보안 패치 담당자가 업데이트 시점을 정하고 패치가 기업에 미치는 영향을 파악하기가 점점 어려워지고 있다. ZDI 제로 데이 이니셔티브(ZDI Zero Day Initiative)의 더스틴 차일즈와 트렌드 마이크로(Trend Micro)는 최근 블랙 햇(Black Hat) 보안 컨퍼런스에서 이 문제, 패치 품질이 개선되지 않고 오히려 악화하는 문제를 조명했다. 오늘날에는 제대로 수정되지 않은 버그 또는 처음에 패치했어야 하는 변종 버그를 다시 패치하는 경우가 다반사다.   또한 차일즈는 패치 여부 판단을 도와주는 공통 취약점 등급 시스템(Common Vulnerability Scoring System, CVSS)에 솔루션 업체들이 쓸 만한 정보를 제공하지 않는 점도 지적했다. 또한 솔루션 업체들은 쉽게 악용할 수 없는 버그에도 CVSS 위험 등급을 높이 부여하기도 한다. 특정 업데이트를 즉시 적용하지 않을 때 발생하는 위험을 더 정확히 이해하기 위해서는 버그의 세부 정보를 더 자세히 살펴봐야 하지만, 솔루션 업체들은 버그 정보에 모호함을 더해 위험을 이해하기 어렵게 만들고 있다. 실제 위험을 반영하지 않는 CVSS CVSS는 컴퓨터 시스템 보안 취약점의 심각도를 평가하는 데 도움이 되기 위해 만들어진 업계 표준이다. 가장 심각한 등급이 10이며 패치에 부여되는 CVSS가 높을수록 더 시급히 해당 패치를 적용해야 한다는 의미다. 그러나 여러 상황과 부가적인 위험 요소를 평가해 보면 실제로는 CVSS에 부여된 등급 정도까지 심각한 것은 아닐 수 있다. 더 좋지 않은 상황은 CVSS가 특정한 조직에만 해당하는 부가적인 위험 요소를 반영하지 않은 탓에 등급보다 실제 위험이 더 큰 경우다. 예를 들어, 마이크로소프트의 8월 보안 업데이트에 포함된 CVE-2022-34715는 윈도우 네트워크 파일 시스템(Windows Network File System)의 원격 코드 실행 취약점을 수정한다. CVSS 등급은 9.8로, 긴급 우려 사항에 해당한다. 그러나 버...

2022.08.29

마이크로소프트가 ‘도그워크(DogWalk)’ 취약점을 수정한 패치를 릴리즈했다. 이 취약점은 2년 전 처음 발견됐지만 당시 회사 측은 이를 보안 문제로 분류하지 않았다.  이후 마이크로소프트는 위협 행위자가 이 제로데이 보안 취약점을 활발하게 악용하고 있다는 사실을 확인했으며, 이에 모든 윈도우 및 윈도우 서버 사용자에게 가능한 한 빨리 최신 월간 패치 튜즈데이(Patch Tuesday) 업데이트를 받으라고 권고했다.    ‘CVE-2022-34713’ 또는 ‘도그워크(DogWalk)’라고 알려진 해당 취약점을 통해 위협 행위자는 윈도우 MSDT(Microsoft Support Diagnostic Tool)의 취약점을 악용할 수 있다. 공격자는 소셜 엔지니어링 및 피싱을 활용해 사용자를 속여 가짜 웹사이트를 방문하거나 악성 문서/파일을 열게 하고, 최종적으로 손상된 시스템에서 원격 코드를 실행할 수 있다.  도그워크는 최신 클라이언트 및 서버 릴리즈(윈도우 11 및 윈도우 서버 2022)를 포함하여 지원되는 모든 윈도우 버전에 영향을 미친다고 회사 측은 언급했다.  한편 이 취약점은 지난 2020년 1월 처음 보고됐지만 당시 마이크로소프트는 이를 보안 문제로 간주하지 않았다. 최근 몇 달 동안 이 회사에서 이미 발견된 취약점에 관한 기존 입장을 번복한 것은 이번이 두 번째인데, 앞서 폴리나(Follina)로 알려진 또 다른 윈도우 MSDT 제로데이가 보안 위협을 제기한다는 보고도 처음에는 보안 문제로 간주하지 않았다. 해당 취약점 패치는 지난 6월 패치 튜즈데이 업데이트에서 릴리즈됐다.  오렌지 사이버디펜스(Orange Cyberdefense)의 보안 연구 책임자 샤를 반 데어 월트는 “겉보기엔 무해한 확장자를 가진 파일이 악성 페이로드를 전달하는 데 얼마나 자주 그리고 쉽게 사용되는지 감안하지 못한 점은 마이크로소프트가 비난받아 마땅하지만 한편으론 매년 수천 개의 취약점이 보고되고 있기 때문에 ...

