기술 지원
문서
로그인
문의하기
Lifecycle이 다한 OS 운영의 위험과 이를 관리하는 방법
2023년 3월 9일 TuxCare 홍보팀
기술의 변화를 피하는 것은 불가능합니다. 정의에 따르면 기술은 항상 앞으로 나아갑니다. 이는 일반적으로 좋은 소식이지만, 변화를 따라잡는 것은 또 다른 이야기가 될 수 있습니다.
끊임없는 변화는 기술의 Lifecycle이 제한되어 있다는 것을 의미합니다. 예, Lifecycle이 다한 제품을 계속 사용할 수는 있지만 그렇게 하면 결과가 초래됩니다. 단종(EOL) 소프트웨어의 경우 불안정성, 높은 유지보수 비용, 막대한 보안 위험 등이 그 결과입니다.
이 도움말에서는 Lifecycle이 다한 소프트웨어가 무엇인지, 조직에서 Lifecycle이 다한 소프트웨어에 의존해서는 안 되는 이유와 타사 지원이 어떻게 도움이 될 수 있는지 설명합니다.
소프트웨어에도 Lifecycle이 있습니다
소프트웨어 공급업체는 지속적으로 새 버전의 소프트웨어를 출시합니다. 새로운 기능, 버그 수정 등이 모두 새 릴리스에 포함됩니다. 동시에 공급업체는 필요한 경우 보안 업데이트를 푸시하는 등 이전 릴리스에 대한 지원을 계속합니다.
이는 생산성 소프트웨어에서 운영 체제에 이르기까지 모든 분야에서 발생합니다.
하지만 공급업체가 이전 버전의 소프트웨어를 무한정 지원할 수는 없습니다. 30년이나 된 OS를 지원한다고 상상해 보세요. 가능하긴 하지만 리소스를 엄청나게 낭비하는 일이며 다소 무의미한 일이 될 것입니다.
운영 체제 지원에 소요되는 리소스를 제한하기 위해 공급업체는 운영 체제의 Lifecycle 종료 날짜를 설정하며, 그 이후에는 보안 취약점 수정을 포함한 공식 지원이 중단됩니다. 운영 체제를 포함한 모든 소프트웨어는 언젠가는 Lifecycle이 다하는 시점에 도달하게 됩니다.
이는 여전히 이전 릴리스에 의존하고 있는 모든 사용자에게 큰 위험입니다. 예, 소프트웨어의 Lifecycle이 다하면 단순히 작동이 중지될 수 있지만 이는 위험의 일부에 불과합니다. Lifecycle이 다한 소프트웨어의 가장 큰 문제는 보안에 있습니다. 공급업체가 더 이상 보안 취약점에 대한 패치를 릴리스하지 않으면 사용자는 시스템을 패치할 수 없고 취약한 소프트웨어에 의존하게 됩니다.
안타깝게도 이러한 위험에도 불구하고 다른 OS로 업그레이드하거나 변경하는 대안이 너무 비싸거나 불편하다는 이유로 더 이상 지원되지 않는 운영 체제에 계속 의존하는 경우가 많습니다.
주요 사례: 워너크라이와 Lifecycle이 다한 윈도우
Lifecycle이 다한 소프트웨어에 의존하는 것은 생각보다 흔한 일이며, 심지어 미션 크리티컬한 시나리오에서도 발생할 수 있습니다. 하지만 Lifecycle이 다한 운영 체제는 사이버 범죄자에게 기회를 제공합니다. 더 이상 지원되지 않는 OS에는 알려진 취약점이 있을 수 있으며, 지원이 종료되었으므로 패치를 찾기가 어렵습니다.
결국 위협 행위자는 알려진 취약점을 이용해 기업을 공격합니다. Lifecycle이 다한 운영 체제를 사용하는 기업은 서비스 중단, 데이터 손실 또는 더 심각한 상황으로 이어지는 멀웨어 공격의 위험에 노출되어 있습니다.
바로 2017년 5월에 일어난 일입니다. 3년 전인 2014년에 Lifecycle이 다한 운영 체제인 Windows XP를 여전히 사용하고 있는 수십만 개의 기업을 대상으로 워너크라이 익스플로잇이 사용된 대규모 사이버 공격이 발생했습니다.
