지난주 전국을 강타한 1·25 인터넷 대란이 DBMS 소프트웨어인 SQL서버의 보안상 약점 때문에 발생한 것이란 사실이 알려지면서 SQL서버의 개발사인 마이크로소프트(이하 MS)에 대한 책임론이 고개를 들고 있다.
이번 사태의 전적인 책임을 MS에 돌리는 것은 물론 무리가 있지만 자사 제품에 발생 가능한 문제점을 사전에 충분히 대비하지 못한 것은 명백히 MS의 잘못이라는 지적이 지배적이다.
우선 보안 전문가 및 시스템 운영자들은 이번 사태가 단순히 보안 불감증에 기인한 우연한 사고가 아니라 SQL서버의 개발사인 MS가 보안에 취약한 제품을 판매했을 때부터 예견된 일이라는 분석을 내놓고 있다.
보안 전문업체의 한 관계자는 “DBMS를 포함한 모든 기업용 솔루션은 물론 운용체계와 같은 소프트웨어는 기본적으로 악의적인 해킹과 바이러스로부터 완벽하게 보호받을 수 없다는 점에서 SQL 바이러스 침투는 있을 수 있는 일”이라고 전제하면서도 “MS는 전문가들이 보안의 취약성을 끊임없이 제기했음에도 보안상 불완전한 제품을 내놓았고 사후에 문제가 있음을 알고 나서도 너무나 미온적으로 대응했다는 점에서 이번 사태의 책임을 벗어 나지 못할 것”이라고 밝혔다.
시스템 운영자들은 이번 사태가 SQL서버의 취약점을 해결하는 패치를 설치하지 않은 현장 실무자들의 보안 불감증이 주요 원인이었다는 여론은 현실과 크게 다르다고 지적하고 있다. 서버 관리자들이 MS가 뒤늦게 SQL서버의 취약점을 개선할 수 있는 패치를 발표했지만 이를 설치하지 않은 것은 패치 프로그램을 설치할 경우 기존에 설치 운용하고 있는 애플리케이션들과 충돌하는 오류가 생기기 때문이라고 밝히고 있다.
오세현 인젠 보안컨설팅본부장은 “실제로 보안컨설팅을 진행하면서 SQL서버에 패치 프로그램을 설치할 것을 권고하면 실무자들이 꺼려한다”며 “실무자들은 패치 프로그램에 대한 인식이 부족한 게 아니라 실질적인 업무에 지장을 주기 때문”이라고 설명했다.
MS의 보안에 대한 둔감증과 안이한 태도도 비판을 받고 있다. 특히 이번에 문제가 된 SQL2000서버의 경우 지난 3년간 MS 제품군 중 가장 판매 성장률이 높았던 핵심 기업용 솔루션이라는 점에 주목할 필요가 있다. MS측은 패치파일 설치에 대해 사전에 고객에게 공지했다는 주장을 되풀이하고 있으나 e메일 발송 등 소극적인 대응에 머물렀던 게 사실이다.
최근 MS는 해마다 SQL서버가 30% 이상의 성장률을 기록하면서 단시일내에 한국에서만 5만2000여 카피가 판매되는 등 괄목할 만한 성장을 거두자 이에 대한 마케팅에 상당한 비용을 투자했으나 상대적으로 고객 관리에는 소홀했다는 비난을 면치 못하고 있다.
더욱이 SQL서버 사용자의 대부분이 보안 담당자조차 제대로 없는 중소기업이라는 점을 고려할 때 예고된 재앙에 대한 MS측의 보다 적극적인 홍보와 교육이 아쉽다는 것이 일관된 견해다.
무엇보다 고객들은 MS가 항상 보안문제가 발생한 경우 패치파일 설치를 권고하는 짤막한 본사의 방침 등으로 공식 입장을 대신하는 방관자적 태도에 대해 개선의 여지가 있어야한다는 목소리가 높아지고 있다.
다만 모든 소프트웨어가 해커나 바이러스로부터 자유로울 수 없다는 점에서 이번 사태를 마녀 사냥식으로 몰아가선 안된다는 지적도 설득력을 얻고 있다. 어떤 의미에서 MS가 이번 사태로 인한 가장 큰 피해자라는 점에서 모든 사태의 책임을 떠넘기는 대신에 IT업계가 공동으로 해커와 바이러스에 대한 장기적인 대책을 마련하는 계기로 삼아야 한다는 지적이다.
<이창희기자 changhlees@etnews.co.kr>