마이크로소프트는 28일 오전 11시30분, 서울 힐튼호텔에서 기자회견을 열었다.
MS측은 6개월마다 정기적으로 실시하고 있는 기자간담회 성격이라고 밝히긴 했지만 사실 최근 '인터넷 대란'의 주범으로 비난의 화살이 쏟아지는데 대한 MS의 공식 입장을 발표하기 위한 자리였다.
고 사장은 또 "MS가 사실을 은폐하거나 그저 넘길 생각은 없는 만큼 모든 것을 MS에 확인해 달라"며 "이제 사태를 진정시키는 것도 중요하다"고 당부했다.
이날 기자회견을 통해 마이크로소프트는 사실상 이번 인터넷 대란 사태가 수습됐다고 보고 이후 재발방지를 위해 노력하겠다는 뜻을 거듭 강조했다.
<고현진 사장 모두발언>
비록 지난해 7월이후 최근까지 여러차례 패치파일 설치에 대해 공지를 하고 경고를 하긴 했지만, 제품에 문제가 있었다는 점에서 송구스럽게 생각합니다.
이번 일로 정통부 관계자나 인터넷 서비스 업체(ISP), 기타 모든 분들께도 송구스럽게 생각합니다. 한편으로는 우리나라가 특히 인터넷 사용자가 많기 때문에 '대란'이라는 얘기까지 나왔지만 또 다른 한편에선 두서없는 발표가 많았던 것 같습니다.
이 와중에 잘못된 정보도 나오고 있습니다. 이제 차분히 사태를 진정시키는 것도 중요합니다.
MS는 결코 사실을 은폐한다거나 그저 넘겨서 해결될 일이 아니라는 것을 잘 압니다. MS에 일단 모든 것을 확인해 주길 바랍니다.
우리도 이번 사태의 피해자라고 할 수 있습니다. 물론 제품 완성도를 높이기 위해 전력해야 하지만 특정제품에 대한 악의적인 공격은 마이크로소프트뿐 아니라 다른 제품에도 해당될 수 있습니다.
이번 사태를 계기로 지속적인 보안 체계 구축과 법적인 처벌제도의 준비도 필요합니다. 다시 한번 이번 사태로 심려를 끼쳐 드려 죄송합니다.
<일문일답>
- 지금까지 MS가 파악한 현황은.
"지난해 7월부터 최근까지 4차례에 걸쳐 30만건의 이메일과 우편을 통해 사용자들에게 공지를 해왔다. SQL 2000 서버는 라이선스 고객과 단품 패키지를 구매한 고객이 있다. 이를 모두 합쳐 현재까지 총 2만2천카피가 판매된 것으로 집계됐다.
사용고객은 최대 7000개사 정도로 추산된다. 25일전까지 2만5천건의 보안 패치파일이 다운로드됐고 25, 26일 이틀간 마이크로소프트 홈페이지를 통해 약 14만건이 다운로드 됐다.
다른 보안업체의 홈페이지를 통해서는 약 20만건이 다운로드됐다고 들었다. 실제 사용자에 비해 다운로드 횟수가 많은 것은 불법복제 사용자와 혹시나 하는 우려때문에 다운로드한 사용자가 많은 것으로 생각된다.
이 정도면 정상적으로 사용하고 있는 고객이나 불법복제 사용자까지 다 커버된 것 아닌가 판단된다. MS는 사건 발생이후 그동안 대기업들은 일대일 방문해 확인했고, 중소기업들도 고객리스트를 통해 일일이 전화로 확인작업을 하고 있다. 현재 대부분 문제는 해결된 것으로 보고 있다."
- 애초 발표는 SQL 서버가 국내에 5만2천여개가 공급됐다고 했는데.
"SQL 서버 전 제품이 그렇다. 이번에 문제가 된 것은 SQL 서버 2000이며 이 버전만 보면 2만2천카피가 맞다. 혼란을 드려 죄송하다."
- PC도 안전하지 않다는 안철수연구소의 발표가 있었다. MS도 가능성에 대해 시인했는데.
"결론적으로 PC 사용자가 피해를 입을 경우는 거의 없다. PC에서 오피스를 사용하는 경우가 제일 우려될 텐데, 오피스 XP 프로페셔널 버전 사용자일 경우에 해당하며 또 이를 설치했다 해도 MSDE를 따로 설치해야 한 사용자에 한한다.
이런 경우는 보통 PC에서 '엑세스(PC용 데이터베이스)'를 사용하는 고객이 관리할 데이터가 많을 때 서버용 DB인 SQL 서버 대신 사용하는 것이 대부분이다.
사실 이러한 경우는 극히 드물며 일반 PC 사용자들에게는 해당되지 않고 개발자들 가운데 그렇게 사용하는 경우가 있다. 또 개발자라 하더라도 SQL 서버 자체가 150만원 정도여서 MSDE를 사용하기 보다 SQL 서버를 직접 사용할 것이다.
