How To : 윈도우 10 1903과 1090 보안 업데이트 관리 방법

CSO
윈도우 10 1909 출시와 함께 마이크로소프트는 SCCM(System Center Configuration Manager, ConfigMgr)과 인튠(Intune) 모바일 관리 서비스를 마이크로소프트 엔드포인트 매니저(Endpoint Manager)라는 이름으로 통합한다고 밝혔다. 윈도우 10에서 업데이트를 관리하는 방법과 이를 위해 무엇을 사용하는지 재검토할 시기다. 



윈도우 10을 사용하려는 기업은 언제 어떻게 업데이트를 설치해야 할지에 대해 WSUS(Windows Software Update Services)를 사용할지 아니면 비즈니스용 윈도우 업데이트 설정(일련의 그룹 정책 설정)에 의존해야 할지를 결정해야 한다. 

오피스 2019는 간편 실행(Click-to-Run) 기술을 사용하므로 오피스 업데이트를 관리할 필요가 줄어든다. 따라서 오피스 업데이트는 윈도우 업데이트와 다르게 배포된다. 실제로 대부분의 사용자는 오피스 업데이트 설치를 보는 대신 필요에 따라 오피스를 닫았다가 다시 열라는 메시지가 안내된다. 

그러나 윈도우 10은 아직 업데이트 관리가 필요하다. 대부분의 신중한 기업은 여전히 테스트베드를 구축하고 수용 가능하다고 판단된 후에 업데이트를 배포한다. 일주일 정도 기다리면 일반적으로 주요 문제가 식별된다. 

영국 국립사이버보안센터(National Cyber Security Centre, NCSC)의 최근 블로그 포스팅이 필자의 주의를 끌었다. 윈도우 10 업데이트 관리를 어떻게 하는지 자세히 소개돼 있다. WSUS는 포함되지 않았다. 전통적인 워크스테이션/도메인 인프라가 없으므로 WSUS를 선택할 수 없었다.

NCSC는 윈도우 인사이더(Windows Insider) 공개 베타 테스트 프로그램에서 참여자의 소그룹을 구성하도록 선택했다. 인사이더 프로그램에 참여하면 기능 업데이트 변경에 대한 통찰력이 제공되지만, 보안 업데이트의 영향을 보여주지 못할 수 있다.

비즈니스용 윈도우 업데이트 설정에서는 품질 업데이트(quality updates)라고 하는 보안 사항을 30일까지 연기하도록 워크스테이션을 설정할 수 있다. 업데이트를 설치하지 않고 최대 35일까지 일시 중지할 수도 있다. 이를 통해 (테스트에 참여한) 컴퓨터 소그룹에 품질 또는 보안 업데이트를 먼저 설치해 부작용이 없는지 확인할 수 있다. 일정 시기가 지나도 문제가 없다면 회사의 나머지 컴퓨터에도 업데이트가 자동 설치되도록 할 수 있다. 


윈도우 10 업데이트 관리 설정

이런 방식으로 업데이트 관리를 위한 많은 주요 기능이 시간이 지남에 따라 발전했다. 윈도우 업데이트 1903은 윈도우 업데이트 설정만으로 업데이트를 관리할 수 있는 기능이 뛰어나다. GP서치(GPsearch) 웹사이트를 참조해 그룹 정책으로 관리할 수 있거나, 인튠 또는 엔드포인트 매니저를 통해 푸시된 레지스트리 설정으로 관리할 수 있는 윈도우 업데이트 설정을 볼 수 있다. 

권장하는 그룹 정책 설정은 다음과 같다. 
윈도우 구성요소 > 윈도우 업데이트 > 비즈니스용 윈도우 업데이트에서 업데이트 연기를 선택한다. 기업은 업데이트를 설치하지 않아 발생하는 위험과 업데이트로 인한 부작용의 위험에 대해 균형을 유지해야 한다. 업데이트가 야기한 문제가 있는지 윈도우 10 출시 정보에서 수시로 확인해야 한다. 업데이트를 설치해도 괜찮다고 판단하면, 업데이트 일시 중지를 변경하면 된다. 
 
