취약점 패치 관리의 실패가 심각한 보안 위협으로 이어지는 사례가 계속해서 발생하고 있다. 가장 최근 사례로, 미국, 영국, 호주, 캐나다, 뉴질랜드의 ‘파이브 아이즈(Five Eyes)’ 사이버 보안 기관들이 지난달 발표한 자료에 따르면, 지난해 자주 악용된 주요 취약점 15개 중에는 2020년 발견된 마이크로소프트 넷로그온(Netlogon) 취약점, 2021년에 공개된 오픈소스 로깅 프레임워크 Log4j2의 결함, 그리고 2022년 다수의 제품에 영향을 미친 조호 매니지엔진(Zoho ManageEngine)의 취약점이 포함되어 있었다.
이 외에도 목록에 포함되지 않았지만, 패치가 이뤄지지 않은 오래된 취약점도 여전히 악용되고 있다. 예를 들어, 2017년부터 시스코 IOS 및 IOS EX 소프트웨어를 사용하는 장치에서 발견된 취약점이 대표적이다.
이 같은 문제를 해결하기 위해 전문가들은 데이터센터 내 혹은 클라우드 기반의 지능형 패치 관리 솔루션을 CISO(최고정보보안책임자)의 도구로 포함시켜야 한다고 조언하고 있다.
패치 관리 솔루션은 매니지엔진(ManageEngine), 하임달(Heimdal), 커넥트와이즈(ConnectWise), 아테라(Atera), 액션1(Action1), 닌자원(NinjaOne), 섹포드 사너나우(SecPod SanerNow), 솔라윈즈(SolarWinds), 오토목스(Automox), 카세야 VSA(Kaseya VSA), 펄스웨이(Pulseway) 등 다수의 IT 운영 관리 및 보안 업체에서 제공하고 있다.
이번 주 출시된 최신 제품은 테너블 패치 관리(Tenable Patch Management)다. 테너블은 문제가 있는 업데이트 설치를 차단하는 지능형 패치 테스트를 포함하는 이 솔루션이 취약점 발견부터 해결까지의 시간을 단축한다고 전했다.
그럼에도 CISO들은 여전히 지능형 솔루션 도입에 신중한 태도를 보이고 있다. 포레스터 리서치가 보안 의사결정권자 510명을 대상으로 조사한 결과, 27%만이 지능형 패치 관리 솔루션을 사용 중이라고 응답했으며, 30%는 향후 구매 의향이 있다고 밝혔다.
포레스터의 수석 분석가 에릭 노스트는 “테스트되지 않은 패치를 설치하다가 시스템에 문제가 생길 것을 우려하기 때문”이라며고 설명했다.
다만 전문가들은 패치 업데이트 수집 및 배포를 자동화에만 의존하는 것은 위험하다고 조언한다. 인포테크 리서치의 사이버 보안 고문 프리츠 진 루이스는 “단일 패치 관리 기능에 전적으로 의존하는 것은 위험하다. 이는 조직에 치명적일 수 있는 단일 장애 지점에 의존하는 것으로, 적절한 리스크 관리가 아니다”라며 “CISO는 인력 부족으로 어려움을 겪고 있어 일정 수준의 자동화가 필요하지만, 그 수준은 개별 조직이 결정해야 한다”고 말했다. 그는 “중요도가 낮은 애플리케이션의 경우 완전한 지능형 솔루션을 허용하는 것이 바람직하다”면서도 “조직 전체에 영향을 미칠 수 있는 중요 애플리케이션은 변경 관리 프로세스의 일환으로 검토해야 한다”라고 밝혔다.
포레스터의 노스트도 이에 동의하며 “점진적으로 도입하는 ‘기어가기-걷기-달리기’ 전략을 제안하고 싶다”라며 “패치 설치 외에도 지능형 솔루션을 적용할 수 있는 영역이 있다. 취약성 평가와 우선순위 지정, 티켓 생성에 지능형 시스템을 도입할 수 있으며, 완전 자동화 이전에 다른 업무 영역부터 단계적으로 고도화가 가능하다”고 설명했다.
