윈도우 서버 2012 지원 종료 임박, 새 윈도우 서버 솔루션을 미리 준비해야 되는 이유는?

 

클라이언트에게 다양한 서비스를 제공하는 서버는 다양한 OS가 존재하는데, '윈도우 서버'는 OS 구성 자체가 일반 윈도우 OS랑 거의 흡사한 만큼, 대중적으로 접근할 수 있는 서버 OS라고 평가할 수 있다.

그렇기에, 윈도우 서버는 많은 기업체에서 사용할 뿐만 아니라, 요즘에는 팀레벨 단위나 특히 사용량이 많아진 중소규모의 어플리케이션 운영에도 적극 사용되는 등, 상당히 많은 서비스에 활용하고 있다.

윈도우 서버를 사용해나감에 있어서 고려해야될 부분이 있다. 바로 업데이트 제공 기간이다.

윈도우 서버도 우리가 사용하는 일반 PC 윈도우 OS 상황과 동일하다.

과거 윈도우 XP, 윈도우 7과 같이 일정 기간 사용 이후, 기본 업데이트와 보안 업데이트가 더이상 제공되지 않게 되는 것과 마찬가지로 윈도우 서버 역시 출시 버전에 따라 업데이트 지원 기간의 한계가 명시되어 있어, 결국 언젠가는 업데이트 지원이 종료된다.

윈도우 서버에서도 윈도우 OS 처럼 향후 추가적인 업데이트가 제공되지 않기 때문에, 발생될 수 있는 보안 문제와 관련하여 최종 지원 종료가 되기전에 최신 OS로 업데이트 하는 것이 서버 관리에 있어서 기본 지침이라고 할 수 있다.

그래서 이번 기사에서는 곧 최종 지원 종료되는 윈도우 서버는 어떤 것들이고 언제인지, 대비하지 못할 경우 발생할 일, 그리고 어떤 솔루션들이 대안이 될 수 있는지 알아보는 시간을 마련해보았다.

 

■ 곧 지원 종료되는 윈도우 서버 제품군

이번 기사를 작성하는 큰 이유중에 하나는 현재 사용하고 있는 구 윈도우 서버가 완전히 지원 종료된다는 점을 상기 시켜드리고 이를 대비 하길 바라는 점도 있다.

서버의 신규 이전은 긴 시간을 들여 작업이 진행되는 만큼, 미리미리 준비해야 하기 때문에 언제 지원 종료가 되는지 마이크로소프트측에서 IT 관리자들에게 지속적으로 시기를 알려오고 있다.

윈도우 서버는 제품 출시와 함께 일반적인 기술 지원 기간과 유료로 3년간 보안 업데이트를 연장할 수 있는 지원 기간이 따로 존재하는데, 오래전 부터 많이 사용하고 있는 윈도우 서버 2012 버전 및 윈도우 서버 2016 버전, SQL 서버 2012, 2016과 같은 제품들의 일반 지원 기간은 이미 진작에 만료된 상태이다.

다만, 유료 비용을 내면서 추가적인 보안 업데이트를 받을 수 있는 연장 지원 기한만 남은 상태가 대부분이다.

윈도우 2016버전은 유료 연장 지원 기간은 몇년간 더 남은 상태이지만, 주목해야할 제품군은 윈도우 서버 2012 버전들이다.

윈도우 서버 2012 제품들의 경우에는 이 연장 지원 기간 마저도 2023년 10월달에 만료가 예정되어 있어 최종적으로 이 기간 이후에는 향후 보안 업데이트를 지원 받지 못하게 된다. 

이 연장 지원 종료는 스탠다드 버전, 데이터센터 버전도 모두 동일 적용인만큼, 서버의 규모와 무관하다.

서버의 신규 이전 작업에는 많은 시간이 소요됨에 따라 기간이 약 10개월 여 남았다 하더라도 23년이 되기전에 미리 예산부터 시작해 이전 계획을 미리 수립하고 사용할 솔루션을 파악해 두어야, 보다 무탈하게 이전이 완료 될 것이라 판단된다.

 

■ 만료된 구버전 윈도우 서버, 계속 쓰면 위험한 이유

만약, 서버의 구버전 유료 최종 지원 기간까지 모두 만료된 상태에서, 신규 이전을 하지 않고 서버를 지속 운영하게되면 어떠한 상황이 발생될까?

일단 서버는 보안 업데이트를 더이상 받지 못하게 되며, 향후 발견되는 취약점을 보완 할 수 없게 된다.

