패치 관리는 취약점을 해결하고자 간단히 소프트웨어를 업데이트하는 것이다. 단순할 것처럼 들리지만 실제로 대부분 IT조직에서 패치 관리는 쉬운 프
전 세계 사이버보안 관계자들이 지난 20년 동안 제조된 대부분의 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터 및 멜트다운과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 부각되고 있다.
왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다.
오늘의 상황은 워너크라이와 페트야 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어의 취약점을 공격했다.
이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다.
패치 관리란 무엇인가?
소프트웨어를 새로운 코드로 업데이트하는 패치 관리는, 대부분 해커가 악용할 수 있는 취약성을 해결해 주지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다.
이 활동이 꽤 간단해 보이기도 하지만 대부분의 IT 조직에게 패치 관리는 쉬운 일이 아니다.
복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다.
IT 거버넌스에 집중하는 국제적인 전문 협회 ISACA의 이사 겸 사이버보안 활동 전문가 프랭크 다운스는 “대형 조직 도는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가 발생할 수 있다”고 말했다.
또한 조직은 패치를 이행하기 위해 필요한 시간과 자원을 확보해야 한다. 직원들은 패치 시험, 배치, 문서화를 위한 시간이 필요하며, 이런 시간은 부가가치가 더 큰 활동에 할애된 시간에서 쪼개야 한다. 직원들은 패치를 완전히 이행하기 위해 시스템을 껐다가 재부팅해야 하기 때문에 비즈니스 부문의 다른 사람들이 생산성을 잃을 수도 있다.
한편, 패치 관리는 필수적이다. 정보 기술 조사 및 자문 기업 가트너는 2017년 백서 패치 관리 툴에 대한 기술 통찰(Technology Insight for Patch Management Tools) 보고서에서 취약점 공격의 99%가 알려진 패치에 기초하고 있으며 그중 상당수는 해결하는 패치가 있다고 밝혔다.
패치 관리 프로세스의 단계
최근 패치되지 않은 시스템을 악용하여 헤드라인을 장식한 공격으로 인해 조직들이 서버, 엔드포인트, 데이터베이스, 애플리케이션을 더욱 잘 관리하고 더욱 신속하게 패치를 배치해야 하는 부담감이 증가했다.
가트너의 IT 서비스 자동화 연구 그룹의 애널리스트 테런스 코스그로브에 따르면, 강력한 패치 관리 프로세스를 개발하는 것이 새로운 사이버보안 방어책을 이행하는 것만큼 흥미로워 보이지는 않겠지만 그 중요성은 여전하다.
그는 “패치 활동을 개선하는 것이 가장 중요한 일이라고 생각한다”며 “기본적인 것을 잘하는 것이 중요하며, 이를 통해 위험을 감소시킬 수 있다”고 말했다.
강력한 패치 관리 프로세스에는 여러 주요 단계가 포함된다고 코스그로브, 다운스, 기타 사이버보안 및 IT 책임자들은 이야기했다. 그것들은 다음과 같다.
1. 패치 관리에 우선순위화를 정하라. 코스그로브에 따르면, IT운영 직원들은 일반적으로 패치를 적용하지만 요구사항과 우선순위 때문에 갈팡질팡하게 된다. 따라서 강력한 패치 관리 규율을 수립하고 싶은 기업 리더는 이를 우선순위로 인식하고 패치 일정을 수립하며 해당 과업에 필요한 자원을 할당해야 한다.
2. 정확한 인벤토리를 보유하라. IT부서는 SW업체가 제공하는 어떤 패치가 필요한지 파악하기 위해 IT환경의 모든 자산을 파악해야 한다. 프로티비티(Protiviti)의 상무이사 겸 해당 컨설팅 기업의 글로벌 정보보안 활동 책임자 스콧 랠리버트는 “가졌는지도 모르는 것을 패치할 수는 없다”고 지적했다. 특히, 대형 조직에서는 이 목표가 불가능할 수 있지만 기업 책임자는 이 목표를 지향하고 이를 위해 가능한 적은 수의 플랫폼으로 표준화해야 한다. 네트워크 맵핑과 자동화도 가능한 가장 정확한 플랫폼을 구축하는 데 도움이 될 수 있다.
3. 테스팅 절차를 수립하라. 다운스는 “패치하기 전에 모든 시스템을 살펴보고 패치로 인한 피해가 없는지 확인해야 한다. 적용에 앞서 패치를 시험하고 모든 단계를 거치며 불리한 결과가 없는지 확인하라”고 당부했다. 기술 기업 베로딘(Verodin)의 CISO 겸 기술 혁신 부사장 브라이언 콘토스는 생산 환경을 닮은 시험 연구실을 이행하는 것을 권고했다. 그는 이 접근방식에 비용과 시간이 많이 소요될 수 있지만 “생산 환경에 문제가 발생하는 것보다는 저렴하다”고 인정했다.