2022.08.11

태니엄이 패치 괸리를 향상시키는 방안을 제시했다. 보안 관리 취약점을 타개하기 위한 패치 관리 방안으로 ▲기업 자산에 누락된 수 십만 개의 패치 파악 ▲평균 패치 적용 시간 단축 및 패치 윈도우 단축 ▲99% 패치 가시성 및 커버리지 생성 및 유지 ▲위치와 무관하게 자산을 찾아내 패치 적용 ▲실시간으로 자산 스캔 및 패치 상태 정의 ▲몇 분 안에 모든 엔드포인트에 대규모 패치 적용 ▲하나의 플랫폼에서 모든 패치 관리 활동 수행 ▲종단간 패치 관리 역량 간소화 ▲수 십만 개의 서버 필요성 제거 ▲새로운 기능을 몇 시간 또는 며칠 안에 구동을 꼽았다.  태니엄 코리아의 박주일 지사장은 “보안 위협을 제거하고 예방하는 사전대책인 패치 관리 솔루션(PMS)은 이미 많은 기업에서 필수로 구축하고 있지만 전통적인 도구들은 제한된 범위에서 느린 속도와 수동적인 기능만 제공하고 있다”라며 “이는 곧 빠르게 진화하는 사이버 공격에 무방비 상태로 노출돼 있다는 것을 의미한다”라고 말했다.  전통적인 도구를 활용할 경우, 어쩔 수 없이 많은 패치의 적용 지연 또는 완전히 건너뛰며, 그 중 일부 패치는 전혀 적용되지 않는다. 이렇게 누락된 패치는 시간에 따라 누적되며, 모든 자산에 대해 핵심적인 패치가 다수 누락되는 엔드포인트 환경이 조성된다. 사용자들은 자신의 환경에서 누락된 패치 수 십만 개를 찾아내고 수정할 수 있는 최신 솔루션 구축을 고민해야 한다.   기존 도구를 사용하면 모든 패치를 배포하기 위해 상당한 시간과 노력을 쏟아야 하며, 패치를 적용하는데 걸리는 평균 기간은 102일 소요된다고 업체 측은 설명했다. 일반적으로 배포 후 몇 시간 안에, 새로운 핵심 패치는 릴리즈 이후 며칠 이내에 제로데이 패치를 적용할 수 있는 솔루션이 필요하다. 네트워크에 부담을 주지 않고 엣지 컴퓨팅을 활용해 무수히 많은 분산된 자산들에 대규모 패치를 적용하고, 클라우드에서 원격에 있는 자산에 패치를 적용해 네트워크에 미치는 영향을 최소화해야 한다....

2022.03.07

태니엄이 최근 발표된 리눅스 폴킷(polkit) 취약점과 관련해 태니엄 패치(Patch) 및 컴플라이(Comply) 모듈의 자동화 기능을 활용하면 실시간으로 취약한 단말을 평가하고 파악할 수 있다고 밝혔다. 아울러 패치를 통해 위협에도 효과적으로 대응할 수 있다고 덧붙였다. 지난 1월 25일 리눅스 폴킷의 권한 상승 관련 취약점(CVE-2021-4034)이 공개됐다. 폴킷은 고위험군으로 분류되는 CVSS(Common Vulnerability Scoring System) 7.8을 기록한 취약점으로 2009년부터 거의 모든 리눅스 배포판에 노출돼 있는 것으로 보고됐다. 이번 취약점의 가장 중요한 실행 파일인 pkexec는 권한 없는 사용자가 미리 정의된 정책에 따라 자격을 갖춘 사용자 계정으로 명령을 실행할 수 있도록 설계된 setuid 도구다. 공격자는 pkexec의 임의 코드 실행 유도 방식으로 환경 변수를 조작해 이를 활용할 수 있으며, 공격이 성공할 경우 시스템에서 루트권한으로 사용자 계정 생성, 소프트웨어 설치, 환경 및 설정 변경, 시스템 동작 감시 및 제어 등 핵심적인 제어 업무를 수행할 수 있다. 태니엄은 이번 취약점과 관련해 태니엄 패치 및 컴플라이의 자동화된 기능을 활용해 취약한 단말 평가와 즉시 파악 및 패치를 지원한다. 또 즉시 패치 적용이 불가능한 경우 위험 완화를 적용해 취약한 pkexec 버전 사용 권한 확인에 활용할 수 있는 커스텀 센서(Sensor) 및 패키지(Package)를 제공한다. 태니엄은 취약점 관련 실시간 헌팅으로 현황을 파악하고, 신속하게 패치하며, 추가 취약점 점검을 통해 통계 및 결과를 연계하는 일련의 과정을 하나의 플랫폼에서 제공한다. 회사에 따르면 태니엄 컴플라이는 취약한 리눅스 단말에 대해 확인할 수 있는 자동 리포트를 생성해줌으로서 관리자가 취약한 단말에 대한 지속적인 가시성을 확보할 수 있도록 도와준다. 아울러 앞서 설명한 태니엄에서 제공하는 커스텀 센서를 통해 태니엄의 기본 기능만으로도 해당...