여전히 Windows XP를 사용하던 기업들은 Microsoft의 보안 공지를 받지 못했고, 몇 달 전의 Windows 취약점인 이터널블루를 수정하는 패치를 설치하지 않았습니다. (이 취약점은 매우 위험했기 때문에 Microsoft는 당시 Windows XP의 Lifecycle이 다했음에도 불구하고 Windows XP용 긴급 패치를 릴리스했습니다).
이는 Lifecycle이 다한 운영 체제의 취약점이 성공적으로 악용된 한 가지 예일 뿐입니다.
그렇다면 Lifecycle이 다한 OS의 위험은 무엇일까요?
지원 종료 OS를 사용해야 하는 '타당한' 이유가 있으며, 이에 대해서는 뒷부분에서 자세히 설명하겠습니다. 그러나 지원되지 않는 OS를 계속 사용해야 하는 타당한 이유가 있는 경우에도 위험은 상당하며, 거의 항상 EOL 운영 체제 사용의 이점이나 다른 근거보다 더 큽니다.
규정 준수 및 법적 위험
사이버 보안은 매우 어려운 문제이기 때문에 수많은 법률 및 규정 준수 제도는 기업이 최소한의 데이터 보안 표준을 충족하여 고객과 클라이언트를 안전하게 보호할 수 있도록 지원합니다.
이러한 요구 사항에는 일반적으로 소프트웨어에 대한 공식 공급업체 지원에 대한 진술과 Lifecycle이 다한 소프트웨어에 대한 의존이 규정을 준수하지 않는 것으로 간주한다는 진술이 포함됩니다. 이를 준수하지 않을 경우 엄격한 재정적 처벌을 받을 수 있습니다.
EOL 운영 체제를 배포하는 기업은 벌금부터 해당 업계에서의 전면적인 영업 금지에 이르기까지 모든 위험을 감수해야 합니다. 예를 들어, 공급업체의 지원 없이 Lifecycle이 다한 소프트웨어를 사용하는 등 부주의로 인해 공격이 성공했다는 것이 입증될 경우, 기업은 침해로 인해 영향을 받은 사람들이 구제를 요청할 수 있기 때문에 법적 절차의 끝자락에 서게 될 수도 있습니다.
오래되고 호환되지 않는 솔루션
처음부터 기술은 빠르게 변화한다고 말씀드렸습니다. 최신 기술을 활용하는 기업은 여러 가지 면에서 이점을 누릴 수 있습니다. 예를 들어, 고객에게는 더 나은 제품과 기능을 제공하고 직원에게는 더 나은 경험을 제공할 수 있습니다.
EOL 소프트웨어는 정의상 최신 기능과 이점이 누락되었을 가능성이 높은 오래된 소프트웨어입니다. 오래된 소프트웨어는 기술 솔루션을 느리게 만드는 것 외에도 호환성 부족이라는 또 다른 문제를 야기합니다. Lifecycle이 다한 OS에 의존하는 기업은 호환성 문제에 직면할 위험이 있으며, 시간이 지날수록 그 영향은 더욱 커질 것입니다.
신뢰성 문제
호환되지 않는 소프트웨어의 영향 중 하나는 안정성 문제입니다. Lifecycle이 다한 제품을 둘러싼 기술은 언젠가는 업그레이드될 것입니다. 그러면 Lifecycle이 다한 OS는 다른 솔루션과 호환되지 않게 됩니다.
공급업체가 특정 기능에 대한 기대치를 염두에 두고 코딩하기 때문에 EOL 소프트웨어에 필요한 기능이 부족할 경우 신뢰성 문제가 발생할 수 있습니다. 즉, 공급업체가 소프트웨어 구성 요소를 간단히 업데이트해도 EOL 운영 체제로 인해 솔루션이 중단될 수 있습니다.
증가하는 비용
또한 Lifecycle이 다한 운영 체제를 포함한 Lifecycle이 다한 소프트웨어는 잘못된 경제성을 나타낼 수 있다는 점도 주목할 필요가 있습니다. 업그레이드를 늦춤으로써 비용을 절감할 수는 있지만, 공급업체의 지원이 더 이상 제공되지 않는 문제를 해결하기 위해 맞춤형 솔루션을 찾아야 하므로 EOL 소프트웨어에 대한 유지 보수 부담은 시간이 지날수록 커질 것입니다.
마찬가지로 EOL 운영 체제는 안정성 문제로 이어져 비용을 증가시킬 수 있습니다. 더 큰 문제는 위에서 언급한 것처럼 오래된 소프트웨어는 규정 준수 및 법적 문제로 이어져 엄청난 벌금을 부과할 수 있다는 점입니다.