즉, 취약점이 그대로 노출된 상태로 서버를 운용할 수 밖에 없게된다. 그렇단 말은 보안에 허점이 생겼다는 말이고, 외부에서 허점을 통해 서버에 해킹 공격을 시도할 수 있다는 말로 연결된다.

필자가 해킹에 대해 해박한 지식을 갖고 있지 않지만 해커들이 이 허점을 주로 어떻게 찾아 공격할까 궁금해 알아보았을때, 참 아이러니 했다.

해커가 직접 분석해 취약점을 찾기도 하지만, 많은 경우가 어떤 취약점을 보완했다고 알리는 서버 OS 제공 업체의 업데이트 공지사항을 보고 해당 취약점을 공격한다는 점 때문이였다.

디테일한 취약점을 게시하진 않지만, 해당 보안 업데이트 공지가 등장했다는 말은, 관련 취약점이 실재한다는 뜻이 되고, 악성 해커들은 이 공지를 통해 취약점을 분석한 뒤, 수 많은 서버를 랜덤 대상으로 해당 취약점을 공격하는 방식으로 해킹한다고 한다.

이때, 많은 서버들 가운데 관련 보안 업데이트를 하지 않은, 혹은 이제 하지 못하는 구버전 서버들이 그대로 해킹에 노출 되며, 피해를 입게된다.

 

■ 심하면 법적 책임까지... 보안 관리의 중요성

▲ @YTN, @MBC

업데이트를 하지 않아, 혹은 할 수 없어서 해킹 공격을 당하면 어떠한 피해가 발생 될 수 있을까?

뉴스에서도 종종 볼 수 있는 수 많은 방식의 피해가 발생할 수 있다.

흔히 알려져 있는 개인정보 유출과 같은 것들이 될 수 도 있고, 해당 서버로 활용되고 있는 서비스가 무력화되거나, 랜섬웨어를 이용해 협박을 받을 수도 있다.

심각해지는 것은 2차 피해가 발생 될 수 있는 경우다.

단적인 예로, 웹사이트에 악성코드를 숨기고 변경해 방문하는 사람들의 PC나 디바이스를 바이러스나 악성코드로 감염시키는 2차 피해가 퍼질 수 있다.

만약, 개인정보 유출이나 악성코드 등의 해킹으로 인한 2차 피해가 크거나 심각한 경우, 단순히 피해를 입히는 것으로 끝나지 않고 해당 서버 관리자나 기업은 정부로부터 해킹 관련 책임 조사를 받을 수도 있다.

보안 및 서버 관리 지침을 제대로 이행 했는지, 기타 등등의 조사를 받고 여기서 만약 보안 업데이트 누락, 구버전 사용으로 취약점 노출 등의 사항이 파악된다면, 해당 서버 관리자나 기업은 법적 책임까지도 지어야 할 수 도 있다.

즉, 보안 업데이트만 꾸준히 해주었어도 ,또는 보안 업데이트가 만료될 서버의 경우에는 미리미리 버전 이전을 통한 보안 강화를 실시해 주었다면, 애초에 없었을 피해들이다.

따라서, 서버의 보안 업데이트, 업데이트 지원이 만료된 서버의 신규 버전 이전 등은 IT 관리자로서 필히 체크하고 미리 만반의 대비를 해야되는 부분이다.

 

■ 만료 예정인 구 윈도우 서버, 대체 할 수 있는 솔루션은?

보안 업데이트가 만료되는 서버가 얼마나 위험한 상황에 도달할 수 있는지 앞서 이야기 해보았는데, 그렇다면 다시 돌아와서, 곧 최종 만료 예정을 확인한 구 윈도우 서버, 윈도우 서버 2012 제품군들이 곧 대체 되야 할 것은 자명하다.

그렇다면 어떠한 솔루션들로 대체할 수 있을까?

일단, 현재 윈도우 서버 2012 제품군을 사용하고 있다는 사실은, 관련 서비스를 지속적으로 사용해야 하는 만큼, 다른 서버 OS로 변경하는 건 추천하지 않고, 실제로 관리자들도 하고 싶지 않을 듯하다. 수 많은 작업과 예산, 기타 등등의 시간이 소요되기 때문이다.

또, 기존 관리 환경과 다른 환경으로 변경하는 것은 크나큰 변경이기 때문에, 많은 사항을 다시 준비해야하고, 제공되는 서비스와의 호환성 등도 모두 다시 고려해야한다.

그렇기에 같은 윈도우 서버 최신 버전으로 이전 하거나 마이크로소프트가 제공하는 솔루션 계열로 업그레이드 이전 하는 것이 타당하다 생각된다.