지능형 패치 관리 솔루션을 선택할 때는 조직의 패치 전략과 부합해야 한다고 노스트는 강조했다. 예를 들어, 어떤 애플리케이션을 우선적으로 패치해야 하는지를 결정하는 것이 중요하다. 노스트는 자동 솔루션을 도입하더라도 먼저 테스트 그룹에 패치를 배포해 안정성을 검증한 후 전체 시스템에 적용해야 한다고 조언했다.
실제로 지난 2024년 7월 크라우드스트라이크 업데이트로 인해 전 세계 수백만 대의 윈도우 PC가 충돌한 사건은 자율 패치 시스템에 중요 애플리케이션을 포함하지 말아야 한다는 주장을 뒷받침한다. 크라우드스트라이크는 콘텐츠 업데이트 테스트에 문제가 있었다고 인정했다.
현재의 지능형 패치 시스템이 이러한 결함을 사전에 탐지할 수 있었는지에 대해서는 전문가들의 의견이 나뉘었다. 가령 인포테크 리서치의 루이스는 “대부분의 보안 리더가 크라우드스트라이크의 업데이트를 무조건적으로 신뢰했을 것”이라고 지적했다. IDC의 보안 및 신뢰 연구 디렉터 미셸 아브라함은 파운드리 산하 보안 전문 매체 CSO 온라인과의 인터뷰에서 “지능형 패치 솔루션으로 세밀하게 제어되는 패치 프로세스를 설정하면 크라우드스트라이크 사태와 유사한 문제를 예방할 수 있다”라며 “첫 번째 하위 집합의 시스템에서 패치에 문제가 발생하면 문제가 해결될 때까지 프로세스가 중단되기 때문”이라고 분석했다.
업계 전문가들이 제시하는 패치 관리 솔루션 선택 시 핵심 고려사항은 크게 세 가지다. 첫째, 다중 운영 체제 지원과 같은 구체적인 사용 사례를 명확히 정의하고, 둘째, 비용과 사용 편의성, 패치 예약 기능, 학습 난이도, 규정 준수 여부, 클라우드 기반 여부, 가상 머신 및 컨테이너 관리 기능 등 세부 평가 기준을 수립해야 한다. 마지막으로 동료들의 실제 사용 경험을 참고하는 것이 중요하다.
테너블의 클라우드 및 기술 제휴 부문 부사장 레이 코마르는 최종 결정권은 IT 부서에 있을 수 있지만, CISO나 보안 리더가 결정 과정에 중요한 역할을 한다고 전했다. 코마르는 이 솔루션이 단순 자동화가 아닌 지능형 시스템이어야 한다고 강조했다. 그는 “지능형이란 시스템이 적절하다고 판단되는 수준의 제어를 사용자가 설정하고 적용할 수 있다는 의미다. 시스템이 작업을 수행하더라도 승인, 종속성 등 패치 전략의 일부로 사람의 체크포인트를 설계할 수 있다. 무엇보다 사용자나 비즈니스 그룹이 패치를 제거할 수 있는 권한을 가져야 한다”라고 설명했다.
IDC 보안 및 신뢰 연구 그룹 부사장 프랭크 딕슨은 “지능형 패치 관리는 필수적이지 않지만, 모범 사례로 권장된다”고 말했다. 그는 “취약점의 규모가 너무 커서 모든 낮은 심각도의 취약점을 검증하는 것은 비현실적”이라며 “패치는 여전히 중요하며, 대부분의 조직은 중요 시스템과 핵심 자산을 보호하는 데 능숙하지만, 덜 중요한 시스템도 침해의 경로가 될 수 있다”고 조언했다.
[email protected]
Read More from This Article: ‘지능형 패치 관리’ 기술, 보안 리더 27%만 활용··· 전문가가 제안하는 효과적인 도입법은?
Source: News