2018.04.13

'패치만 잘해줬어도…' 관리 프로세스 6단계

Mary K. Pratt | CSO

전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다.



왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다.

오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어 취약점을 공격했다.

이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버 보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다.

패치 관리란 무엇인가?
패치 관리는 소프트웨어를 새로운 코드로 업데이트하는 것으로써, 대부분 해커가 악용할 수 있는 취약성을 해결하는 것이지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다.

이 활동이 꽤 간단해 보이기도 하지만 대부분 IT조직에게 패치 관리는 쉬운 일이 아니다.

복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다.

IT거버넌스에 집중하는 국제적인 전문협회 ISACA의 이사 겸 사이버 보안 활동 전문가 프랭크 다운스는 "대형 조직 또는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가 발생할 수 있다"고 말했다.

또한 조직은 패치를 이행하는 데 필요한 시간과 자원을 확보해야 한다. 직원들은 패치 시험, 배치, 문서화를 위한 시간이 필요하며, 이런 시간은 부가가치가 더 큰 활동에 할애된 시간에서 쪼개야 한다. 직원들은 패치를 완전히 이행하기 위해 시스템을 껐다가 재부팅해야 하므로 현업의 생산성을 떨어뜨릴 수도 있다.

하지만, 패치 관리는 필수다. 가트너는 2017년 백서 패치 관리 툴에 대한 기술 통찰(Technology Insight for Patch Management Tools) 보고서에서 취약점 공격의 99%가 알려진 패치에 기초하고 있으며 그 중 상당수는 해결하는 패치가 있다고 밝혔다.

패치 관리 프로세스 단계
최근 패치되지 않은 시스템을 악용하여 헤드라인을 장식한 공격으로 인해 조직들이 서버, 엔드포인트, 데이터베이스, 애플리케이션을 더욱 잘 관리하고 더욱 신속하게 패치를 배치해야 하는 부담감이 증가했다.

가트너의 IT서비스 자동화 연구그룹의 분석가 테런스 코스그로브는 강력한 패치 관리 프로세스를 개발하는 것이 새로운 사이버 보안 방어책을 이행하는 것만큼 흥미로워 보이지는 않겠지만 그 중요성은 여전하다고 강조했다.

코스그로브는 "패치 활동을 개선하는 것이 가장 중요한 일이라고 생각한다"며 "기본적인 것을 잘 하는 것이 중요하며, 이를 통해 위험을 감소시킬 수 있다"고 말했다.

강력한 패치 관리 프로세스에는 여러 주요 단계가 포함된다고 코스그로브, 다운스, 기타 사이버 보안 및 IT책임자들은 의견을 모았다. 그것들은 다음과 같다.

1. 패치 관리를 우선순위에 놓을라. IT운영 직원들은 일반적으로 패치를 적용하지만 요구사항과 우선순위 때문에 방향을 잃게 된다고 코스그로브가 말했다. 따라서 강력한 패치 관리 규율을 수립하고 싶은 기업 리더는 이를 우선순위로 인식하고 패치 일정을 수립하며 해당 과업에 필요한 자원을 할당해야 한다.

2. 정확한 인벤토리(Inventory)를 보유하라. IT부서는 벤더가 제공하는 어떤 패치가 필요한지 식별하기 위해 환경에 있는 모든 자산을 파악해야 한다. 프로티비티(Protiviti)의 상무 겸 해당 컨설팅업체의 글로벌 정보 보안 활동 책임자 스콧 랠리버트는 “있는지 없는지도 모르는 것을 패치할 수는 없다"고 지적했다. 특히, 대형 조직에서는 이 목표가 불가능할 수 있지만 기업 책임자는 이 목표를 지향하고 이를 위해 가능한 적은 수의 플랫폼으로 표준화해야 한다. 네트워크 맵핑과 자동화도 가능한 한 가장 잘 맞는 플랫폼을 구축하는 데 도움이 될 수 있다.
 