4. 전력을 다하라. 현대 IT스택의 복잡성과 함께 여러 위치뿐 아니라 이동식 엔드포인트에 배치되는 경우가 많은 여러 통합 포인트, 사용자 정의 장비, 부가 기능 등으로 인해 패치가 더욱 복잡해진다. 랠리버트는 “문제가 발생할 수 있다는 사실을 IT가 인정하고 이를 피하기보다는 해결하기 위해 노력해야 한다”고 강조했다.
5. 책임을 할당하라. 일반적인 IT부서는 책임 포트폴리오의 일환으로써 패치를 적용하는 직원들이 많다. 그 결과, 패치 관리는 여러 사람이 수행하지만 아무도 소유하지 않은 과업이 될 수 있다고 IT 및 사이버보안 전문가들은 말했다. 하지만 기업이 명확한 책무성 없이 강력한 패치 관리 프로세스를 수립하는 것은 어렵다. 다운스는 “대형 다국적 기업이 아닌 이상 패치 관리자를 고용할 필요가 없다. 하지만 최소한 패치 관리를 공식적으로 책임지는 사람이 있어야 한다”고 강조했다.
6. 문서로 정리하라. 강력한 패치 관리 규율에는 문서화된 자산 인벤토리 외에 벤더가 패치를 공개할 때, 기업에서 시험 및 배치 계획이 수립되었을 때, 패치가 완료되었을 때 이를 식별하고 문서화하는 수단이 포함되어야 한다. 또한 랠리버트는 패치 관리 규율에 대한 시인성을 수립하기 위해 지표와 대시보드를 개발하여 경영진이 이미 취약성을 해결한 곳, 패치 없이 시스템을 운용할 수 있는 기간, 취약성이 남은 곳을 파악할 수 있어야 한다고 조언했다.
패치 관리 소프트웨어 사용하기
IT 환경이 덜 복잡한 소규모 조직은 패치 관리 툴 없이도 패치를 추적, 시험, 적용, 문서화할 수 있을 수도 있다. 일부 대형 IT부서는 때때로 이 수준을 지속하면서 내부에서 작성한 스크립트와 수동 프로세스를 통해 일부 시스템을 패치한다.
하지만 사이버보안 책임자들은 오늘날의 기업들이 IT 환경 내에 보유한 다양한 플랫폼에 패치를 신속하고 일관되게 적용할 수 있는 패치 관리 소프트웨어에 투자해야 한다고 말했다.
대부분의 조직에서 하나의 툴로 일련의 기술에 대한 모든 패치를 취급할 수는 없다. 코스그로브에 따르면 패치 관리 툴은 더 큰 라이프사이클 관리 스위트, 이런 스위트를 강화하는 플러그인, 단독형 솔루션에 포함될 수 있다.
대부분의 조직은 하나 이상의 유형을 배치하며 사용하는 소프트웨어 및 하드웨어 시스템, 패치를 배치하고 싶은 속도, 비즈니스 위험, 기타 요인에 기초한 필요에 가장 적합한 것을 선택한다.
패치 관리 정책
기업은 이런 단계를 따라 강력한 패치 관리 규율을 완성할 수 있다.
하지만 기업 IT 및 사이버보안 임원은 매우 중요한 패치 관리 정책을 개발하고 이런 정책을 더욱 광범위한 사이버보안 전략에 적용한다고 콘토스는 전했다.
그는 “모두들 패치가 필요하지만 더욱 체계적이어서 계획에 따라 수행하고 생산에 앞서 평가 및 시험을 거쳐야 한다. 최근 이런 것들을 누락하면서 헤드라인을 장식하는 이벤트들이 발생했다”고 이야기했다.
패치 적용의 복잡성과 위험 때문에 그리고 IT 및 보안 인력들은 다른 책임이 너무 크기 때문에 조직은 패치 문제를 체계적으로 해결하는 대신에 뒤늦게 대처하는 경향이 있다고 그가 설명했다. 하지만 그렇게 하면 패치되지 않은 시스템을 대상으로 삼는 공격과 제대로 실행하지 못한 패치로 인한 복잡성으로 인해 발생하는 위험만 가중될 뿐이다.
콘토스는 기업 책임자들이 비즈니스 위험과 조직의 전반적인 보안 입장을 고려하는 패치 관리 정책을 개발하여 패치 빈도와 일정을 잘 판단하라고 조언했다.
그는 “화려하지 않으며 모든 것이 정상일 때 아무도 내가 무엇을 했는지 모른다. 무엇인가 잘못된 경우에만 패치 관리에 신경을 쓰게 된다. 하지만 제대로 수행한 패치 관리는 시간이 지나면서 검증된다. 반사적인 반응이 아니다”고 말했다. dl-ciokorea@foundryco.com
