기업 및 서비스 보안에 있어서 어느 것이 더 중요하다고 비교를 하는 것은 애매할런지 모르지만, 여러가지 측면을 고려할 때, 반드시 생각해야 하는 것 중에 하나가 보안 패치의 적용 부분이다.
실제 본인의 경우, 기업의 내부 인프라 및 외부 서비스를 위한 서버를 운용함에 있어 대부분의 보안 사고 및 문제 발생이 사소하게 여겼던, 보안 패치의 즉각적인 적용이 이뤄지지 않아서 인 경우가 대부분이었다. 점차 Zero-Day Attack이라는 말이 나올 정도로 서버 및 서비스의 취약점을 대상으로 공격의 주기가 그만큼 짧아졌다. 이에 대해 적절히 대응하지 않는다면, 대다수의 많은 서버 및 서비스가 그만큼의 공격 대상으로 노출되기 쉽다는 것이다.
정부 및 대기업, 대형 포털 등은 이에 대해 오히려 기민하게 반응하여 대응하는 것으로 알려져 있으나, 대부분의 중소 기업 및 여타 소규모 서비스 운영자들은 열악한 환경으로 인해 이에 대한 적용을 생각해 볼 염두도 하고 있지 못하다. 그러나, 보안 패치의 적용, 그리고 이것을 체계적으로 관리하는 시스템은 꼭 큰 비용이나 인력 투여 부분을 산정하지 않아도 충분히 진행할 수 있다고 본다. MS의 경우에도 이를 위하여 무료를 적용할 수 있는 패치 시스템이 존재하고 있으며, 그 밖의 OS 계열에서도 오픈 소스를 통해 제작된 프리웨어 등이 제공되고 있다.
문제는 각 기업 및 서비스에 맞게 사전에 철저히 패치가 검증되고, 테스트 될 수 있느냐에 대한 부분인데, 이를 위해서는 또 다른 시스템과의 연계를 검토해야 한다. 그러나, 본인의 생각에는 공격의 빈도와 위험성이 중요한가, 서버 운영의 안정성이 중요한가의 경중을 따져서 적절히 판단할 것은 관리자 및 서비스 운영자의 몫이며, 조금 더 관심을 가지면, 해당 연계 시스템의 구성도 그렇게 어렵지 않을 것으로 본다.
분명, 서버와 서비스를 운영한다는 것이, 과히 쉽거나 적은 노력으로 이뤄질 작업은 아니겠지만, 이왕이면 더욱 효율적으로 안전과 안정성을 찾으려고 한다면, 주위에 이를 위한 비용을 들이지 않는 방법에 대해서는 많이 있다고 생각한다. 언젠가 이러한 비용을 들이지 않으면서 효과적으로 구성하여 운영할 수 있는 예시에 관해서 기술하기로 하겠다.
============================================================================================================
악성코드의 공격유형이 다양화되고 웜 바이러스의 등장주기가 날로 짧아져 모든 조직에게 위협이 되고 있지만 일반 기업에서는 PMS의 필요성을 인식하지 못하고 있다. PMS는 기업의 경영성과를 높이기 위해 필수적으로 갖춰야 할 기본적인 인프라로 민간 시장으로의 확대가 필요하다.
네트워크접근제어(NAC), 통합위협관리(UTM), 위험관리시스템(RMS)….
요즘 보안 분야에서 각광받고 있는 이슈들이다. 지난 2004년부터 지난해까지 화두가 됐던 패치관리 시스템(PMS)은 요즘 다소 잠잠해 보인다. 그러나 ‘조용한 물이 깊다’는 말처럼 PMS 업체들은 조용히, 하지만 빠르게 입지를 넓히고 있다.
PMS 덕분에 많은 조직이 새로운 패치에 대한 걱정을 접어둘 수 있지만 PMS를 사용하는 기관은 대부분 정부·공공기관이다. 우리사회 전체 조직 중 민간 기업이 차지하는 비중은 공공기관보다 훨씬 크다. 민간 기업은 PMS가 추가로 확장해야 하는 새로운 도전영역이다.
PMS 는 전국의 인터넷이 불통됐던 1·25 대란으로 크게 성장했다. 이후 급증하는 웜·바이러스로 인해 빠른 속도로 시장을 확장해 갔다. PC를 통해 전파되는 웜·바이러스는 날이 갈수록 지능적인 방법으로 공격했기 때문에 기존의 보안환경으로 이에 대처하기는 역부족이었다. 백신은 피해가 발생한 후 이를 치료해주는 성격이기 때문에 분명한 한계가 있다.