2022.02.14

사용 중인 SSD에서 알 수 없는 속도 저하 현상이 여전히 발생하고 있다면 윈도우 11 업데이트 KB5008353에 주목할 필요가 있다.  윈도우 11의 성가신 SSD 버그가 마침내 수정될 전망이다. 작년 윈도우 11 사용자 일부에서 이유를 알기 어려운 SSD 속도 저하 현상이 나타났다. 특히 특정 NVMe SSD 드라이브에서 유독 쓰기 속도가 느려지는 문제가 빈번했다. 마이크로소프트는 작년 배포한 KB5007262 패치에서 해당 문제를 해결했다고 주장했던 바 있다.  그러나 문제가 완전히 해결됐는지 불확실했던 가운데 마이크로소프트가 또 다른 패치인 KB5008353를 오는 8일 발표되며, 이 패치가 문제를 해결하는 것으로 관측된다고 윈도우 레이티스트(Windows Latest)가 전했다.  이 미디어에 따르면 이 패치는 SSD가 여전히 정상 성능을 회복하지 못한 몇 가지 작은 이상값을 처리하는 것으로 확인됐다. 단 이 업데이트는 문제가 발견되지 않은 경우 설치할 필요가 없는 선택적 업데이트다.  한편 마이크로소프트는 2월 중 작업 표시줄을 일부 개선하고 안드로이드 앱 구동 기능을 내장한 피처 업데이트를 공개할 예정이다. ciokr@idg.co.kr

2022.02.03

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

2022.01.24

마이크로소프트의 CEO 빌 게이츠가 ‘신뢰할 수 있는 컴퓨팅(Trustworthy Computing) 메모’에서 회사 제품의 보안을 강조한지 20년이 지났다.  분명 이 포스트를 컴퓨터나 스마트폰으로 읽고 있을 것이다. 그리고 인터넷을 통해 이 사이트에 연결하고 있을 것이다. 러시아 및 북한의 해커, 틱톡(TikTok) 비디오를 보는 많은 10대들과 함께 공유하는 바로 그 인터넷을 통해서다. 그렇다면 우리를 둘러싼 환경은 과거보다 더 안전해졌을까? 지난주 패치 화요일(Patch Tuesday) 보안 업데이트의 부작용을 먼저 언급해본다. 일단 희소식이다. 액티브 디렉터리 도메인에 연결되지 않은 PC에서 중대한 부작용이 발생하지 않고 있다(그리고 필자는 집에서 하드웨어 테스트 중 버그를 발견하지 못했다).  필자는 여전히 로컬 HP 및 브라더(Brother) 프린터로 인쇄할 수 있다. 필자는 파일을 탐색하고 액세스할 수 있다. 필자는 1월 업데이트를 설치할 준비가 되지는 않았지만 설치한다고 해도 부작용은 없을 것이라고 생각한다. 하지만 기업의 경우 이번 달의 업데이트가 혼란스럽다. 마이크로소프트는 이번 달에 신뢰할 수 있는 컴퓨팅 파트너가 아니었다. 서버는 부팅 루프에 빠지고 관리자들은 DOS 모드로 부팅하고 명령을 실행하여 업데이트를 제거해야 했다. 2022년이라는 시점에 이래도 되는 걸까? 게이츠는 20년 전에 “가용성. 우리의 제품은 항상 고객들이 필요로 할 때 제공되어야 한다. 자동 백업과 자동 복구를 지원하는 소프트웨어 아키텍처에 힘입어 시스템 고장 정지는 과거의 것이 되어야 한다. 자동 관리를 통해 거의 모든 경우에 사용자 개입 없이 서비스 재개가 가능해야 한다”라고 말했다. 하지만 필자는 여전히 컴퓨터 시스템의 업데이트를 연기하고 있다. 최신 업데이트에서 서버에 복구 문제가 있을 수 있음이 드러났기 때문이다. ‘윈도우 서버(Windows Server) 도메인 컨트롤러가 예상치 못하게 다시 시작할 수 있는’ 문제가 확인됐...

