Offcanvas

검색|인터넷 / 라이프 / 보안 / 인문학|교양 / 클라우드

블로그 | 빌 게이츠의 메모 이후 20년, '여전히 신뢰 못할 컴퓨팅’

2022.01.19 Susan Bradley  |  Computerworld
마이크로소프트의 CEO 빌 게이츠가 ‘신뢰할 수 있는 컴퓨팅(Trustworthy Computing) 메모’에서 회사 제품의 보안을 강조한지 20년이 지났다. 

분명 이 포스트를 컴퓨터나 스마트폰으로 읽고 있을 것이다. 그리고 인터넷을 통해 이 사이트에 연결하고 있을 것이다. 러시아 및 북한의 해커, 틱톡(TikTok) 비디오를 보는 많은 10대들과 함께 공유하는 바로 그 인터넷을 통해서다.

그렇다면 우리를 둘러싼 환경은 과거보다 더 안전해졌을까?

지난주 패치 화요일(Patch Tuesday) 보안 업데이트의 부작용을 먼저 언급해본다. 일단 희소식이다. 액티브 디렉터리 도메인에 연결되지 않은 PC에서 중대한 부작용이 발생하지 않고 있다(그리고 필자는 집에서 하드웨어 테스트 중 버그를 발견하지 못했다). 

필자는 여전히 로컬 HP 및 브라더(Brother) 프린터로 인쇄할 수 있다. 필자는 파일을 탐색하고 액세스할 수 있다. 필자는 1월 업데이트를 설치할 준비가 되지는 않았지만 설치한다고 해도 부작용은 없을 것이라고 생각한다.

하지만 기업의 경우 이번 달의 업데이트가 혼란스럽다. 마이크로소프트는 이번 달에 신뢰할 수 있는 컴퓨팅 파트너가 아니었다. 서버는 부팅 루프에 빠지고 관리자들은 DOS 모드로 부팅하고 명령을 실행하여 업데이트를 제거해야 했다.

2022년이라는 시점에 이래도 되는 걸까?

게이츠는 20년 전에 “가용성. 우리의 제품은 항상 고객들이 필요로 할 때 제공되어야 한다. 자동 백업과 자동 복구를 지원하는 소프트웨어 아키텍처에 힘입어 시스템 고장 정지는 과거의 것이 되어야 한다. 자동 관리를 통해 거의 모든 경우에 사용자 개입 없이 서비스 재개가 가능해야 한다”라고 말했다.

하지만 필자는 여전히 컴퓨터 시스템의 업데이트를 연기하고 있다. 최신 업데이트에서 서버에 복구 문제가 있을 수 있음이 드러났기 때문이다. ‘윈도우 서버(Windows Server) 도메인 컨트롤러가 예상치 못하게 다시 시작할 수 있는’ 문제가 확인됐다. 지난주 지원되는 모든 윈도우 서버 플랫폼에 보안 패치가 적용된 후 이런 상황이 발생했다. 

마이크로소프트 문서에서 알리는 바와 같이 ESAE(Enhanced Security Admin Environment) 또는 PIM(Privileged Identity Management)이 있는 환경에서 셰도우 원칙(Shadow Principals) 활용이 포함된 마이크로소프트의 액티브 디렉터리 강화를 위한 권장 지침을 사용한 후에 이런 일이 발생한다. 

영향을 받는 시스템으로는 윈도우 서버 2022(KB5009555), 윈도우 서버 버전 20H2(KB5009543), 윈도우 서버 2019(KB5009557), 윈도우 서버 2016(KB5009546), 윈도우 서버 2012 R2(KB5009624), 윈도우 서버 2012(KB5009586) 등이 있다.  

액티브 디렉터리 보안 강화 지침(11월 보안 릴리즈 이후 작성됨)을 준수했을 지라도 PACRequestorEnforcement 값을 2로 설정한 경우 재부팅 문제가 발생할 것이라는 경고도 있었다.

가용성에 관한 문제는 클라우드 또한 무풍지대가 아니다. 예를 들어, 한 마이크로소프트 365 트위터(Twitter) 계정은 서비스의 가용성 문제에 대한 정보를 전담해 알린다. 그러나 이 계정이 서비스 문제에 대해 알리는 트윗은 거의 매주 등장하고 있다.

그렇다면 보안은 어떨까? 게이츠는 “보안. 고객을 대신하여 우리의 소프트웨어와 서비스가 저장하는 데이터를 보호하고 적절하게 사용 또는 변경해야 한다. 보안 모델은 개발자가 이해하고 애플리케이션에 적용하기가 쉬워야 한다”라고 20년 전에 말했다.

그러나 지난주의 보안 릴리즈에는 잠재적으로 웜이 발생할 수 있는 결함에 관한 혼란스러운 소식이 포함되어 있었다. 

CVE-2022-21907 형태의 https 버그가 등장했다. 아직 어떤 버전에서 취약한지 명확하지 않다. 신뢰할 수 있는 컴퓨팅에 관한 메모가 공개된 후 20년이 지났지만 우리의 보안 모델은 보안 의사소통과 마찬가지로 아직 이해하기가 어렵다.

이 밖에도 필자와 업계의 전문가들은 UEFI를 사용하는 장치에서 KB5009624를 적용한 후 가상 머신 시작이 실패하는 서버 2012R2의 하이퍼-V 서버 문제를 추적하고 있다(해당 플랫폼에서만 나타남. 서버 2012R2에서 호스팅 되는 서버가 있다면 플랫폼의 업데이트 설치를 연기하기 바란다).

또 원격 액세스를 위해 VPN(Virtual Private Network)에 의존하는 윈도우 10 워크스테이션의 사용자는 윈도우 10 또는 윈도우 11 시스템에서 VPN 액세스에 문제가 발생하는 부작용 때문에 1월 업데이트를 제거해야 한다. L2TP VPN 또는 IPsec VPN에 의존하는 경우 해당 업데이트 설치 후 VPN을 사용한 연결에 실패할 것이다.

게이츠는 다음과 같이 메모를 마무리했다.

“앞으로 우리는 기업들이 안심하고 대규모 PC 네트워크, 서버, 기타 지능형 장치를 더욱 잘 관리할 수 있도록 기술과 정책을 개발해야 한다. 시스템은 자동으로 관리하고 내재적으로 탄력성이 있어야 한다. 우리는 이제 이를 실현할 소프트웨어의 종류에 대비해야 하며, 우리는 사람들이 이를 실현하기 위해 의지할 수 있는 기업이 되어야 한다.”

지금도 20년 전과 상황이 다르지 않다. 여전히 우리 스스로 적절한 업데이트 설치 시기를 결정해야 한다. 

* Susan Bradley는 애스크우디닷컴(Askwoody.com), CSO온라인닷컴(CSOonline.com) 등에서 칼럼을 기고하는 전문 칼럼니스트다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.