 운영이 마비됐다. 머스크는 약 4만5천 대의 PC와 4천 대의 서버를 전면 교체해야 했으며, 피해액은 수십억 달러로 추정됐다.
제조업 현장도 예외는 아니었다. 2017년 일본 혼다 사야마 공장은 워너크라이 변종 공격으로 하루 동안 생산라인을 멈추는 초유의 사태를 겪었다. 구형 운영체제를 사용하는 일부 생산설비가 감염되면서 하루 약 1천 대의 차량 생산이 차질을 빚었고, 공급망 전반에 지연이 발생했다.
마지막으로 금융권에서는 2014~2016년 전 세계 ATM 단말기가 구형 윈도우 XP 기반으로 운용되며 ‘잭팟팅(Jackpotting)’ 공격의 주요 표적이 됐다. 유럽과 아시아에서 발견된 멀웨어는 은행 직원이 없는 심야 시간대를 노려 현금을 대량으로 인출했으며, 특히 2016년 태국과 대만에서 발생한 사건은 한 번의 공격으로 수십 대 ATM이 동시다발적으로 털리며 은행 시스템 전체가 마비되는 충격을 안겼다.
이처럼 지원 종료된 윈도우 OS와 미적용 패치 환경은 의료, 물류, 제조, 금융 등 국가 핵심 서비스 전반에서 대형 사고를 불러왔다. 전문가들은 “윈도우10의 지원 종료가 2025년 10월로 다가온 지금, 같은 비극을 반복하지 않으려면 신속한 업그레이드와 보안 대책 마련이 필수”라고 강조한다.
[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
