[보안칼럼]중앙 보안패치, IT관리의 시작이다

연말연시, 들뜬 분위기 속에 보안수칙을 잘 지키는 것만으로도 각종 사이버 위협을 잘 넘길 수 있다. 여러 보안수칙 중 가장 먼저 해야 할 일은 무엇일까? 바로 ‘운용체계 및 주요 소프트웨어 보안패치 설치’다. 보안공격에 활용될 가능성이 높은 취약점을 가장 빨리 해결할 수 있는 보안패치 설치는 그 중요성을 아무리 강조해도 지나치지 않다.

하지만 최근 당연히 해야 하는 보안패치로 인한 서비스 장애가 심심찮게 터진다.

PC 사용자 중 절대 다수가 사용하고 있는 마이크로소프트(MS) 보안패치로 인해 시스템 부팅이 불가능한 상태에 빠지는 사례가 종종 발생하고 있다. 사용 중인 주요 프로그램과 충돌로 인해 PC를 작동 불능상태에 빠뜨리는 상황으로, 이런 장애가 터지면 기업 IT 관리자에게는 엄청난 사고가 아닐 수 없다. 보안을 위해 설치한 패치가 업무를 마비시키는 장애가 되는 원인은 기존 사용하고 있는 프로그램들과의 충돌 여부가 확인되지 않은 보안패치가 운용체계에 의해 자동으로 설치되는 데 있다.

여러 가지 프로그램을 PC에 설치해 사용하고 있는 기업에서 사용자의 PC에 적용되는 보안패치를 검증하지 않고 즉시 배포하는 것은 업무 연속성을 유지하는 데 위협으로 작용할 수 있기 때문이다. 보안을 위해서 꼭 해야 하지만 업무 연속성을 위해선 망설여지는 보안패치, 안 할 수는 없기에 IT 관리자를 고민에 빠뜨린다.

이를 막기 위해서 우선, 기업 내 사용자 PC에 적용되는 패치는 IT관리자에 의해 통제돼야 한다. 네트워크 접근제어(NAC), PC 자산관리 솔루션, 패치 관리 솔루션 등이 이런 기능을 제공한다. 새로 발표된 보안패치에 대해 관리자가 회사에 구축된 표준 테스트시스템에 먼저 적용해 사내에서 사용되는 주요 프로그램이나 시스템과의 충돌여부를 검증한 뒤 문제가 없으면 사용자 PC에 설치를 승인하는 ‘관리자 승인 기반 보안패치’가 이뤄지도록 하는 것이다. 이를 위해 사용자의 PC에서 윈도 자동업데이트 대신 네트워크 접근제어 솔루션 등이 제공하는 ‘윈도 업데이트 에이전트(WUA) API’를 통해 업데이트 관리를 하면 된다.

사용자 PC에서 윈도 보안패치를 수행할 때 관리자가 승인한 패치에 대해서만 설치되도록 목록을 전달해 관리자가 인가하지 않은 패치는 설치되지 않도록 해준다. 이는 문제 있는 보안패치뿐 아니라 인터넷 익스플로러 최신버전, 서비스팩 등 사내 IT 인프라와의 호환성이 검증되지 않은 일반 업데이트에도 적용할 수 있다. 기업에서는 다양한 형태의 패치 옵션을 활용해 패치 관리하는 것이 필요하다.

관리자 승인기반 보안패치는 매번 보안패치가 나올 때마다 관리자가 수동으로 검증하고 승인하는 작업이 필요하기 때문에 다소 번거로운 과정이 될 수 있다. 그러나 안정적으로 보안패치를 적용하기 위해 가장 적합한 방법임에는 틀림없다. 상대적으로 편리한 방법으로는 보안패치가 발표되고 2~3일 이후에 패치가 자동 승인되도록 하는 방법이 있다. 자동 승인 이후에도 언론이나 사용자 커뮤니티를 통해 패치의 안정성에 대한 문제가 확인되면 바로 승인을 해제하는 기능을 통해 사후대응도 가능하다.

운용체계에서 기본적으로 제공하는 보안패치 기능은 PC를 사용 중인 개인이 패치를 판단하고 설치 결과를 책임지도록 돼 있다. 그러나 기업 IT환경에서는 보안, 업무 효율성을 위해 관리자가 배포한 프로그램이 보안패치로 인해 호환성 문제가 발생할 수 있기 때문에 개인사용자의 판단에만 맡겨둘 수 없다.

한 해를 마무리하며, 혼란한 틈을 타 운용체계와 프로그램의 취약점을 파고드는 공격자들에 대응하기 위해 다양한 긴급 보안패치들이 배포될 것이다. 이러한 보안패치를 안정적으로 사용하기 위해 중앙 패치관리 기능은 필수 시스템이다.

IT환경의 복잡도가 증가하는 것과 비례해 관리 포인트 역시 증가하고 있으며 이 가운데에도 네트워크의 안정성, 업무의 연속성은 놓쳐서는 안 될 IT관리의 핵심 요소다. IT 관리자에 의해 보안, 효율성, 안정성을 고려한 체계적이고 통합적인 관리가 이뤄지지 못한다면 안정적인 IT 인프라 운영은 먼 나라 이야기일 뿐이다.

김계연 지니네트웍스 CTO brian@geninetworks.com