2022.01.19

새해 시작부터 ‘날짜 문제’로 인해 익스체인지 서버 2016 및 2019 온프레미스 버전의 이메일이 전송되지 않고 대기열에서 막히는 오류가 나타났다.  마이크로소프트는 공식 블로그를 통해 해당 오류가 익스체인지 악성 소프트웨어 검색 엔진의 날짜 처리 실패로 인해 발생했다면서, 검색 엔진 자체의 고장이나 보안 문제는 아니라고 밝혔다.    회사에 따르면 익스체인지의 FIP-FS AV는 익스체인지 소프트웨어 버전을 확인한 다음 서명된 int32 변수에 날짜를 기록한다. 하지만 저장할 수 있는 변수의 최대값(2,201,010,001)이 2022년 1월 1일(2,201,010,001)보다 낮아 악성 프로그램 엔진이 다운됐다는 설명이다. 악성 소프트웨어 스캐너가 없으면 익스체인지는 메일을 보내는 대신 대기열에 넣는다. 스캔할 수 없는 메일을 보내거나 받지 않는 것이다.  모든 익스체인지 서버가 영향을 받는 건 아니라고 회사 측은 언급했다. 마이크로소프트는 익스체인지 수신자 관리 목적으로 익스체인지 서버 2019 또는 익스체인지 서버 2016을 사용하는 조직은 조치를 취할 필요가 없으며, 악성 소프트웨어 방지 업데이트를 받기 위해 인터넷에 연결하지 않는 조직과 익스체인지 2013도 영향을 받지 않는다고 전했다.  임시 패치 배포  마이크로소프트는 임시 패치를 발표했고, 현재 정식 패치를 개발하고 있다고 말했다. 패치는 Reset-ScanEngineVersion.ps1이라는 파워쉘 스크립트 형식으로 제공된다. 스크립트는 마이크로소프트 필터링 관리(Microsoft Filtering Management) 및 마이크로소프트 익스체인지 전송(Microsoft Exchange Transport) 서비스를 중단하고, 이전 AV 엔진 파일을 삭제하며, 새 AV 엔진을 다운로드한 후 서비스를 다시 시작한다.  아울러 자동화된 스크립트를 실행하여 데이터센터의 각 온프레미스 마이크로소프트 익스체인지 2016 및 20...

2022.01.06

시스코가 자사 라우터 및 스위치에서 사용되는 IOS XE 소프트웨어의 치명적인 3가지 취약점을 해결하는 보안 패치를 공개했다.   회사에 따르면 이 3가지 취약점은 32개 보안 경고에 관한 대규모 릴리즈의 일부이며, 그중 상당수는 방화벽, SD-WAN, 무선 액세스 취약점을 포함해 IOS XE와 관련돼 있다.    가장 심각한 취약점은 ‘시스코 카탈리스트 9000 패밀리 와이어리스 컨트롤러(Cisco IOS XE Software for Cisco Catalyst 9000 Family Wireless Controllers)’용 시스코 IOS XE 소프트웨어 취약점이다. 이는 CVSS(Common Vulnerability Scoring System)에서 10점 만점에 10점으로 평가됐다고 회사 측은 전했다.  해당 취약점을 통해 인증되지 않은 원격 공격자가 관리 권한을 가지고 임의의 코드를 실행하거나 영향을 받는 기기에서 DoS(Denial of Service) 상태를 발생시킬 수 있다. 공격자는 조작된 CAPWAP 패킷을 영향을 받는 기기로 전송해 이 취약점을 악용할 수 있다. CAPWAP는 사용자가 무선 액세스 포인트를 중앙에서 관리할 수 있게 해주는 네트워킹 프로토콜이다.  시스코는 “공격이 성공하면 공격자가 관리 권한을 가지고 임의의 코드를 실행하거나 영향을 받는 기기를 손상시키고 다시 로드하여 DoS가 발생할 수 있다”라고 밝혔다.  두 번째로 심각한 취약점(CVSS 점수: 9.8)은 시스코 IOS XE SD-WAN 소프트웨어에 영향을 미치며, 이를 통해 공격자가 SD-WAN 장치에서 버퍼 오버플로를 일으킬 수 있다고 회사 측은 말했다.  시스코는 “이 취약점은 영향을 받는 기기에서 트래픽을 처리할 때 경계 검사가 충분하지 않으면 발생한다”라면서, “공격자는 조작된 트래픽을 장치로 전송하여 해당 취약성을 악용할 수 있다. 공격이 성공하면 공격자가 버퍼 오버플로를 발생시키고 루트 수...

