[지식] MS 제품군 EOS(서비스 지원 종료)

정보보호 담당자는 소속 회사에서 사용 중인 소프트웨어의 EOS 시기 및 여부에 대해 숙지해야 한다.
 
본 포스팅의 EOS는 End of Service의 약어로 제조사에서 소프트웨어의 지원을 종료하는 시점을 의미한다. 간혹 End of Life의 약어인 EOL을 동일한 의미로 사용하는 분도 계신데, EOL은 수명 종료(단종)의 의미이기 때문에 EOS와는 다소 차이가 있으나 뜻만 통하면 되는법이라 개의치 않는다. 쉽게 얘기하면 EOL이 조금 더 강력한 의미라고 할 수 있겠으나, EOS와 EOL 모두 보안 패치가 지원되지 않는건 같기 때문에 정보보호 담당자 관점에서 명확한 차이가 와닿지 않는 게 사실이다. EOS는 End of Sale이란 의미로 쓰이기도 하는데 이는 판매 종료의 의미이기 때문에 서비스 지원 종료와는 다른 의미임을 유념하자.
 
MS(MicroSoft)는 자사 제품군의 수명 주기 정책을 '최신 수명 주기 정책'과 '고정 수명 주기 정책'으로 구분한다.

• 최신 수명 주기 정책 (Modern Lifecycle Policy) : 지속적인 지원 및 서비스를 제공하는 제품
• 예) M365, Azure 등
• 고정 수명 주기 정책 (Fixed Lifecycle Policy) : 소프트웨어 출시 때 지원 종료 날짜가 지정된 제품 
• 예) 소프트웨어나 라이센스를 구매해 사용하는 경우로 PC나 서버에 설치한 Windows를 생각하면 됨

회사에서 문제가 되는건 주로 '고정 수명 주기 정책'을 가진 소프트웨어기 때문에 본 포스팅에서는 고정 수명 주기 정책에 관해서만 알아본다. (참고: 특정 제품이 어떤 수명 주기 정책을 적용받는지는 https://learn.microsoft.com/ko-kr/lifecycle/products/ 에서 검색해보면 확인 가능)
 
MS 사이트에 따르면,
일반적으로 수명주기를 일반 지원(Mainstream Support) 5년, 추가 지원(Extended Support) 최대 5년으로 정하고 있다.

※ 이미지 출처 : learn.microsoft.com

 
보안 업데이트를 일반 지원과 추가 지원 단계 모두에서 제공한다.

※ 이미지 출처: learn.microsoft.com

 
추가 지원 단계에서도 보안 업데이트를 무료로 제공한다.

※  이미지 출처 : learn.microsoft.com

 
추가 지원을 종료한 이후 특정 제품에 한해 최대 3년간 유료 '추가 보안 업데이트(Extended Security Updates) 프로그램'을 지원하는 경우가 있다.(참고: 특정 제품의 추가 보안 업데이트가 있는지는 https://learn.microsoft.com/ko-kr/lifecycle/products/ 에서 검색해보면 확인 가능)

※  이미지 출처 : learn.microsoft.com

 

EOS 관련은 아니지만, MS 제품에 대한 최신 보안 패치 목록은 https://msrc.microsoft.com/update-guide/ 에서 확인 가능하다.