MSDE를 사용한다 하더라도 지난해10월 패치파일을 게시한 이후 하루 평균 30~40건씩 다운로드 됐다. 이번 사태가 난 이후 25,26일 이후 약 1천700건이 다운로드됐다.
아직 피해사례가 나온 것도 없고, 사실상 피해 가능성은 적다고 판단된다. 극히 적은 가능성이라도 자신있게 부인할 수 있는 상황이 아니지 않는가. 그래서 '위험은 있다. 없지 않다, 하지만 극소수'라고 말하는 것이다."
- 이번 사태와 관련해 MS의 독점이 낳은 폐해라는 지적이 있는데 이에 대해 어떻게 생각하나.
"독점의 폐해를 얘기하는데 다른 업체의 제품도 널리 사용하게 되면 이런 위험을 늘 내포하기 마련이다. 바이러스에 대비하는 것은 기술적으로 훨씬 더 어려운 일이다. MS만의 일은 아니라고 생각한다."
- 정통부에서는 'SW도 제조물인 만큼 일반 제조물과 마찬가지로 하자가 있을 경우 개발업체가 책임을 지는 방안도 고려하고 있다'고 말한 바 있다.
"사회적 여건이나 제도적 보완이 함께 이루어져야 할 것이다. 자동차의 경우 사용자가 많아지고 사회적 합의가 이루어진 후 리콜제도도 나온 것이다. 특정사건 하나를 놓고 제조물책임법을 논하는 것은 옳지 않다고 본다."
- 패치파일 설치를 이메일로 공지한 것 만으로는 너무 소극적인 대응이었다는 비난이 있다.
"사실 어려운 문제다. SQL 서버 2000 고객이 2만인데 이들을 일일이 다 방문해 설치해야 한다면 제품가격에 그 비용이 전가될 수 밖에 없다. 인터넷이 이런 비용절감을 물론 배포의 편의성도 줄 수 있는 방안이었다.
사실 기업들의 경우도 일부 대기업을 제외하고는 보안 담당자가 따로 없다. 있다하더라도 한시적이고 자주 바뀐다. 그 때문에 지속적인 연락을 취하기 쉽지 않다.
기업들도 보안에 대한 인식이 바뀔 필요가 있다고 본다. 어쨌든 이번 일을 계기로 좀 더 적극적인 대응책을 마련할 것이다. 정부에서 비상관제체제를 구축한다면 적극 협의할 것이고 우리가 제안할 용의도 있다."
- 사태가 진정되면서도 KT의 서버는 트래픽이 상대적으로 높았다. KT에서 SQL 서버를 어느 정도나 사용하고 있나.
"KT의 DNS 서버에는 SQL 서버를 사용하지 않는다."
- KT가 운영하는 IDC 센터는 어떤가.
"IDC의 경우 접근이 어렵다. 서버의 소유주와 관리자가 서로 다르기 때문에 우리가 확인할 방법이 없다."
- 근본적인 재발방지의 일환으로 일부 보안업계에서 소스공개를 주장하고 있는데.
"상식적으로 생각할 일이다. 소스를 공개한다고 바이러스를 더 쉽게 막을 수 있겠는가. 소스코드 공개를 얘기하는 것은 두가지 측면이 있을 수 있다.
우선 보안의 측면에서 말하는 것인데 앞서 말했듯 논리적으로 납득할 수 있는 것이 아니다. 또 다른 측면은 공개 소프트웨어의 관점인데, 원재료없이 수출할 수 있는 것은 소프트웨어고 그래서 소프트웨어 산업을 육성하는 것 아닌가. 우리도 빌 게이츠 같은 개발자가 나와야 하고 그러자면 소프트웨어를 개발해 돈을 벌 수 있어야 한다. 신중한 접근이 필요하다."
- 향후 재발방지를 위한 MS의 구체적인 노력은.
"보안문제가 점차 이슈화하면서 고민을 많이 해왔다. 국내 보안업체와 협의해서 SQL 서버에 보안 소프트웨어를 번들로 무상 공급하기도 했다. 하지만 무상 사용기간이 지난후에는 다시 구입하지 않았다. 2년간 1500건에 머물렀다. 효과가 없어 그만뒀다.
하지만 이번 일을 계기로 적극적인 보안서비스 체제를 구축해 갈 것이다. 본사와 협의를 해야겠지만 국내에서는 보안업체들과 다시 협의해 패치파일의 경우 설치유무를 항시 관리하는 서비스를 제공할 수 있다고 생각한다. 이러한 것은 우리가 발전적인 모델을 만들 수 있을 것이다. 최선의 노력을 다할 것이다.
김상범기자 ssanba@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기