2021.09.27

며칠 전 필자는 한 이메일을 받았는데, 처음엔 이게 합법적인지 아닌지 알아내기가 거의 불가능했다. 게다가 아웃룩에서 이메일을 미리보기만 해도 일부 취약점이 시스템에 액세스할 수 있다는 점을 생각하니 더욱더 긴장됐다. 하지만 이메일이 안전한지 확인해야 했다.  무엇보다도 건강한 회의주의(skepticism)가 중요하다. 사용하는 플랫폼이 패치를 완료해 공격을 방어할 준비가 됐는지 항상 확인해야 한다. 예를 들어 더 이상 지원되지 않는 아웃룩 버전을 계속 쓰고 있다면 위험에 노출될 수 있다.    또한 패치되지 않은 오피스 제품군에서 모르는 이메일을 열어선 안 된다. 더 나은 보호를 제공하는 최신 이메일 클라이언트로 마이그레이션하는 것도 괜찮다. 아웃룩의 유용한 대안으로 쓸 수 있는 많은 서드파티 이메일 클라이언트가 있다. 이를테면 썬더버드(Thunderbird), eM 클라이언트(eM Client), 메일버드(Mailbird) 등이다.  때때로 구식이라고 간주되는 방법이 적합할 수 있다. 이메일은 모르는 내용이지만 보낸 사람을 알고 있다고 가정해보자. 이때 해당 이메일이 합법적인지 확인하는 가장 쉬운 방법은 전화기를 들고 전화를 하는 것이다.  비즈니스 이메일 침해(BEC) 공격도 마찬가지다. 은행 계좌가 바닥나지 않도록 하는 가장 좋은 방법은 전화를 걸어 거래를 확인하는 것이다. 똑똑한 사람도 사기를 당할 수 있다는 걸 명심하라. 이를테면 美 투자 리얼리티 TV쇼 ‘샤크 탱크(Shark Tank)’에서 투자자로 출연해 유명세를 얻은 백만장자 바바라 코코란은 지난해 그를 사칭한 사기꾼이 회계 담당자에게 계좌이체를 승인해달라는 이메일을 보내 약 40만 달러를 잃었다(잘못된 형식의 이메일 주소로 발각됐다). 다른 이메일 클라이언트를 사용하는 대신 플랫폼을 전환할 수도 있다. 많은 기업이 애플 플랫폼이나 크롬북으로 이동하게 되면서 사람들은 (자신들이) 공격에 면역을 가지고 있다고 생각하게 될 수 있다. 하지만 ...

2021.09.07

모조리 패치를 완료했다. 이제 전적으로 안전하다! 그런데 과연 그럴까? 애석하게도 단정하기엔 이르다. 몇몇 마이크로소프트 관련 이슈는 패치가 등장하지 않을 수 있기 때문이다. 또 일부는 패치 할 수 없는 구성 문제이기도 하다.  깃허브(GitHub)에서 크리스토프 팔타는 마이크로소프트에서 아직 패치하지 않았거나 패치 할 예정이 없는 보안 문제 또는 해결하려면 수동으로 조정해야 하는 문제를 담은 ‘해결되지 않을’ 문제 목록을 시작했다. 이 목록에 오른 문제들을 살펴본다. 스풀샘플 팔타의 설명에 따르면 ‘스풀샘플(SpoolSample)’은 MS-RPRN(프린트 시스템 원격 프로토콜) 기능을 악용하여 표적 A로 하여금 공격자가 선택한 목적지(표적 B)로 인증하게 만든다. 이 목적지는 NTLM 릴레이 툴(예: ntlmrelayx 또는 inveigh)을 실행하는 또 다른 호스트인 경우가 보통이다. 이를 통해 표적 A가 최종 표적인 표적 C로 릴레이 된다. 스풀샘플 공격은 2018년 더비콘(DerbyCon)에서 리 크리스텐센, 윌 슈로더, 맷 넬슨이 최초로 제시했으며 ‘의도하지 않은 액티브 디렉터리(AD) 신뢰의 위험’이라고 불렸다.  션 멧캐프의 블로그에 지적된 바와 같이, 위임에 제한 없이 구성된 계정이 있고 컴퓨터에 프린트 스풀러(Print Spooler) 서비스가 실행 중인 경우 공격자는 그 컴퓨터의 인증 정보를 사용자로서 위임에 제한 없는 시스템으로 보내게 할 수 있다.  비슷한 문제가 2020년 5월 블로그에 ‘프린트 스푸퍼(Print Spoofer)’로 소개되었고 최근 게시물에도 비슷한 프로세스를 이용한 워크스테이션 테이크오버에 대한 내용이 올라왔다. 모종의 프린트 스풀러 프로세스와 AD를 사용하는 기지의 공격 중에는 나온 지 몇 년 되었을 뿐만 아니라 최근 프린트 스풀러 취약점의 결과로 새롭게 관심 받고 있는 것이 많다는 점이 눈에 띌 것이다. 프티포탬 공격 프티포탬(PetitPotam) 공격은 전형적인 NTLM 릴레이...