▲ Windows Server 2022 & Azure

현재 구 윈도우 서버를 대체할 솔루션으로는 크게는 2가지를 추천할 수 있을 듯 하다.

기존 하드웨어 및 소프트웨어를 대체할 새로운 서버 하드웨어와 함께 윈도우 서버 2022 버전을 구성한 온-프레미스 환경이다. 한마디로 기존 환경의 업그레이드 이전이라 볼 수 있다.

두번째로는 물리적인 하드웨어를 이용하지 않고, 마이크로소프트가 제공하는 클라우드 환경인 마이크로소프트 Azure(애저)를 활용하는 방법도 있다.

서버의 이전과 변경은 쉽게 변경할 수 있는 사항이 아니며 앞서 짧게 얘기했지만, 시스템 활용을 위한 예산, 비용, 활용에 대한 다각적인 검토와 체크가 필요하다. 따라서, 자신들의 서버 환경에 맞는 솔루션을 선택하는 것이 현명한 부분이다.

그러나 대게 SOHO, 중견 기업등에 있어서는 가장 접근하기 쉬운 것이, 첫번째, 온-프레미스 환경, 즉 물리적인 서버를 두는 것이다.

많은 사람들이 윈도우 서버를 이러한 환경에서 적극 사용하고 관리 해나가는 만큼, 구 윈도우 서버를 이전한다면, 이쪽을 좀더 권장하고 싶다.

 ë¬¼ë¡ , 애저도 좋은 솔루션중에 하나이다. 애저의 특징은 서버 구축에 있어서 초기 비용이 상당량 절약된다는 점이 강점이기도 하고, 개방적이면서 클라우드 기반으로 리눅스 부터 자바, 파이썬, iOS, 안드로이드 등의 유연한 플랫폼 사용이 가능하도록 되어 있다.

따라서, 초기 서버 시스템을 구성하기 쉽지 않은 스타트업이나 벤처 기업등의 서버로 추천될만 하다.

 

■ 맞이 하게 될 윈도우 서버 2022 특징

현재 윈도우 서버 2012 지원 종료와 함께 서버 이전을 계획해야 한다면, 결국 가장 많이 선택 할 법한 것은 윈도우 서버 2022, 앞서 온-프레미스 환경이다.

이전하게 될 윈도우 서버 2022의 대표적인 특징에 대해 간략하게 설명해보자면, 다시 한번 언급할 수 밖에 없는 중요한 보안적인 부분이 크게 강화 되어 있다.

윈도우 서버 2022는 '보안 코어 서버' 및 보안 연결로 다계층 보안을 활용할 수 있는 것이 특징이다.

일단 보안 코어 서버 하드웨어는 정교한 공격을 방어하는데 추가적인 보안을 제공한다. 보안 코어 서버는 하드웨어, 펌웨어, 드라이버 기능을 사용해 고급 윈도우 서버 보안 기능을 지원한다.

일부 디테일 하게 들어가보면, TPM 2.0 칩이 제공되는데, 디바이스 BIOS 및 펌웨어의 무결성을 확인할 수 있고 보안 부팅 기능을 통해 운영 체제 전에 권한이 없는 펀웨어, 소프트웨어가 로드되지 않는지 확인하게 된다.

보안 코어 서버의 기능에는 다양한 확장 영역이 있다.

윈도우 서버 2022에서는 DRTM(Dynamic Root of Trust for Measurement)을 사용하여 보안 부팅도 가능하다.

이는 시스템 구성 요소가 변조되지 않았는지 확인하는 보안 검사다. 이 소프트웨어는 TPM 과 함께 하지만 TPM 칩에만 있는건 아니며, 부팅 하는 동안 다양한 프로세스가 발생하는 부팅 체인동안 환경을 측정하고 비교해 변조하지 않았는지 확인한다.

이외에도 커널 DMA 보호를 사용한 시스템 가드 기능, VBS(가상화 기반 보안) 및 HVCI (하이퍼바이저 기반 코드 무결성) 기능도 적극 도입된다.

궁극적으로 보안 코어 기능은 공격자가 시스템을 악용하는 통로를 사전에 방어할 수 있도록 하며, 보안 코어 서버는 하위 계층에서 고급 보안 기능을 사용하도록 설정된다. 이렇게 다양한 보안 도구들이 외부 공격을 인식하기도 전에 시스템 가장 권한 높은 영역에서 서버를 보호하도록 설정되어 있다. 따라서 관리자의 추가 작업이나 모니터링 없이도 지속적으로 보안이 가능하다.

