수명이 끝났기 때문에 이런 소프트웨어는 해커들에게 인기 있는 공격 대상이 된다. 마이크로소프트가 지난 2014년 윈도우 XP에 대한 기술 지원을 종료하면서 경고한 것도 같은 맥락이다. 취약점이 있어도 더는 수정되지 않기 때문에 사용을 중단해야 한다는 것,
시큐니아 리서치의 조사는 2016년 4분기 12개 국가를 대상으로 한 것으로, 미국의 경우 7.5%의 개인 사용자가 패치되지 않은 윈도우 운영체제를 사용하는 것으로 나타났다. 2015년 4분기의 9.9%보다는 줄었지만, 2016년 3분기의 6.1%보다는 증가했다.
시큐니아는 PSI(Personal Software Inspector)란 백그라운드 애플리케이션으로 데이터를 모았는데, 운영체제는 물론 PC에 설치된 모든 소프트웨어를 점검하고 설치된 버전과 최신 버전을 비교해 사용자에게 경고 메시지를 보내준다.
조사에 따르면, 미국의 경우 PC마다 평균 26곳의 서로 다른 업체가 만든 75개의 프로그램이 설치되어 있으며, 이 중 42%인 32개가 마이크로소프트의 것이다. 7.5%의 사용자가 패치되지 않은 윈도우 버전을 사용하고 있는데, 이는 자동 업데이트 기능을 껐기 때문으로 추정된다. 또 14%는 패치되지 않은 마이크로소프트 프로그램을 사용한다.
시큐니아는 이처럼 패치되지 않은 프로그램의 비율이 높은 데는 복잡성도 일부 기여한 것으로 분석했다. 전형적인 PC의 경우 사용자가 75개의 프로그램을 패치하기 위해서는 26개의 서로 다른 업데이트 메커니즘을 알아야만 하기 때문이다.
패치되지 않은 소프트웨어 상위 10위 목록을 살펴보는 것도 흥미롭다. 1위는 아이튠즈 12.x로 무려 55%가 패치하지 않고 사용하는 것으로 나타났다. 더 놀라운 것은 아이튠즈는 새 버전이 나오면, 애플 업데이트가 팝업을 띄워 소프트웨어 업데이트를 알려준다.
2위는 오라클 자바 JRE 1.8x/8.x로 패치 비율이 50%에 불과했다. 마찬가지로 자바 역시 새 버전이 나오면 팝업으로 알려준다.
어도비는 애크로뱃 리더와 쇼크웨이브를 포함해 10위 내에 3가지 프로그램을 올렸다. 구글 피카사 역시 48%를 기록했다. 보안 업체 한 곳도 이름을 올렸는데, 맬웨어바이츠(Malwarebytes)의 안티맬웨어 2.x가 패치되지 않은 비율 19%를 기록했다.
수명이 끝난 제품이 목록에 올라와 있는 것은 어쩌면 당연한 일이다. 크롬과 파이어폭스의 구버전은 물론, 애플 퀵타임, 오라클 자바 JRE, 마이크로소프트의 XML 코어 서비스 4.x, SQL 서버 2005 컴팩트 에디션 등이다. 마이크로소프트 프로그램은 보통 다른 마이크로소프트 애플리케이션과 함께 설치되었다가 새 버전이 나오면서 버려지는 경우가 많다. 마이크로소프트의 대응이 필요한 부분으로, 필자의 경우만 해도 PC에 12개의 비주얼 C++ 재배포 라이브러리가 설치되어 있다. editor@itworld.co.kr