2021.08.13

1월 12일 나온 보안 패치는 “이상무” 판정을 내리기 어렵다. 오히려 보안 부팅 DBX(Secure Boot Forbidden Signature Database) 업데이트는 하이퍼-V 서버와 일부 일반 사용자 워크스테이션에서 문제를 일으킨다.   KB4535680(Secure Boot DBX용 보안 업데이트: 2021년 1월 12일)는 여러 윈도우 버전에서 보안 부팅 DBX를 개선해준다. 해당되는 운영체제는 윈도우 서버 2012/R2/2016/2019 64비트, 윈도우 8.1 64비트, 윈도우 10 1067/1803/1809/1909 64비트이다. 핵심 변경사항은 “UEFI 기반 펌웨어를 사용하는 윈도우 디바이스가 보안 부팅을 활성화해 실행할 수 있다”는 것이다. 보안 부팅 DBX는 악성 UEFI 모듈이 로딩되는 것을 방지하는 기능으로, 이번 업데이트에는 모듈을 추가해 취약점을 성공적으로 악용하고, 보안 부팅을 우회해 신뢰할 수 없는 소프트웨어를 실행하는 악의적인 공격자를 차단한다. 패치 설명에 따르면, “윈도우 디펜더 크리덴셜 가드(Windows Defender Credential Guard)를 활성화하면, 디바이스가 두 번 재시동한다.” 하지만 필자는 이 패치가 하이퍼-V를 사용하는 서버에서는 가상머신의 무결성에 영향을 미친다는 것을 발견했다. 필자의 경우, 호스트 서버를 두 번 재시동하자 가상머신이 저장 상태(save state)가 되었다. 하이퍼-V 호스트 서버를 패치하면, 그 아래의 가상머신은 원래 작업을 그대로 하도록 하는 것이 보통이다. 하이퍼-V 호스트가 재시동하면, 가상머신은 원래의 가동 상태로 돌아온다. 시스템은 일시적으로 하이퍼-V 관리 서버를 중단하고, 호스트 머신을 재기동하고, 여기서 가상머신을 재시작한다. 필자도 보통은 호스트 서버를 재기동할 때 가상머신은 가동 상태 그대로 둔다. 하지만 이번에는 하이퍼-V 호스트를 재기동하자 가상머신이 원래의 운영 조건으로 돌아오지 않았다. 필자는 하이퍼-V 호스트를 3번 재기동하고...

2021.01.20

이제 기존 서버를 마이그레이션할 때가 됐다. 간단한 작업은 아니다.  1월 14일, 마이크로소프트가 윈도우 서버 2008과 2008R2 지원을 공식 종료했다. 취약점이 발견되더라도 더 이상 패치나 픽스가 배포되지 않는다는 의미다. 단, 정말 심각한 문제라면 예외가 적용된 사례도 있긴 했다.   어쨌든 앱을 마이그레이션해야 할 때다. 이 프로세스는 간단하진 않다. 서버 2008은 CPU 코어가 2~4개이던, 그리고 64 비트 컴퓨팅이 초기 단계이던 시절에 등장했다. 당시 클라우드는 아직 꿈 같은 이야기였다. 단일 테넌트(single-tenant), 단일 스레드(single-thread) 앱을 클라우드로 옮기기 쉽지 않다고만 해도 충분할 이해할 것이다. 이는 경우에 따라 적합하지 않거나 아예 불가능할 수도 있다.    물론 윈도우 서버 2019(최신 버전) 혹은 서버 2016으로 충분히 마이그레이션 할 수 있다. 마이크로소프트는 원활한 전환을 위해 여러 지원을 아끼지 않고 있다.  시장조사업체 AVOA의 애널리스트 팀 크로포드는 네트워크 월드(Network Word)와의 인터뷰에서 “서버 2008 마이그레이션을 주저하게 만드는 두 가지 이유가 있다. 첫째, 맞춤형 앱이 WS 2008의 특정 기능들을 사용하고 있거나 둘째, WS 2008과만 호환되는 애플리케이션 버전을 사용하고 있기 때문이다”라고 말했다. 윈도우 서버 전문가이자 마이크로소프트 MVP로 활동하는 컨설턴트 데이트 카울라도 여기에 동의했다. 그는 “아주 오래된 코드들을 많이 봐왔다”라면서, “모두가 마이크로소프트의 최신 기술을 이용한다면 좋겠지만 실제는 그렇지 않다. 대부분의 기업은 4~6년 정도 뒤쳐진 기술을 이용하고 있다”라고 설명했다. 긴 여정 서버 2008의 앱을 2016/2019로 마이그레이션 하기로 했다면, 이는 아주 복잡한 일이 될 것이다. 마이크로소프트조차 앱과 데이터를 서버 2012로 마이그레이션하는 중간 단계가 필요하다고 말한다....

