Why the NHS can't get its browser act together

Organisational inertia means we're saddled with an ageing, vulnerable browser across our hospitals and key government departments. That's not good

---

Charles Arthur
guardian.co.uk, Friday 22 January 2010 15.07 GMT


혹시 이 간호사, IE6을 쓰고 있을까? Photograph: Getty

며칠 전, 마이크로소프트는 걱정하지 말라고 말하였다. 중국 해커들이 구글 네트워크를 침범하기 위해 사용한 0-day 취약성은 2001년에 나온 윈도 XP 상에서 2000년에 나온 인터넷 익스플로러 6를 돌릴 경우에만 영향을 끼친다면서 말이다.

그렇다면 그런 시스템을 과연 지금 누가 쓰고 있을까? 그렇잖나? 많은 사람들이 아는 것보다 마이크로소프트에 대해 더 잊어먹은 에드 보트(Ed Bott)는 ZDNet의 블로그에 격렬한 포스팅을 올렸다.

"아직도 회사 내에서 IE6을 허용하고 있는 IT 전문가가 있다면, 그는 유죄다. 너무 심하게 들리시는가? 구글과 어도비 그 외 여러 대기업의 보안 전문가들에게 물어 보시라. 소스코드와 비밀 데이터를 잘 조직된 침입자들에게 넘길 수 있는 공격목표를 이들 모두 정리중에 있다. 그 목표는 과연? 마이크로소프트에 따르면 그것은 IE6이다."

보트가 볼 때 영국 정부에서도 유죄가 매우 많다. 75만 명 이상이 근무하고 있는 국립보건기구(NHS)와 노동연금부(Department of Work and Pensions)의 50만 명이 바로 이 시스템을 사용하기 때문이다. ("limbo"라는 사용자의 코멘트를 보시라.) 노동연금부의 2002~2003년간 IE6/XP 설치는 3년이 걸렸다.

사실 NHS는 IE6/XP에서 돌아간다. 그렇기 때문에 웹으로 새로 뭔가를 신청하려면 여전히 IE6/XP가 요구사항이다. Primary Care Trust Prescription 서비스를 사용하기 위한 컴퓨터 사양(2008년) 역시 마찬가지이다. eBay를 빼고는 요새 찾아보기 힘든 컴퓨터 사양을 말하고 있기 때문이다.

Client Machine Requirements for Report Deployment:

Windows: Microsoft Internet Explorer 5.0, 5.5, 6.0; Netscape Navigator 4.7, 6.2; Acrobat Reader 3.0, 4.05, 5.0 (If PDF viewing/printing is required)

Mac OS: Microsoft Internet Explorer 5.0, Netscape Navigator 6.2, Acrobat Reader 3.0, 4.05, 5.0 (If PDF viewing/printing is required)

OS/2: Netscape Navigator 4.61, Acrobat Reader 3.0 (If PDF viewing/printing is required)

Solaris: Netscape Navigator 6.2, Acrobat Reader 3.0, 4.0 (If PDF viewing/printing is required)

1년 전, 마이크로소프트 스스로가 IE6 하위호환성을 둘러싸고 있는 문제점에 대한 NHS의 권고안을 포스팅한 바 있었다. 이 권고안은 IE6/XP의 경우, 새 머신에서 가상머신을 통해 해결할 수 있으리라 지적하였다.

동 권고안을 작성하였던 슬레이터(Neil Slater)는 다음과 같이 코멘트하였다.

NHS IM&T Tools 프로젝트는 오늘날에도 발목을 잡는 문제점에 계속 집중해야 할 필요가 있습니다. 문제점 중에 하나가, 지금도 인터넷 익스플로러(IE) 6를 요구한다는 데에 있죠. 인터넷 익스플로러 7(그리고 8)과 호환성을 갖지 못한다는 의미인데요. 이 때문에 NHS Trusts에서 윈도비스타로의 업그레이드 문제를 많이 논의했었습니다. 애플리케이션 테스트와 이주는 많은 시간을 소요시킬 수 있어요. 그동안 새 OS가 제공할 기능과 개선을 누릴 수 없겠죠. 윈도 XP/IE6을 돌리는 Virtual PC로 돌린다면 OS 업그레이드시 발생할 수 있는 문제를 해결할 수 있습니다. IE6을 요구하는 애플리케이션을 돌릴 경우 이 점을 염두에 두시기 바랍니다.

Trust-전용 애플리케이션이나 널리 퍼져있는 국가 사이트의 애플리케이션의 경우 어떠한지 여러분의 의견을 듣겠습니다."