ⓒ Susan Bradley

(비즈니스 관리자 용 윈도우 업데이트는 업데이트를 연기하거나 일시 중지하고 빌드를 미리 볼 수 있다. 최대 365일간의 기능 업데이트를 연기할 수 있다. 지정한 시작 날짜로부터 최대 35일간의 기능 또는 품질 업데이트를 일시 중지할 수 있다. 편집자 주)

- 기능 업데이트 지연 또는 일시 중지: 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Windows 업데이트 > 비즈니스용 Windows 업데이트 > Preview 빌드 및 기능 업데이트 수신 시점 선택
- 품질 업데이트 지연 또는 일시 중지: 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Windows 업데이트 > 비즈니스용 Windows 업데이트 > 품질 업데이트 수신 시기 선택

다음으로, 컴퓨터 사용 시간을 설정해 이 시간을 피해서 컴퓨터가 재부팅 되도록 한다. “자동 재시작을 위한 사용 시간 범위 지정”을 찾는다. 1709 그룹 정책/레지스트리 설정이 출시되면서, 업데이트를 설치 시기를 ‘일주일’ 단위로도 지정할 수 있게 되었다. 다음의 불리언(Boolean) ID가 정책 설정에 추가됐다. 

“매주": <boolean id="AutoUpdateSchEveryWeek" valueName="ScheduledInstallEveryWeek" />
"매월 첫 주": <boolean id="AutoUpdateSchFirstWeek" valueName="ScheduledInstallFirstWeek" />
"매월 둘째 주": <boolean id="AutoUpdateSchSecondWeek" valueName="ScheduledInstallSecondWeek" />
"매월 셋째 주": <boolean id="AutoUpdateSchThirdWeek" valueName="ScheduledInstallThirdWeek" />
"매월 넷째 주": <boolean id="AutoUpdateSchFourthWeek" valueName="ScheduledInstallFourthWeek" />


NSCS는 또한 윈도우 10이 출시될 때 펌웨어를 업데이트할 방법을 아는 것이 중요하다고 말했다. SCCM을 사용하는 동안, 공급업체의 자체 모니터링 소프트웨어를 포함한 여러 도구가 펌웨어 및 드라이버 업데이트가 필요한 시기를 알릴 수 있다. 


마이크로소프트 보안 업데이트 유효성 검사 프로그램

마지막으로 가장 중요한 것은, 마이크로소프트는 SUVP(Security Update Validation Program)라는 프로그램을 통해 보안 업데이트를 외부에서 검증한다. 마이크로소프트의 기술지원 담당자(Technical Account Manager, TAM)가 자사를 검증 프로그램에 추천할 수 있다. SUVP 프로그램을 통해 업데이트 출시 전에, 신뢰할 수 있는 고객이 비공개 계약에 따라 보안 업데이트를 테스트 할 수 있다. 매월 둘째 주 화요일 업데이트는 이 마이크로소프트의 여러 고객사가 비공개로 테스트해 주요 부작용이 없는지 확인한 것이다. 

업데이트는 실제 사용자가 사용하는 컴퓨터에서 가장 잘 테스트된다. 회사에서 사용하는 주요 소프트웨어에 대한 문제를 경고할 수 있을 만큼 충분한 관련 지식이 있는 사용자를 선택해야 한다. 업데이트 부작용에 대한 문제는 다른 잠재적인 재난을 다루는 것과 다르지 않다는 것을 기억하자. 워크스테이션을 빠르고 쉽게 복구할 수 있는 백업이나 미디어가 있는지 확인한다. 패치관련 문제를 추적 대응할 수 있도록 설정된 공간을 마련해야 한다. 

윈도우 10 및 관련된 다양한 기능을 사용할 때, 윈도우 7과 동일한 윈도우 업데이트 설정만 사용하면 안된다. 올바른 정책과 설정을 재검토할 시기다. editor@itworld.co.kr