2019년 6월 30일 현재, 100만 5,000대의 NHS 컴퓨터가 여전히 윈도우를 이용하고 있었다(NHS의 약 76%). 이는 영국 정신 건강 및 자살 예방 담당관인 재키 도일-프라이스가 의회 답변에서 밝힌 내용이다.
내년 1월 14일, 마이크로소프트는 신종 악성코드 공격으로부터 컴퓨터를 보호하는 윈도우 7의 보안 패치, 업데이트 또는 기술 지원을 종료할 예정이다. 이제 해커들은 종료 시한이 지나는 것을 기다릴 수 있다.
2017년 워너크라이 사이버 공격에서 드러난 것처럼, 위험은 NHS에게 특히 심각하다. 이 랜섬웨어는 236곳의 NHS 트러스트 가운데 최소 80곳에 영향을 주었고, 약 2만 건의 병원 예약 및 수술이 취소되었으며, 5곳의 사고 및 응급 진료부(A&E)가 환자를 다른 병원으로 이관해야 했다.
사이버보안 책임을 맡은 그림자 내각 장관(Shadow Cabinet Office Minister)인 조 플랫은 NHS가 윈도우 7을 계속해서 널리 사용하는 것이 ‘지극히 염려스럽다’고 말했다.
플랫은 “2년 전의 워너크라이 사이버 공격은 시한이 넘은 소프트웨어를 이용할 때의 위험을 확실히 보여주었다”라면서 “정부가 신속히 행동하고, 과거의 실수로부터 배우지 않는다면, 워너크라이는 반복될 위험이 있다”라고 경고했다.
2018년 4월 보건사회복지부는 NHS가 윈도우 10을 무료로 이용할 수 있는 계약을 마이크로소프트와 체결했다고 발표했지만, 그런데도 여러 NHS 조직이 마이그레이션에서 곤란을 겪었다.
NHS는 빠듯한 예산과 인력 제약으로 대기업보다 운영체제를 업그레이드하는 것이 더 어려운 것이 보통이다. 일부의 경우, 운영체제가 NHS 컴퓨터와 서버에서 실행할 수 없을 정도로 지나치게 향상됐을 수 있다.
이들만 곤란한 것은 아니다. 넷 애플리케이션(Net Application)의 연구에 따르면, 윈도우 10은 윈도우 7 이후 6년 만인 2015년 출시되었지만 2017년 12월까지 이전 운영체제의 세계 시장 점유율을 넘어서지 못했다.
카스퍼스키의 엔터프라이즈 솔루션 책임자인 알렉세이 판크라토프는 한 성명에서 “지연 이유는 설치된 소프트웨어에 따라 다양하고, 이는 최신 OS 버전에서 실행되지 못할 수 있다. 결국 경제적 이유와 단순히 타성 때문이다”라고 말했다.
이어서 그는 “그렇다고 해도, 패치되지 않은 구형 OS는 사이버보안 위험이고, 사건 비용은 업그레이드 비용보다 상당히 높을 수 있다. 그래서 고객에게 지원 버전으로 이전하고 이전하는 동안 추가적 보안 툴을 배치하도록 추천한 것이다”라고 덧붙였다.
난관의 극복
워너크라이는 NHS 이스트 앤드 노스 허트포드셔 CCG(NHS East and North Hertfordshire CCG)의 포괄적 마이그레이션 계획을 수립하게 된 계기가 됐다.
CCG의 최고 디지털 임원인 필 터노크는 “워너크라이에서 큰 문제 가운데 하나는 사람들이 여전히 윈도우 XP를 이용 중이었고, 구형 운영체제를 이용할 때 IT서비스로서 낡은 환경을 패치하는 것은 훨씬 더 어렵다”면서 “따라서 뒤처지지 않고, 최신 운영체제로 마이그레이션하는 것이 중요하다”라고 말했다.
그의 팀은 약 18개월 동안 마이그레이션을 계획하고 준비하였으며, 이는 CCG 산하의 트러스트들의 다양한 환경에 맞춰 다양한 버전으로 신형 윈도우 10 운영체제를 설계하는 것을 포함하였다.