또, 보안 연결성 부분에 있어서도 다른 계층을 추가했다. SMB 프로토콜을 지원하는 더 빠르고 안전한 암호화된 HTTPS 및 업계 표준이 된 AES-256 암호화도 추가됐다.

윈도우 서버 2022에서는 HTTPS 및 TLS 1.3을 기본적으로 사용하게 되며, 미사용 암호화 알고리즘을 제거하고 보안을 더 강화했다. 또, DoH(DNS-over-HTTPS)를 지원한다. DNS 쿼리를 암호화 하는 것으로, 도청 및 DNS 데이터 조작을 방지해 트래픽을 최대한 비공개로 유지할 수 있다.

SMB(Server Message Block)의 AES-256 암호화도 적용되었는데, 윈도우 서버 2022에서는 AES-256-GCM 및 AES-256-CCM 암호화 그룹을 지원한다. 물론, 하위 수준 호환성을 위해 여전히 AES-128도 지원하고, 서명 속도도 향상된다.

SMB 관련된 부분은 이외에도 내부 클러스터 통신용, 동-서 SMB 암호화 제어 기능도 제공하며, 다이렉트 및  RDMA 암호화 및 클러스터도 지원하게 됐다.

윈도우 서버 2022에는 더욱 다양한 기능들이 추가되고 서버에 있어서 중요한 보안이 더욱 강화된만큼, 자세한 사항은 공식홈페이지에서 살펴볼 수 있다.

이번 윈도우 서버 2022 온-프레미스 환경에서 마이크로소프트 애저도 활용해 나갈 수 있다.

즉, 애저와 함께 하이브리드 환경을 구성할 수 있는데, 애저 아크(Azure Arc)와 연결해 윈도우 서버 2022에서 클라우드 서비스도 활용한다.

이때, 윈도우 서버 2022에서 SMB 압축과 같은 더욱 진화된 파일 서버 기능을 이용할 수 있는데, SMB 압축은 네트워크를 통해 파일을 전송할때, 데이터를 압축해서 전송하기 때문에 응용프로그램 파일 전송 환경을 개선 받을 수 있다.

윈도우 서버 2022로 업그레이드 하게되면, 복잡한 응용 프로그램을 위한 64 소켓, 48TB 메모리, 2048개의 논리 코어와 같은 향상된 확장성을 활용해 나갈 수 있다.

이외에도, 윈도우 컨테이너 고급 기능도 활용할 수 있고, Kubernetes 커뮤니티와 협력하며 Azure Stack HCI의 AKS의 새로운 기능도 제공받을 수 있게 된다.

 

■ 미리 준비해서 크고 작은 재난을 미리 보호하자

새로운 윈도우 서버 2022의 향상된 기능들을 언급하며 특징들을 간략하게 설명했지만, 새로운 솔루션의 특징중에 무엇보다도 중요한 것은 서비스되고 있는 서버 환경의 보안적 강화를 지속해나갈 수 있게 된다는 부분이다.

이 부분은 향후, 서버 이전에 대한 계획, 예산을 설명할 수 있는 그 무엇보다도 큰 필요 요소 이자 당위성이라 생각된다.

보안 문제로 인해 수 많은 사람들이 지속적으로 사용하고 있는 서버가 중단되거나 큰 2차 피해가 발생하게 되면, 그 피해는 그 순간 뿐만 아니라, 더 큰 후폭풍으로 발전할 수 있기 때문이다.

따라서, 서버 이전에 대한 긴 작업 시간의 피로도와 귀찮음, 당장의 불편함 없는 환경 등을 생각해 미루는 것을 지양하고 앞서 보안 취약으로 인한 다양한 피해 사례를 반면교사 삼아 미리미리 구 버전 윈도우 서버를 최신으로 이전하는 것은 기업으로서 IT 관리자들의 기본적인 소양이자 필수 지침으로 수행해 나가야 할 것이라 생각된다.

마지막으로 이번에 대체 솔루션으로 추천한 윈도우 서버 2022는 새로운 수준의 보안으로 강력하게 서비스를 보호하도록 구현된 최신형 서버이니만큼 구 버전 사용자들에게 발생할 수 있는 혹시나 있을 재난에 대한 보호에 미리 앞장서서 막아 줄 수 있는 최적의 솔루션이기에, 다가온 만료인 내년을 대비해 지금부터 미리 준비 해나가는 것을 권장한다.


케이벤치 많이 본 뉴스