전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다.
왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다.
오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어 취약점을 공격했다.
이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버 보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다.
패치 관리란 무엇인가?
패치 관리는 소프트웨어를 새로운 코드로 업데이트하는 것으로, 대부분 해커가 악용할 수 있는 취약성을 해결하는 것이지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다.
이 활동이 꽤 간단해 보이기도 하지만 대부분 IT 조직에게 패치 관리는 쉬운 일이 아니다.
복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다.
IT 거버넌스에 집중하는 국제적인 전문협회 ISACA의 이사 겸 사이버 보안 활동 전문가 프랭크 다운스는 "대형 조직 또는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가 발생할 수 있다"고 말했다.
또한 조직은 패치를 이행하는 데 필요한 시간과 자원을 확보해야 한다. 직원들은 패치 시험, 배치, 문서화를 위한 시간이 필요하며, 이런 시간은 부가가치가 더 큰 활동에 할애된 시간에서 쪼개야 한다. 직원들은 패치를 완전히 이행하기 위해 시스템을 껐다가 재부팅해야 하므로 현업의 생산성을 떨어뜨릴 수도 있다.
하지만, 패치 관리는 필수다. 가트너는 2017년 백서 패치 관리 툴에 대한 기술 통찰(Technology Insight for Patch Management Tools) 보고서에서 취약점 공격의 99%가 알려진 패치에 기초하고 있으며 그 중 상당수는 해결하는 패치가 있다고 밝혔다.
패치 관리 프로세스 단계
최근 패치되지 않은 시스템을 악용하여 헤드라인을 장식한 공격으로 인해 조직들이 서버, 엔드포인트, 데이터베이스, 애플리케이션을 더욱 잘 관리하고 더욱 신속하게 패치를 배치해야 하는 부담감이 증가했다.
가트너의 IT 서비스 자동화 연구그룹의 분석가 테런스 코스그로브는 강력한 패치 관리 프로세스를 개발하는 것이 새로운 사이버 보안 방어책을 이행하는 것만큼 흥미로워 보이지는 않겠지만 그 중요성은 여전하다고 강조했다.
코스그로브는 "패치 활동을 개선하는 것이 가장 중요한 일이라고 생각한다"며 "기본적인 것을 잘 하는 것이 중요하며, 이를 통해 위험을 감소시킬 수 있다"고 말했다.
강력한 패치 관리 프로세스에는 여러 주요 단계가 포함된다고 코스그로브, 다운스, 기타 사이버 보안 및 IT책임자들은 의견을 모았다. 그것들은 다음과 같다.
1. 패치 관리를 우선순위에 둬라. IT운영 직원들은 일반적으로 패치를 적용하지만 요구사항과 우선순위 때문에 방향을 잃게 된다고 코스그로브가 말했다. 따라서 강력한 패치 관리 규율을 수립하고 싶은 기업 리더는 이를 우선순위로 인식하고 패치 일정을 수립하며 해당 과업에 필요한 자원을 할당해야 한다.
2. 정확한 인벤토리(Inventory)를 보유하라. IT부서는 공급업체가 제공하는 어떤 패치가 필요한지 식별하기 위해 환경에 있는 모든 자산을 파악해야 한다. 프로티비티(Protiviti)의 상무 겸 해당 컨설팅업체의 글로벌 정보 보안 활동 책임자 스콧 랠리버트는 “있는지 없는지도 모르는 것을 패치할 수는 없다"고 지적했다. 특히, 대형 조직에서는 이 목표가 불가능할 수 있지만 기업 책임자는 이 목표를 지향하고 이를 위해 가능한 적은 수의 플랫폼으로 표준화해야 한다. 네트워크 맵핑과 자동화도 가능한 한 가장 잘 맞는 플랫폼을 구축하는 데 도움이 될 수 있다.
3. 테스트 절차를 수립하라. 다운은 "패치하기 전에 모든 시스템을 살펴보고 패치로 인한 피해가 없는지 확인해야 한다. 적용에 앞서 패치를 시험하고 모든 단계를 거치며 불리한 결과가 없는지 확인하라"고 말했다. 기술기업 베로딘(Verodin)의 CISO 겸 기술혁신 부사장 브라이언 콘토스는 생산 환경을 닮은 시험 연구실을 이행하는 것을 권고했다. 그는 이 접근방식에 비용과 시간이 많이 소요될 수 있지만 "생산 환경에 문제가 발생하는 것보다는 저렴하다"고 인정했다.
