간단한 질문 하나 하겠다. 기업 내 PC 가운데 OS와 애플리케이션 소프트웨어에 필요한 패치를 모두 적용한 비율은 얼마나 될까? 독자 여러분 중에는 “우리 회사는 100% 패치가 완료됐다”고 대답하고 싶은 사람도 있을 것이다. 아마 자동으로 업데이트되도록 워크스테이션을 설정해 뒀을 것이다.
이번에는 조금 더 쉬운 질문을 하겠다. 독자 여러분 자신이 사용하는 워크스테이션에는 패치가 완벽하게 설치되어 있는가? 대부분의 사람은 이 두 가지 질문에 대해 ‘아니오’라고 대답할 것이다.
필자는 수많은 고객들 대상으로 보안 평가를 실시한 경험이 있다. 상당수는 보안을 크게 신경 쓰는 고객들이다. 그런데 통상 엔드포인트라고 하는 워크스테이션을 제대로 패치한 비율이 절반을 넘는 고객을 단 한 명도 만나지 못했다. 이유가 뭘까? 다음은 가장 많이 듣는 변명들이다.
‘나는 잘 모르겠고 협력업체가 알아서 해주니까’ : 제조업체/공급업체는 새 엔드포인트를 적절히 구성할 능력을 갖추고 있다. 그러니 그들의 판단을 믿고, 걱정하지 않는다.
‘정책 때문에’ : 모든 임직원이 워크스테이션을 패치 해 최신 상태로 유지하도록 규정한 서면 정책을 보유하고 있다. 한 마디로 직원들을 믿는다.
‘자동화 설정’ : 모든 워크스테이션이 자동 업데이트되도록 설정해 확인하고 있다. 소프트웨어가 알아서 업데이트를 처리할 것으로 믿는다.
안타깝게도 신뢰할 수 있는 수준으로 엔드포인트를 계속 패치 해 유지할 수 있는 방법들이 아니다. 처음 소프트웨어를 설치하면서 자동으로 업데이트가 되도록 설정한 것을 믿을 수 없다. 가장 신뢰도 높은 업데이트 메커니즘 가운데 하나인 마이크로소프트 윈도우 업데이트의 자동화조차 간혹 문제를 일으킨다. 마지막으로 업데이트에는 통상 재부팅이 필요하다. 그러나 직원들이 일에 집중하기 위해 재부팅을 무시하거나, 자동화 기능을 끌 때가 있다. 이와 관련해 100% 직원 탓을 하기는 어렵다.
윈도우 PC 대신 맥(Mac)을 사용해도 패치 문제에서 벗어날 수 없다. 애플 업데이트 또한 자동화에 뿌리를 두고 있지만, 종종 사용자의 개입을 요구한다. 앞서 언급했듯, 직원들이 일에 집중하기 위해 패치를 무시하거나 미룰 수 있다. 이밖에 애플 사용자들은 ‘맥을 믿고 안도하는 경향’이 있다. 그동안 맥에는 보안 문제가 많지 않았기 때문에 별걱정을 하지 않는 것이다.
이는 정말 작은 회사들을 제외한 모든 회사에 큰 도전과제가 되는 문제다. PC가 3대밖에 없다면, 캘린더에 매주 업데이트 현황을 기록해 꾸준히 확인할 것이다. 최소한 OS 업데이트는 확인할 것이다. 그러나 PC가 10대만 되어도 아주 큰 일이 된다. 더 많은 개개인의 업데이트, 일부 자동화를 계속 이렇게 관리해야 한다.
OS 패치를 효과적으로 관리하고 있다고 가정하자. 그런데 애플리케이션 소프트웨어는 어떨까? 윈도우는 윈도우 업데이트를 실행시켜, 패치 상태를 쉽게 확인할 수 있다. 하지만 여러 공급업체가 관여하고 있고, 각각 업데이트 메커니즘이 다른 애플리케이션 소프트웨어 패칭은 훨씬 복잡하다.
이 글을 읽는 독자 가운데 상당수는 쉽게 해결할 수 없는 문제에 직면해 있다. 그런데 패치 관리가 왜, 얼마나 중요한지 모를 수도 있다. 이 문제를 걱정할 필요가 없다고 생각하지 말기 바란다. 알려진 취약점 공격을 통해, (최근 가장 빈번한 공격 기법인)랜섬웨어 등 악성코드에 감염되는 PC의 비율이 증가하는 추세다. 즉 문제를 해결할 수 있는 패치를 무시해 사이버범죄자들을 불러들이는 셈이다.
몇 달 전, 심지어는 몇 년 전 배포된 패치로 수정할 수 있는 취약점 때문에 해킹을 당한 사례가 많다는 점은 패치 문제의 심각성을 보여준다. 시큐리티위크(SecurityWeek)가 2015년 2월 HP 사이버 위험 보고서를 인용해 보도한 내용에 따르면, 2014년 2~4년 된 취약점을 이용한 공격의 비율이 44%에 달했다. 이제 관심이 갈 것으로 생각한다.
이 문제가 중요하다는 점을 새삼 강조하는 사실 하나가 있다. 미국의료법(HIPAA), PCI DSS(Payment Card Industry Data Security Standard), 사베인-옥슬리법 등 주요 컴플라이언스(규제 준수) 기준 모두 패치 관리에 대해 언급하고 있다는 것이다. 이들 기관은 데이터 보안에 패칭이 아주 중요하다고 판단하고 있다.
향후 계획
이제 적절한 패치 관리가 얼마나 중요한지 이해할 것이다. 이에 효과적으로 패치를 관리할 수 있는 절차 중 일부를 소개한다.
책임자 지정. 방법에 상관 없이, 누군가 책임을 치고 패치를 관리해야 한다. 책임자는 새 PC를 배포한 즉시 패치 관리 설정이 적절한지 확인해야 한다. 또 정기적으로 설정과 업데이트 상태를 점검해야 한다.
정책과 절차 수립. 책임자에게 정책과 절차를 서면으로 제공해야 한다. 여기에는 패치 관리 방법, 매일 실시하는 모니터링 프로세스 규정 등이 포함돼 있어야 한다.
로그 기록, 결과 확인. 패치 점검 결과를 로그온 상태로 유지한다. 또 누군가 이를 확인해야 한다.
자동화. 패치를 적절히 배포했는지 확인하는 데 도움을 주는 자동화 툴이 많다. 마이크로소프트의 WSUS(Windows Server Update Service)와 자산 관리 시스템인 Dell KACE, ManageEngine 등을 예로 들 수 있다.
아웃소싱. 각 PC의 패치 설치 상태를 관리하고 모니터링 하는 도구를 설치해주는 여러 관리형 서비스 공급업체들이 있다. 여러 다양한 서비스 중 하나로 패치를 관리하는 일반 IT회사와 달리 보안 전문가들로부터 더 나은 서비스를 받을 수 있는 방법이다.
결론: 정보보안 문제 중에는 극복하기 어려운 문제들이 많다. 그러나 패치 관리는 능히 극복할 수 있는 문제다. 효과적인 패치 관리 프로그램은 보안 태세를 높이는 성과를 일궈낸다. 또 투자할 가치가 있다.
더 자세한 정보는 투고CIO(togoCIO) 페이지를 참고하길 바란다.
*Robert C. Covington은 중소기업 보안과 규제 컨설팅 업체인 ‘고투가이(Go To Guy)’의 설립자이자 정보보안과 규제 요구 관련 사업을 하는 togoCIO.com의 대표다. dl-ciokorea@foundryco.com
