차민영기자
전 세계적인 항공·통신·금융 마비 사태 등 IT 대란으로 마이크로소프트(MS) 윈도 운영체제(OS)의 태생적 보안 취약성이 다시 부각됐다고 미국 일간 월스트리트저널(WSJ)이 21일(현지시간) 보도했다.
지난 19일 발생한 IT 대란은 사이버 보안 업체 크라우드스트라이크가 배포한 보안 프로그램이 MS 윈도와 충돌하면서 시작됐다.
이로 인해 윈도를 사용하는 기기 850만대에 '죽음의 블루스크린(Blue Screen Of Death·컴퓨터 화면이 갑자기 파랗게 변하는 현상)'이 나타났고, 그 여파로 전 세계 사회·경제 전반이 충격을 받았다.
WSJ는 이번 IT 대란은 잘 알려지지 않은 소프트웨어 회사가 수백만 대의 윈도 컴퓨터를 먹통으로 만들 수도 있는 MS 윈도의 '개방형 설계' 문제를 뚜렷하게 드러내고 있다고 전했다.
MS가 수십 년 전에 개방형 설계를 채택한 덕분에 개발자는 윈도 OS의 커널(Kernel·컴퓨터 운영 체제의 핵심이 되는 구성요소)에 접근해 OS와 매우 깊은 수준에서 상호작용하는 강력한 소프트웨어를 개발할 수 있었지만, 이번처럼 일이 잘못될 경우 치명적인 결과를 초래할 수 있다는 것이다.
또 WSJ는 MS 소프트웨어를 실행하는 컴퓨터와 서버는 러시아와 중국이 지원하는 집단이나 범죄단체의 반복적인 해킹 시도에 시달렸기 때문에 보안 문제는 오랫동안 MS의 아킬레스건이었다고 전했다.
이 문제는 IT 대란을 일으킨 크라우드스트라이크가 올해 1월 직접 제기한 것이기도 하다. 이 회사의 조지 커츠 최고경영자(CEO)는 MS가 "러시아 해킹 그룹이 회사 내부 계정을 해킹하고, 고위 임원 등의 이메일 계정에도 접근했다"고 밝히자 방송 인터뷰를 통해 "이는 MS의 시스템적인 실패로, 고객뿐만 아니라 미국 정부도 위험에 처했다"고 주장했다.
두 달 후 미국 국토안보부 사이버 안전 검토위원회는 보고서를 통해 "MS의 보안 문화가 부적절하며, 특히 기술 생태계에서 MS의 중심성을 감안할 때 전면적 점검이 필요하다"고 밝혔다.
MS의 보안 관행을 비판하는 전문가들은 MS가 클라우드 컴퓨팅 시스템으로 전환하면서 해킹에 취약했던 윈도와 이메일, 기업 서비스 등 기존 제품의 개선에 소홀했다고 지적했다. 이 때문에 크라우드스트라이크가 제공하는 것과 같은 보안 소프트웨어의 필요성이 더욱 커졌다는 것이다.
MS에서 보안 전문가로 일했었던 더스틴 차일즈는 "보안을 우선시하는 문화가 있다면 이런 제품(타사의 보안 프로그램)이 존재하는 것이 더 안전했거나 아예 필요하지 않았을 것"이라고 지적했다.
MS의 대변인은 회사가 유럽연합(EU)과 합의한 바가 있어 OS를 애플처럼 운영할 수는 없다고 반박했다. MS는 2009년 보안 소프트웨어 업체에 자사와 동일한 수준의 윈도 접근 권한을 부여하기로 EU와 합의했기 때문에 개방성을 유지할 수밖에 없다는 설명이다.