2020.08.14

데브옵스 소프트웨어 업체 퍼펫이 ‘퍼펫 엔터프라이즈 인프라 자동화 플랫폼’을 업데이트했다고 발표했다. 사전 구축된 모듈에 대한 액세스 및 패치 자동화 등이 이번 업데이트의 주요 특징이다.    회사에 따르면 이번 여름 릴리즈(버전 2019.8 LTS)는 사용자가 ‘퍼펫 카탈로그(Puppet Forge)’에 있는 수 천개의 오픈소스 및 퍼펫 모듈을 사용하여, 작업 묶음을 뜻하는 ‘플랜(Plan)’을 관리할 수 있도록 지원한다. 이를 통해 사용자는 퍼펫 엔터프라이즈 콘솔에서 단일 명령으로 일련의 작업을 실행할 수 있다. 즉 선언형 모델 기반 자동화와 필수 작업을 믹싱하고 매칭하면서 더 광범위한 인프라 사용 사례로 자동화를 확장할 수 있게 됐다고 퍼펫은 전했다.  이제 퍼펫은 ‘퍼펫 볼트 오케스트레이션 툴(Puppet Bolt orchestration tool)’과 ‘퍼펫 카탈로그(Puppet Forge)’ 콘텐츠부터 오케스트레이션 워크플로우에 이르는 신속한 경로를 지원하여 지속적인 자동화를 제공한다. 예를 들면 애플리케이션 릴리즈를 위한 인프라 준비에는 로드밸런서(Load Balancer) 드레이닝, 아파치 HTTP 서버 프로비저닝을 위한 VM웨어 호출, 패치 업데이트, 데이터베이스 구성 등이 포함된다.  또한 이번 업데이트에는 윈도우 및 리눅스 시스템을 위한 패치 자동화 콘텐츠가 포함됐다. 이를 통해 컴플라이언스와 보안은 물론 사용자 경험을 개선한다는 게 회사 측의 설명이다. 패치 프로세스의 표준화와 확장을 지원하는 OS 패치 서비스도 함께 제공된다. 퍼펫 데모는 공식 사이트에서 사용해볼 수 있다. ciokr@idg.co.kr

2020.07.23

원격 작업자가 전례없이 증가하고 있는 가운데, 인터넷 연결 안정성을 떨어뜨리는 윈도우 10 버그가 문제시되고 있다. 마이크로소프트는 최대한 빨리 패치를 배포할 계획이다.  해당 버그는, 다른 디지털 기기들이 문제없이 연결되는 상황에서도 일부 PC나 노트북의 인터넷 연결이 끊기는 현상이다. 좀더 구체적으로는 지난 5월의 메이저 업데이트가 적용된 윈도우 10 기기에서 나타난다. 문제는 이 윈도우 10 버전을 이용하는 사용자 기반이 가장 크다는 점이다.  마이크로소프트는 VPN에 연결하거나 VPN으로부터 연결을 끊을 때 나타나는 이 버그를 해결하기 위해 패치 작업의 우선순위를 올렸다고 전했다. 또 마이크로소프트의 다른 프로그램들에만 영향을 미치는 것으로 관측되기 때문에 하나의 프로그램만 활성화함으로써 문제에 대응할 수 있다고 전했다.  그러나 ‘마이크로소프트의 다른 프로그램’에는 오피스 365 제품군, 팀즈, 엣지 브라우저 등이 포함된다. 원격지에서 동료들과 공동 작업하기 위해 필수적으로 사용되는 프로그램들이며, 이들 프로그램의 구동에는 안정적인 인터넷 연결이 가급적 필요하다. 결과적으로 가장 큰 사용자 기반을 가진 운영체제 및 원격 작업자들이 애용하는 프로그램과 관련된 버그이기에 버그의 영향을 받는 규모가 클 수밖에 없다.  한편 지난주에는 유럽 지역에서 마이크로소프트의 협업 플랫폼 팀즈가 다운되며 원격 작업자들이 어려움을 겪은 바 있다. ciokr@idg.co.kr  