4. 전념하라. 현대 IT 스택의 복잡성과 함께 여러 위치뿐만이 아니라 이동식 엔드포인트에 배치되는 경우가 많은 여러 통합 포인트, 사용자 정의 장비, 부가 기능 등으로 인해 패치가 더욱 복잡해진다. "IT는 문제가 발생할 수 있다는 사실을 인정하고 이를 피하기보다는 해결하기 위해 노력해야 한다"고 랠리버트는 전했다.
5. 책임을 할당하라. 일반적인 IT부서는 책임 포트폴리오의 일환으로써 패치를 적용하는 직원들이 많다. 그 결과, 패치 관리가 여러 사람이 수행하지만 아무도 책임지지 않은 업무가 될 수 있다고 IT 및 사이버 보안 전문가들은 지적했다. 하지만 기업이 명확한 책무성 없이 강력한 패치 관리 프로세스를 수립하는 것은 어렵다. 다운은 "대형 다국적 기업이 아닌 이상 패치 관리자를 고용할 필요가 없다. 하지만 최소한 패치 관리를 공식적으로 책임지는 사람이 있어야 한다"고 이야기했다.
6. 문서화하라. 강력한 패치 관리 규율에는 문서화된 자산 인벤토리 외에 업체가 패치를 공개할 때, 기업에서 시험 및 배치 계획이 수립되었을 때, 패치가 완료되었을 때 이를 식별하고 문서화하는 방안이 포함되어야 한다. 또한 랠리버트는 패치 관리 규율에 대한 시인성을 수립하기 위해 지표와 대시보드를 개발해 경영진이 이미 취약점을 해결한 곳, 패치 없이 시스템을 운용할 수 있는 기간, 취약점이 남은 곳을 파악할 수 있어야 한다고 조언했다.
패치 관리 소프트웨어 사용하기
IT 환경이 덜 복잡한 소규모 조직은 패치 관리 툴 없이도 패치를 추적, 시험, 적용, 문서화할 수 있을 수도 있다. 일부 대형 IT 부서는 때때로 이 수준을 유지하면서 내부에서 작성한 스크립트와 수동 프로세스를 통해 일부 시스템을 패치한다.
하지만 사이버 보안 책임자들은 오늘날의 기업들이 IT환경 내에 보유한 다양한 플랫폼에 패치를 신속하고 일관되게 적용할 수 있는 패치 관리 소프트웨어에 투자해야 한다고 당부했다.
대부분 조직에서 하나의 툴로 일련의 기술에 대한 모든 패치를 취급할 수는 없다. 코스그로브에 따르면 패치 관리 툴은 더 큰 라이프사이클 관리 스위트, 이런 스위트를 강화하는 플러그인(Plug-in), 독립형 솔루션에 포함될 수 있다.
대부분 조직은 하나 이상의 유형을 배치하며 사용하는 소프트웨어 및 하드웨어 시스템, 패치를 배치하고 싶은 속도, 비즈니스 위험, 기타 요인에 기초한 필요에 가장 적합한 것을 선택한다.
패치 관리 정책
기업은 이런 단계를 따라 강력한 패치 관리 규율을 완성할 수 있다. 하지만 콘토스는 기업 IT 및 사이버 보안 임원은 매우 중요한 패치 관리 정책을 개발하고 이런 정책을 더욱 광범위한 사이버 보안 전략에 적용한다고 말했다.
콘토스는 "모두들 패치가 필요하지만 더욱 체계적이어서 계획에 따라 수행하고 생산에 앞서 평가 및 시험을 거쳐야 한다. 최근 이런 것들을 빠지면서 머리기사를 장식하는 사고가 발생했다"고 설명했다.
그는 패치 적용의 복잡성, 위험, 그리고 IT 및 보안 담당자가 책임져야 할 분야가 너무 많기 때문에 조직은 패치 문제를 체계적으로 해결하기보다는 뒤늦게 대처하는 경향이 있다고 설명했다. 하지만 그렇게 하면 패치되지 않은 시스템을 대상으로 삼는 공격과 제대로 실행하지 못한 패치로 인한 복잡성으로 인해 발생하는 위험만 가중될 뿐이다.
콘토스는 기업 책임자들이 비즈니스 위험과 조직의 전반적인 보안 입장을 고려하는 패치 관리 정책을 개발하여 패치 빈도와 일정을 잘 판단하라고 조언했다.
그는 "화려하지 않으며 모든 것이 정상일 때 아무도 내가 무엇을 했는지 모른다. 무엇인가 잘못됐을 때만 패치 관리에 신경을 쓰게 된다. 하지만 제대로 수행한 패치 관리는 시간이 지나면서 검증된다. 반사적인 반응이 아니다"고 이야기했다. ciokr@idg.co.kr