[아이티데일리] 지난해 6월 모든 버전이 지원 종료(End of Life, EOL)된 센트OS(CentOS)가 여전히 공공기관에서 쓰이는 것으로 나타났다. EOL 이후 보안 취약점 패치가 제공되지 않는 만큼 이에 대한 대응이 필요한 상황이다.

20일 업계에 따르면 공공기관 시스템에 지원 종료된 센트OS가 쓰이고 있어 공공 부문의 보안 취약점 노출 가능성이 높아지고 있다.

센트OS는 레드햇 엔터프라이즈 리눅스(RHEL)의 소스코드로 만들어진 복제품이다. 전문적 기술지원이 부족하나 비용이 저렴해 국내외 기업 및 기관 등에서 널리 사용해 왔다.

센트OS는 지난해 6월 30일 7 버전 지원 종료를 마지막으로 모든 버전이 EOL됐다. EOL를 맞이하면 제품 결함에 대한 수정이 이뤄지지 않으며 새로운 보안 취약점에 대응하는 패치가 제공되지 않는다.

레드햇이 센트OS 7 EOL을 2020년 12월부터 예고했음에도 공공에서의 대응은 더딘 실정이다. 행정안전부가 발표한 ‘2024년도 범정부EA 기반 공공 부문 정보자원 현황 통계보고서’에 따르면, 장비 4,263개(8.92%)가 센트OS를 사용 중인 것으로 나타났다. 이는 레드햇(44.42%), 마이크로소프트(30.55%)에 이어 세 번째로 높은 수치다.

공공기관 내 센트OS가 탑재된 장비는 2022년(3,869개), 2023년(3,973개)에 이어 지속적으로 늘고 있으며, 특히 2024년에는 2023년 대비 300여 개가량 증가했다. EOL을 1년여 남겨둔 OS를 추가 도입했다는 사실은 공공 부문에서 대책 마련에 소홀했음을 방증한다.

몬타비스타 소프트웨어 김정훈 한국 지사장은 “아직도 많은 공공 시스템이 센트OS로 운용 중이다. 일부 공공기관에서 보안 강화를 위해 유지보수 계약을 고려하고 있으나 그 움직임이 두드러지지는 않는다”라고 설명했다.

이어 그는 “EOS 후에도 해외를 중심으로 센트OS에 대한 보안 취약점 보고는 지속될 것이다. 하지만 공공기관에서 내부적으로 자체 대응할 역량을 확보하긴 힘들다”며 “취약점을 통한 사이버 공격에 대비하기 위해 대안 마련이 필요하다”고 덧붙였다.

반면 공공 부문이 아닌 국내 기업들 쪽에서는 지난해부터 빠르게 센트OS EOL 대응에 나서고 있다. 대교CNS는 센트OS에 대한 업데이트와 보안 패치를 제공하는 ‘수세 리버티 리눅스’를 도입했다. 지마켓과 토스뱅크는 몬타비스타 소프트웨어와 센트OS EOL 연장 지원 서비스인 ‘MV쉴드’ 계약을 체결했다.

네이버클라우드는 무료 리눅스 배포판인 ‘네빅스(NAVIX)’를 자체 개발했다. 네빅스는 오픈ELA 기반 OS로 RHEL와 높은 호환성을 갖췄다. OS 지원 종료에 따른 부담을 낮춤과 동시에, 센트OS를 교체해야 하는 기업의 수요도 잡는다는 복안이다.