보안 위험
마지막으로, Lifecycle이 다한 소프트웨어를 사용할 때 가장 큰 문제인 더 이상 지원되지 않는 소프트웨어 사용으로 인한 심각한 보안 위험에 대해 설명합니다. 단종된 운영 체제는 원래 제조업체로부터 알려진 취약점으로부터 사용자를 보호할 수 있는 보안 수정 및 업데이트를 제공받지 못합니다.
대신 이러한 보안 위험은 해커를 포함한 대중에게 알려지지만, 해커가 이를 악용하기로 결정했을 때 위험으로부터 사용자를 보호할 수 있는 공급업체가 제공하는 패치는 없습니다. 공식적인 지원 부족으로 인해 패치되지 않은 중요한 버그 하나만 있어도 사이버 보안 침해로 인해 막대한 비용이 발생할 수 있습니다.
기업이 Lifecycle이 다한 소프트웨어에 의존하게 되는 이유
기업이 지원되지 않는 운영 체제에 의존할 때 발생할 수 있는 문제는 분명 심각하지만, 기업 환경에서는 여전히 EOL 소프트웨어가 일반적입니다. 지원되지 않는 소프트웨어에 의존하는 데에는 합리적인 이유가 있기 때문에 어느 정도 이해할 수 있습니다.
워크로드별 요구 사항
공급업체가 업데이트를 진행하면서 EOL 운영 체제의 특정 기능, 성능 또는 특성이 삭제될 수 있습니다. 때때로 기업은 솔루션에 이러한 기능에 의존하고 있으며, 최신 OS에 이러한 기능이 없다는 사실은 솔루션이 중단되거나 기능을 유지하기 위해 많은 비용이 드는 수정 작업이 필요하다는 것을 의미할 수 있습니다.
이러한 상황이 발생하면 기업은 새 운영 체제에서 지속적인 기능을 보장하는 해결 방법을 설계할 수 없어 지원되는 OS로 마이그레이션할 수 없는 어려운 상황에 처할 수 있습니다.
리소스가 제한되어 있습니다.
기술 솔루션은 가능한 한 적은 비용으로 많은 일을 처리하는 문제인 경우가 많습니다. 그 결과 기업들은 경쟁 우선순위를 맞추기 위해 자금을 다른 곳으로 옮기려고 합니다. 종종 소프트웨어 업데이트는 원하는 새로운 기능이나 일상적인 운영 비용에 비해 우선 순위가 낮은 것으로 간주됩니다.
사실 리소스 경쟁에서 Lifecycle이 다했더라도 완벽하게 작동하는 운영 체제를 업그레이드하는 것보다 더 중요한 우선순위가 있을 수 있습니다. 또한 회사에 자신 있게 업그레이드를 수행할 수 있는 인력이 충분한지 여부도 중요한 문제입니다.
마이그레이션 과제
리소스 제한과 밀접하게 연관된 문제는 마이그레이션 실행을 둘러싼 잠재적인 문제입니다. 특히 배포 규모가 매우 큰 경우에는 마이그레이션이 너무 복잡하고 어려워서 OS를 업그레이드하는 현실적인 방법이 없는 것처럼 보일 수 있으며, 단순히 기존 OS를 그대로 유지하는 것이 가장 합리적인 옵션으로 보일 수 있습니다.
마이그레이션에 여러 부서와 독립적인 조직에 걸쳐 있는 복잡하고 상호 작용하는 시스템이 포함되는 경우에도 이러한 문제가 발생할 수 있습니다. 실제로 드물지만 마이그레이션 위험이 지원되지 않는 OS와 관련된 보안 위험보다 더 큰 경우도 있습니다.
책임감 부족
마지막으로, 일부 기업의 경우 책임 소재가 문제입니다. 즉, 소프트웨어의 Lifecycle이 다한 상태를 관리할 최종적인 책임이 있는 주체가 없다는 것입니다. 이는 리더십 결여 또는 부실한 조직 구조 때문일 수 있습니다.
이는 현실적인 문제일 수도 있습니다. 예를 들어, 한 당사자가 기술 솔루션에 대한 권한이 없는 경우가 발생할 수 있습니다. 이는 특히 기술 역량을 공유하는 경우에 발생합니다. 이러한 상황에서는 마이그레이션의 위험이나 책임을 기꺼이 감수할 사람이 없어 결과적으로 마이그레이션이 수행되지 않을 수 있습니다.
