[컴퓨터월드] ‘든든한 뿌리 위에 새잎이 난다’라는 말이 있다. 정보 기술의 엄청난 발전에도 불구하고, 보안 실무자들은 여전히 여러 문제에 시달리고 있다. 사이버 보안 방어 기술의 발전과 전반적인 보안 인식 향상이 보안 실무자들에게 많은 도움이 되지만, 조직은 여전히 공격 표면 곳곳에 흩어져 있는 노후자산(End-of-Life, EOL)을 관리하는 데 어려움을 겪고 있다. 노후자산 관리 문제는 해결하기 어려운 경우가 많으며, 특히 공격자의 관점에서 볼 때 EOL 자산은 쉽게 진입할 수 있는 발판을 제공한다.

EOL이 끝은 아니다

세계 최고의 시스템 보안 강화와 보안패치도 해당 기능을 사용하도록 업데이트되지 않은 시스템을 보호할 수는 없다. 시스템 공급업체는 일반적으로 한정된 기간에만 패치와 업데이트를 제공한다. 그 이후에는 최종 사용자가 스스로 새로운 버전으로 업그레이드하거나 EOL 상태의 노후자산을 공격 표면에 남겨두고 스스로의 힘으로 문제를 해결해야 한다.

EOL 시스템은 종종 여러 해 동안 방치돼 조직의 인프라, 즉 공격 표면의 일부로 남아 있게 된다. 2024년 4월에 발생한 D-Link NAS 문제에서 보여 준 것처럼, 새로운 취약점은 여전히 이러한 구식 시스템에서 발견되고 악용될 수 있다. 이러한 문제가 있음에도 불구하고, EOL 상태에서는 더 이상의 업데이트가 제공되지 않는다.
EOL 시스템은 놀랍게도 생각보다 많이 존재하고 있다. 우리 조사에 따르면, 다양한 환경에서 여전히 활동 중인 EOL 운영체제가 다수 발견됐다.

운영체제의 EOL

운영체제는 일반적으로 공급업체 지원 주기(수명 주기)라 불리는 여러 단계의 지원을 받는다. 수명 주기의 기간과 각 단계에서 제공되는 서비스는 공급업체마다 다르며, 일반적으로 시간이 지남에 따라 업데이트와 패치가 줄어든다.

여기에서 우리가 주목하는 두 가지 주요 단계는 다음과 같다:

ㆍ주요 지원(Mainstream Support): 이 단계에서 공급업체는 새로운 기능 추가, 버그 수정, 보안 취약점 완화를 위한 패치를 제공한다.
ㆍ확장 지원(Extended Support): 이 단계에서는 주요 버그 및 취약점에 대해서만 지원한다.

공급업체의 용어와 단계가 다소 다를 수 있지만, 일반적으로 대부분의 지원 수명 주기는 이 두 단계로 구분될 수 있다. 공급업체가 비필수적인 문제에 대한 업그레이드를 중단하면, 그 제품은 ‘EOL’ 상태로 간주된다. ‘EEOL(Extended-End-of-Life)’이라는 추가 기간이 있을 수 있으며, 이 기간 공급업체는 주요 문제에 대한 업데이트를 계속 제공한다. EOL 및 EEOL은 시스템 및 공급업체에 따라 동시에 또는 별도로 발생할 수 있다. 가장 중요한 점은 EOL 이후 시스템은 더 이상 주요 업데이트나 보안 패치를 받을 수 없으며, 따라서 유지하는 데 훨씬 더 큰 위험을 초래한다.
그러나 이러한 시스템들은 여전히 남아 있다. 시스템이 사용 가능하다면, 지원되는 대체 제품으로 교체하는 것이 오히려 더 많은 문제를 일으킬 수 있어서 EOL 시스템을 유지하는 경우도 있다. 경우에 따라 담당 직원이 교체할 수 없거나, 하지 않으려 할 수도 있다. 또 다른 경우는 해당 시스템이 새로운 시스템에서는 지원되지 않는 중요한 기능을 호스팅하고 있을 수 있다. 가동 시간 보장과 재정적인 고려도 중요한 역할을 할 수 있다.

우리의 샘플 데이터에서 확장 EOL(EEOL) 날짜를 넘긴 운영체제들을 살펴보면, 윈도(Windows)와 다양한 리눅스(Linux) 배포판이 균등하게 상위를 차지하고 있다.

우분투(Ubuntu) 18.04의 존재는 놀랍지 않다. 이 운영체제는 2023년 6월에 Extended EOL(EEOL)에 도달한 지 약 1년이 지났기 때문이다. 우분투(Ubuntu)는 기업과 개인 사용자 모두에게 자주 선택되는 리눅스(Linux) 배포판이며, 클라우드 환경에서도 매우 인기가 높다.

윈도 서버(Windows Server) 2012 R2 역시 예상할 수 있는 결과이다. 이 운영체제는 2023년 10월에야 EEOL에 도달했기 때문에 최근까지도 많이 사용됐다. EEOL이 지난 후 1년 동안 운영체제를 사용하는 것은 안타까운 일이지만, 서버 마이그레이션이 EOL 날짜를 넘겨 지속되는 경우는 쉽게 찾아볼 수 있다. 이는 주로 자원 조율, 시간 관리, 인프라 준비, 인력배치 등의 실질적인 운영상의 어려움 및 호환성 문제 때문이다.