2020.03.31

미국의 주정부와 지방정부가 랜섬웨어 공격 대상으로 인기 있는 이유와 이들 정부가 한정된 자원으로 스스로 보호할 방법을 딜로이트가 제안했다.  3월 6일 저녁 발생한 랜섬웨어 공격으로 노스캐롤라이나 더럼 시와 카운티 정부의 IT시스템이 다운됐다. 자세한 정보는 알려지지 않았지만, 노스캐롤라이나주 수사국은 류크(Ryuk)라는 러시아 악성코드가 사용된 랜섬웨어 공격이라고 발표했다. 최근 전국적으로 랜섬웨어와 씨름하는 미국 지방정부들이 늘고 있다. 더럼도 이런 지방정부 가운데 하나다. 랜섬웨어는 이런 공격에서 복구될 준비가 갖춰지지 않은 취약한 지방정부 시스템을 표적으로 삼는다. 더럼 같은 지방정부는 랜셈웨어 공격자에게 매력적인 표적이다. 주 및 지방정부를 표적으로 하는 랜섬웨어 공격 동향을 조사하는 딜로이트 CGI(Center for Government Insights)의 새 보고서에 따르면, 따르면, 자주 인질이 되고 사이버 몸값을 요구받는 정부가 늘어나고 있다. 보고서에 따르면, 2019년 한 해 정부를 표적으로 삼은 랜섬웨어 공격은 163건으로 2018년 대비 150%나 증가했다. 랜섬(사이버 몸값) 지불 금액은 미화 180만 달러였으며, 복구에도 많은 돈이 지출됐다. 지방정부가 이런 공격에 애를 먹는 주된 이유는 사이버보안 인재 부족, 공격 표면 증가, 넉넉하지 못한 예산 등이다.   지방정부가 랜섬웨어 표적으로 선호되는 이유 지방정부들이 사용하는 컴퓨터가 늘어나고, 교통 신호등부터 구급차, 쓰레기 수거 트럭 등 여러 서비스를 네트워크에 연결해 사용하는 사례가 증가하면서 공격 표면이 넓어지는 추세다. 또한, 부족한 예산이 새로운 사이버보안 도구 도입 등 현대화 노력에 제약이 되고 있다. 보고서는 마지막으로 지방정부들이 필요한 사이버보안 인재 유치에 애를 먹고 있다고 지적했다. 매년 두 차례 실시되는 NASCIO/딜로이트 사이버보안 서베이에 따르면, 2010년 이후 매년 주 정부 수준 CISO들의 가장 큰 우려사항은 예산 부족이었다....

2020.03.16

무인 데이터센터는 전혀 새로운 개념이 아니다. 무인 운영(Lights out operation)이라는 용어가 나온 지 10년이 넘었다. 오늘날 대다수 데이터센터가 소수 인원으로 운영되며, 이들이 주로 하는 일은 고장 난 하드웨어를 고치는 것이다.  그러나 AI와 머신러닝의 발전과 함께 서버 업체들이 자동화를 새로운 차원으로 끌어올리고 있다. AI가 단순 반복 작업을 처리하고, 사람은 더 중요한 일을 할 수 있도록 해방시킨 것이다.  디지털 트랜스포메이션 컨설팅 업체 네오리스(Neoris)의 디지털 변혁 및 미국 운영 총괄인 앤서니 델리마는 AI가 반복 작업을 자동화는 데 탁월하다고 언급했다. 그는 “지능형 프로세스 자동화(Intelligent process automation)는 몇 년 전부터 있었던 기술이었다. 이제서야 자동화 프로세스가 반복 작업을 전담하는 수준에 이르렀다. 사람이 처리한다면 오류 발생률이 더 높을 것이다”라고 말했다.    클라우드 창고관리 소프트웨어 업체인 JASCI 소프트웨어 CEO 크레이그 윌렌스키는 “사람이 저지르는 실수가 더 걱정되는 것이 사실이다. 한 번의 실수가 심각한 사고로 이어질 수도 있다. 자동화 프로세스는 오류가 발생하지 않도록 설계된다. 이러한 지능형 시스템은 이제 시작됐고, 계속 발전할 것이다”라고 전했다.  데이터센터 제공업체인 기가 데이터센터(GIGA Data Centers)의 CEO 제이크 링은 하이퍼 컨버지드 인프라(Hyper Converged Infrastructure, HCI) 시장이 자율 운영에서 주도적 역할을 했고, 이로 인해 HCI 시장이 크게 성장했다고 진단했다. 그에 따르면 HCI는 2019년까지 컨버지드 시스템 시장의 35%를 차지할 것으로 전망됐다. 그러나 이미 2018년에 46%의 시장 점유율을 보였다.  이어서 링은 “사용의 용이함과 자동화는 전문가가 아닌 일반인도 작업을 완수할 수 있다는 의미다. 우리 업계는 인력 자원이 부...

2020.03.13