올여름 마이그레이션이 시작됐고 현재까지도 진행 중이며 2020년 4월 완료될 예정이다.
터노크는 “올해 윈도우 10을 전개할 매우 명확한 프로그램을 준비하였다”라면서 “우리가 배후에서 했던 일이 스크립트로 작성되어 좀더 자동화된 방식으로 좀더 신속히 추진할 수 있다”라고 말했다.
터노크는 NHS 트러스트의 성숙도 수준이 트러스트마다 차이가 있음을 알았다. 터노크가 관할하는 CCG에는 여러 곳에 흩어져 있는 약 9,500개의 최종 이용자 기기가 있었다. 급성 트러스트는 네트워크가 소규모인 경향이 있지만, 애플리케이션과 프로세스를 과도하게 사용한다.
이들 구형 애플리케이션을 마이그레이션하는 일은 값비싸고 복잡한 과정일 수 있다. 이들이 비즈니스에 필수적이고, 새 환경에서 즉시 작용해야 하는 경우라면 특히 그렇다. 이는 모두 마이그레이션 계획에서 고려해야 하는 문제다.
터노크는 “구형 애플리케이션이 많았고, 우리는 이를 고려해야 한다”면서 “이들의 데스크톱 빌드는 우리보다 더 복잡한 경우가 빈번했다. 우리 것은 부분적이다. 우리는 윈도우 10 빌드 측면에서 매우 단순한 편이다. 애플리케이션이 더 적기 때문이다. 임상 애플리케이션이 있지만, 그렇게 다양하지 않다”라고 이야기했다.
이어서 “NHS에서 문제는 약 100여 종에 이르는 임상 애플리케이션이다. 윈도우 10 설치에서 이것들을 감안해야 한다. 그러자면 계획이 한층 복잡해진다”라고 말했다.
비용도 올라간다. 라이선스 대시보드의 라이선싱 및 소프트웨어 자산 관리 전문가인 션 로빈슨은 마이그레이션 비용을 낮추는 방법을 아래와 같이 조언했다.
1. 마이크로소프트 엔터프라이즈 계약 내 할인과 3년 할부 기능을 활용
2. 마이크로소프트 365에 가입(1회 가입으로 윈도우 10, 오피스 365, 여타 소프트웨어 제공)
3. 윈도우 10과 호환되지 않는 소프트웨어를 가동하는데 ‘앱 V’을 이용(특수 라이선스가 필요)
최종 준비
종료 시한까지 업그레이드가 불가능하다면, 국가 사이버보안센터는 ‘구형 플랫폼 보안 지침’에서 구형 플랫폼을 이용하는 데 따른 위험을 최소화하는 몇몇 조치를 소개한다. 예컨대, 신뢰할 수 없는 콘텐츠에 접근하지 않고, 취약한 기기로부터 기밀 데이터나 서비스에 접근하지 못하게 하는 방법이 있다.
또한 1월 14일 종료 시한이 생각처럼 그렇게 확고한 것도 아니다.
10월, 마이크로소프트의 상임 기술 프로그램 책임자인 푸어니마 프리야다시니는 한 블로그 게시물에서 일부 볼륨 라이선스 고객이 1월 14일 종료 시한 후에도 보안 업데이트를 계속해서 받을 수 있는 방법을 설명했다.
그는 블로그 게시물에서는 “윈도우 7 프로나 엔터프라이즈로부터 윈도우 10, 또는 윈도우 서버 2008 및 2008 R2 데이터센터, 엔터프라이즈, 스탠더드로부터 최신 윈도우 서버 버전으로 이동을 1월 14일 지원 종료 전에 완료할 수 없다면 위 에디션 및 버전을 실행하는 기기는 윈도우 및 윈도우 서버 업그레이드 프로젝트를 완료하는 동안 계속해서 보안 업데이트를 받을 수 있다”라고 밝혔다.
이는 마이그레이션을 늦추는 이유가 되어서는 안 된다. 추가 보안만으로도 노력과 비용이 들어갈 것이고, 또한 마이그레이션은 윈도우 10의 신기능과 미래 호환성을 갖춘 좀더 효율적인 IT 환경을 제공할 것이다. ciokr@idg.co.kr