Centos 6: EOL 운영 체제 유지 사례
2020년 말, Red Hat은 더 이상 Red Hat 엔터프라이즈 Linux인 CentOS의 포크를 Stable 릴리스로 생산하지 않겠다고 발표했습니다. Red Hat은 사실상 전체 CentOS 제품의 Stable 릴리스 Lifecycle을 앞당긴 것입니다. 즉, CentOS 6을 사용하는 기업에게는 현실적인 업그레이드 경로가 없었습니다.
이 회사들이 선택할 수 있는 유일한 옵션은 다른 OS로 전환하거나 Red Hat Enterprise Linux에 대한 비용을 지불하는 것이었습니다. CentOS 6에 대한 이러한 상황은 일부 기업이 지원되지 않는 운영 체제를 계속 사용하기 위해 사용할 수 있는 전형적인 이유입니다.
Lifecycle이 다한 운영 체제에 대한 불합리한 생각은 아니지만, CentOS 6에서 업그레이드하는 과정이 어렵다는 사실이 CentOS 6에 의존하는 것이 큰 보안 위험을 초래한다는 사실보다 더 중요해서는 안 됩니다.
무한한 익스플로잇 기회
EOL 운영 체제 사용을 고려하는 데에는 타당한 이유가 있지만, 새롭고 새로운 보안 침해가 계속해서 빠르게 발생하고 있으며 패치되지 않은 Lifecycle 종료 소프트웨어는 문을 열어둔 채로 있다는 문제가 남아 있습니다.
암호화폐 채굴자의 새로운 위협에 대해 알아보세요. 해커들은 빠른 속도로 리소스를 많이 사용하는 암호화폐 채굴 소프트웨어를 불법적인 방법을 통해 배포하기 시작했습니다. 윈도우와 Linux의 취약점을 이용해 컴퓨팅 리소스를 소유하고 운영하는 회사를 희생시키면서 해커의 수익을 창출하는 소프트웨어를 설치합니다.
이는 특히 교활한 위협이며, 오래되고 지원되지 않는 소프트웨어에 의존하는 것이 어떻게 예기치 않은 결과를 초래할 수 있는지 보여줍니다. 이 경우 패치가 적용되지 않은 EOL 운영 체제는 기업의 리소스가 암호화폐 채굴에 전용되어 더 많은 비용과 안정성 및 가용성 문제로 이어질 수 있습니다.
대신 확장 지원 고려하기
Lifecycle이 다한 일부 운영 체제에 대한 해결 방법이 있습니다. 첫째, 일부 공급업체는 더 이상 일반적인 지원을 받지 못하는 운영 체제에 대해 지속적인 지원을 받을 수 있는 기회를 제공하기 위해 다소 큰 금액을 지불하고 연장 지원을 제공합니다. 이를 ELS(Lifecycle 연장 지원)라고 합니다. 공급업체가 제공하는 경우 연장 지원을 이용하는 모든 고객은 규정을 준수하고 보안을 유지하지만 대가를 지불해야 합니다.
타사에서 운영 체제에 대한 연장 지원을 제공하는 경우도 있습니다. 예를 들어, TuxCare에서는 Lifecycle이 종료된 CentOS, Oracle Linux 및 Ubuntu 버전을 포함하여 다양한 Linux 기반 서버 운영 체제에 대한 Lifecycle 연장 지원을 제공합니다.
TuxCare의 Lifecycle 연장 지원 에는 포괄적인 취약성 패치가 포함되어 있어 CentOS 6과 같은 지원되는 운영 체제에서 새로운 취약성이 발견되면 즉시 TuxCare의 패치를 적용할 수 있습니다.
또한 TuxCare 지원은 동급 벤더 지원보다 훨씬 저렴한 가격으로 제공됩니다. 예를 들어, CentOS 6 ELS는 Red Hat과 동등한 가격의 일부에 불과합니다.
어느 쪽이든 연장 지원을 구매하는 기업은 의존하는 OS를 업그레이드하거나 마이그레이션할 수 있는 충분한 시간을 확보할 수 있습니다. ELS를 통해 기업은 마이그레이션에 필요한 리소스를 확보하고, 마이그레이션을 신중하게 계획하거나 대체 솔루션을 찾을 수 있습니다. 가장 중요한 것은 ELS가 Lifecycle이 다한 OS를 사용하는 동안 보안 위험에 대한 보장을 제공한다는 점입니다.