이러한 조직적인 관성은 매우 위험스럽다. 많은 이들의 브라우저를 업그레이드시키기란 역시 어려운 일이다. 브라우저를 다른 것으로 바꾸게 하는 것도 마찬가지다. 그러나 보도에 따르면 개개인 상당수는 자기가 무슨 브라우저를 사용하는지에 대해 정말 관심을 갖고 있다. 그 점 외에는 Firefox가 개인 브라우저로 제일 유명해진 이유를 설명할 길이 없다.

업그레이드의 인센티브는 개인 보안에 있을 수 있겠다. 인터넷 익스플로러는 그동안 너무나 잘 문서화된 침입경로를 갖고 있다. 개인간에 전해지는 메시지도 그런 침입경로를 목표로 하는 경우가 많다.

NHS와 노동연금부와 같은 조직은 물론 온갖 다른 종류의 정부기관은 정말 가치가 있는 개인정보를 통제하는 곳이다. 그런데 그런 곳에 연결된 시스템에 엄청난 보안구멍이 있다는 점은 매우 아이러니이다. 누군가 당연히 제기하리라 생각하건데, NHS와 노동연금부 웍스테이션의 절대 다수는 인터넷에 연결되어있지 않을 것이다. 그래서 필자와 여러분들처럼 웹을 돌아다닐 때 발생하는 문제를 겪지 못했을지 모르겠다.

그런데 그 사실이 맞다 하더라도 문제를 해결하지는 못한다. 아마 한 대만 연결되어 있거나, 감염된 머신을 인트라넷으로부터 빼어내서 완전히 안전한 머신에 올리든지 할 수 있다. 그러면 잠재적으로 전체 네트워크는 안전해지는 것이다. (구글에서 일처리가 아마 그럴 것이다.)

주된 의문은 다음과 같다. 문제를 어떻게 풀 텐가? 옛날 브라우저와 옛날 운영체제를 꼭 쓰지 않아도 된다면 어떻게 그것을 확인할 텐가? 답변은 간단하다. 웹표준이다. 그렇다면 필요한 것은, 그 표준을 지원하는 브라우저로의 업그레이드, 혹은 이주이다.

NHS 전용 애플리케이션을 작성할 때, 이 애플리케이션은 표준을 지키지 않았다. 2000년 당시는 웹 표준이 매우 많았는데 IE6은 그 표준 모두를 지키지 못하였다. 그렇지만 NHS가 워낙에 거대한 프로젝트여서, 정부는 마이크로소프트를 사용하기 원하였고, 마이크로소프트는 IE6을 들고 왔다.

근시안적인 정책이다. 장기적으로 문제를 일으키니 말이다. 이제 우리는 우리의 의료기록과 국립 의료보험 데이터가 과연 안전한지 의문을 가져야 한다. 10년 묵은 브라우저를 사용하는 컴퓨터에 악성 소프트웨어의 침입이 있을 수 있기 때문이다. 우리가 사용한 이 브라우저는 웹이 이렇게 되기 전에 만들어진 브라우저다.

마이크로소프트는 IE6/XP가 위험에 처한 유일한 시스템임을 밝힐 수 있었다. (물론 취약점에 대처하기 위해 마이크로소프트는 현재 모든 버전의 IE와 윈도를 패치하고 있다.) 그러나 불행히도 그 "유일한" 시스템이 현재 꽤 널리 쓰이고 있는 시스템이다.

공식적으로 data.gov.uk가 발족한 해에 이런 일이 일어나서 아이러니컬하다. data.gov.uk는 브라우저나 플랫폼-독립적인 형태로서, 정부가 갖고 있는 비-개인 정보 전부에 접근할 수 있도록 해준다. 이 사이트를 열기 위해 대단히 열심히 일했던 공무원들과 어제 이 문제를 두고 얘기를 했었다. 그들은 이 문제를 생각해보더니 겁에 질려 하였다. 그러다가 갑자기 한 명이 밝은 얼굴로 이렇게 말하였다.

"알아요! 모두 HTML5를 돌리는 현대적인 브라우저로 교체할 것입니다!"

글쎄다. 희망할 수는 있겠다. 하지만 그동안 중국 해커들이 우리의 보건기록이나 연금기록, 의료보험 세부내역이 그리 흥미롭지 않다고 여기기만 바랄 뿐이다. 두고봐야 알 일이기는 하지만.

guardian.co.uk ⓒ Guardian News and Media Limited 2010

Why the NHS can't get its browser act together | Charlie's Angles | Technology | guardian.co.uk