다음으로 주목할 만한 그룹은 다양한 윈도(Windows) 10 릴리스들이다. 만약 이들을 합친다면, 차트 전체의 21.55%를 차지할 것이다. 이들 중 대부분은 윈도 10 21H2를 실행하고 있으며, 이 운영체제는 2024년 6월에야 EEOL에 도달했다. 윈도 10은 2015년 7월에 처음 출시됐으며, 이후 매년 두 번의 주요 업데이트가 제공됐다. 일반적으로, 상반기에 출시된 업데이트는 18개월 동안 지원되며, 하반기에 출시된 업데이트는 30개월 동안 지원된다.

이 규칙은 물론 반드시 지켜진 것은 아니었다. 예를 들어 LTSC(Long-Term Servicing Channel) 에디션의 경우 더 긴 수명을 가진다. 윈도(Windows) 10 22H2는 윈도(Windows) 10 최종 버전으로, 2025년 10월에 확장 EOL(EEOL)에 도달할 것으로 보인다.

Extended EOL을 넘긴 노출된 시스템

운영체제가 확장 수명 주기를 벗어난 경우에는 언제나 주의 깊게 살펴봐야 하지만, 특히 외부 공격 표면에 노출된 우려가 많다. EOL 데이터를 사용할 수 있는 모든 시스템 중에서, 외부 공격 표면에 노출된 시스템의 15.99%가 확장 EOL(EEOL) 날짜를 넘긴 상태였다. 이는 외부 공격자에게 노출된 모든 장치의 약 16%가 보안 업데이트를 받지 못하고 있을 가능성이 있음을 의미한다.

서버 운영체제의 경우 운영체제를 계열별로 그룹화했을 때, 가장 큰 비중을 차지하는 것은 윈도(Windows) 호스트이다. 이는 <그림 1>에서 보여준 것보다 더 높은 비율일 수 있다. 이는 윈도 서버(Windows Server) 2008 R2까지 거슬러 올라가는 다양한 윈도 서버(Windows Server) 버전의 긴 수명 때문이다.

사례 연구: 보아(Boa) 웹 서버

보아(Boa) 웹 서버는 사용자의 낮은 자원 요구 사항을 충족하고 임베디드 애플리케이션과 호환되도록 설계된 오픈소스 웹 서버이다. 보아(Boa) 웹 서버의 마지막 공식 릴리스인 버전 0.94.14rc21은 오래 전인 2005년 2월에 출시됐다.

보아(Boa)에는 과거 중요한 인프라에서 악용된 것으로 알려진 취약점들이 있다. 예를 들어, 2022년 11월에 마이크로소프트(Microsoft)는 인도 전력망을 대상으로 한 공격에서 IoT(사물인터넷) 장치에 있는 보아(Boa) 웹 서버가 일반적인 공격 벡터로 사용됐다고 발표했다.
관리자는 서버가 보아(Boa)를 실행 중인지 비교적 쉽게 확인할 수 있지만, 임베디드 장치에서 이를 감지하는 것은 훨씬 어렵다. 보아(Boa)는 보안 카메라와 IP 전화기와 같은 임베디드 장치에서 흔히 디스커버리되며, 이러한 장치들은 기업 네트워크에 광범위하게 배포돼 있다. 따라서 보아(Boa)를 실행 중인 서버뿐만 아니라 조직의 임베디드 장치에 대한 정확한 인벤토리를 관리하는 것이 이러한 네트워크를 보호하는 데 중요하다.

새롭지만 오래된 친구
곧 EEOL(Extended EOL)에 도달할 공통 운영체제들을 언급하지 않고 넘어갈 수는 없다. 만약 이러한 운영체제를 운영하는 기업이 있다면 가능한 빨리 교체 또는 완화 계획을 수립해야 할 것이다.

최종 의견
네트워크 내에 존재하는 EOL 시스템은 여전히 보안이 중요한 문제로 남아 있다. 보안 기술이 발전했음에도 불구하고, 이러한 구식 자산은 여전히 공격자들에게 쉬운 진입 지점을 제공해 조직 전체의 보안 태세를 위협한다. 이 문제를 해결하려면 자산 발견, 노출 완화, 그리고 모든 네트워크 구성 요소가 사용연한과 관계없이 안전하고 최신 상태임을 보장하기 위한 철저한 공격 표면 관리와 같은 사전 예방적 접근이 필요하다.

런제로(runZero) 고객은 ‘EEOL(Extended EOL) 운영체제 정책 쿼리’를 사용해 EEOL(Extended EOL)을 지난 자산을 찾을 수 있다. 자산 인벤토리에 OS EOL Ext. 열을 추가해 해당 값을 확인할 수 있다. 이는 자산 발견과 공격 표면 관리의 가시성을 확보해 더 나은 보안 환경을 구축하는 데 도움이 된다.