2018.04.13

'패치만 잘해줬어도…' 관리 프로세스 6단계

Mary K. Pratt | CSO

전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다.



왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다.

오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어 취약점을 공격했다.

이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버 보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다.

패치 관리란 무엇인가?
패치 관리는 소프트웨어를 새로운 코드로 업데이트하는 것으로써, 대부분 해커가 악용할 수 있는 취약성을 해결하는 것이지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다.

이 활동이 꽤 간단해 보이기도 하지만 대부분 IT조직에게 패치 관리는 쉬운 일이 아니다.

복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다.

IT거버넌스에 집중하는 국제적인 전문협회 ISACA의 이사 겸 사이버 보안 활동 전문가 프랭크 다운스는 "대형 조직 또는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가 발생할 수 있다"고 말했다.

또한 조직은 패치를 이행하는 데 필요한 시간과 자원을 확보해야 한다. 직원들은 패치 시험, 배치, 문서화를 위한 시간이 필요하며, 이런 시간은 부가가치가 더 큰 활동에 할애된 시간에서 쪼개야 한다. 직원들은 패치를 완전히 이행하기 위해 시스템을 껐다가 재부팅해야 하므로 현업의 생산성을 떨어뜨릴 수도 있다.

하지만, 패치 관리는 필수다. 가트너는 2017년 백서 패치 관리 툴에 대한 기술 통찰(Technology Insight for Patch Management Tools) 보고서에서 취약점 공격의 99%가 알려진 패치에 기초하고 있으며 그 중 상당수는 해결하는 패치가 있다고 밝혔다.

패치 관리 프로세스 단계
최근 패치되지 않은 시스템을 악용하여 헤드라인을 장식한 공격으로 인해 조직들이 서버, 엔드포인트, 데이터베이스, 애플리케이션을 더욱 잘 관리하고 더욱 신속하게 패치를 배치해야 하는 부담감이 증가했다.

가트너의 IT서비스 자동화 연구그룹의 분석가 테런스 코스그로브는 강력한 패치 관리 프로세스를 개발하는 것이 새로운 사이버 보안 방어책을 이행하는 것만큼 흥미로워 보이지는 않겠지만 그 중요성은 여전하다고 강조했다.

코스그로브는 "패치 활동을 개선하는 것이 가장 중요한 일이라고 생각한다"며 "기본적인 것을 잘 하는 것이 중요하며, 이를 통해 위험을 감소시킬 수 있다"고 말했다.

강력한 패치 관리 프로세스에는 여러 주요 단계가 포함된다고 코스그로브, 다운스, 기타 사이버 보안 및 IT책임자들은 의견을 모았다. 그것들은 다음과 같다.

1. 패치 관리를 우선순위에 놓을라. IT운영 직원들은 일반적으로 패치를 적용하지만 요구사항과 우선순위 때문에 방향을 잃게 된다고 코스그로브가 말했다. 따라서 강력한 패치 관리 규율을 수립하고 싶은 기업 리더는 이를 우선순위로 인식하고 패치 일정을 수립하며 해당 과업에 필요한 자원을 할당해야 한다.

2. 정확한 인벤토리(Inventory)를 보유하라. IT부서는 벤더가 제공하는 어떤 패치가 필요한지 식별하기 위해 환경에 있는 모든 자산을 파악해야 한다. 프로티비티(Protiviti)의 상무 겸 해당 컨설팅업체의 글로벌 정보 보안 활동 책임자 스콧 랠리버트는 “있는지 없는지도 모르는 것을 패치할 수는 없다"고 지적했다. 특히, 대형 조직에서는 이 목표가 불가능할 수 있지만 기업 책임자는 이 목표를 지향하고 이를 위해 가능한 적은 수의 플랫폼으로 표준화해야 한다. 네트워크 맵핑과 자동화도 가능한 한 가장 잘 맞는 플랫폼을 구축하는 데 도움이 될 수 있다.
 


X