보안취약점을 철저히 점검하고 이를 해결하기 위해 체계적으로 패치 업데이트를 해야 한다. 조직의 전산담당자가 내부시스템에 패치를 제대로 적용하려면 시스템 당 적어도 2~3시간을 투자해야 했다. 1~2대의 PC만 패치설치가 이뤄지지 않아도 웜·바이러스는 취약한 PC를 통해 전 시스템을 마비시킨다. 자동화된 패치 관리와 설치유도 기능을 제공하는 PMS는 이러한 문제를 해결해주면서 기존 40~50%였던 패치율을 90% 이상으로 끌어올렸다.
국가·공공기관의 PMS 도입 논의가 이뤄진 것은 2003년이며 2004년 국회 국정감사에서 PMS 도입 의무화의 필요성이 제기됐다. 정통부는 공공기관 해킹방지 대책으로 모든 기관의 PMS 도입을 지시했다. 2005년 교육인적자원부가 초·중·고·대학 내 보안패치설치를 의무화하기도 했다. 이러한 정책지원을 통해 공공기관이 PMS 도입을 늘렸으며 현재 국회사무처, 대검찰청, 경찰청, 금융감독원 및 전국의 주요 대학 등이 PMS를 도입했다.
공공기관에서는 PMS 도입이 활발하게 이뤄지고 있지만 민간 기업으로의 확산은 좀처럼 이뤄지지 않고 있다. 정보보호진흥원 산하의 인터넷침해사고대응지원센터가 정기적으로 발표하는 ‘해킹 바이러스 통계 및 분석 월보’를 통해 보면, 기업, 대학, 비영리, 연구소, 네트워크, 기타(개인) 중 보안사고 발생 건수가 가장 많은 곳은 기업 및 기타(개인)이다. 이는 민간 기업의 PMS 도입률과 결코 무관하지 않다고 할 수 있다.
얼마 전 정보통신부와 한국정보사회진흥원이 공동 발간한 ‘2007국가정보화백서’에서도 중소기업의 정보보호시스템과 해킹발생 대비하기 위해 정보보안 투자가 여전히 취약하다고 지적한바 있다. PMS 시장이 크게 성장했다 하더라도 주로 공공부문에 치우쳐 있어 전체 정보보호 시장으로 확대돼야 한다는 주장이 나온다.
일반 기업은 PMS의 필요성을 인식하지 못하고 있다. 악성코드의 공격유형이 다양화되고 웜 바이러스의 등장주기가 날로 짧아져 모든 조직에게 위협이 되고 있음에도 말이다. PMS는 기업의 경영성과를 높이기 위해 필수적으로 갖춰야 할 기본적인 인프라이다. 보안의 선진화를 위해 민간 분야로 PMS 시장을 넓히려는 노력이 필요하다.
<글: 심영수 소프트런 영업2팀장>
[월간 정보보호21c 통권 제87호(info@boannews.com)]
출처 : 보안뉴스
실제 본인의 경우, 기업의 내부 인프라 및 외부 서비스를 위한 서버를 운용함에 있어 대부분의 보안 사고 및 문제 발생이 사소하게 여겼던, 보안 패치의 즉각적인 적용이 이뤄지지 않아서 인 경우가 대부분이었다. 점차 Zero-Day Attack이라는 말이 나올 정도로 서버 및 서비스의 취약점을 대상으로 공격의 주기가 그만큼 짧아졌다. 이에 대해 적절히 대응하지 않는다면, 대다수의 많은 서버 및 서비스가 그만큼의 공격 대상으로 노출되기 쉽다는 것이다.
정부 및 대기업, 대형 포털 등은 이에 대해 오히려 기민하게 반응하여 대응하는 것으로 알려져 있으나, 대부분의 중소 기업 및 여타 소규모 서비스 운영자들은 열악한 환경으로 인해 이에 대한 적용을 생각해 볼 염두도 하고 있지 못하다. 그러나, 보안 패치의 적용, 그리고 이것을 체계적으로 관리하는 시스템은 꼭 큰 비용이나 인력 투여 부분을 산정하지 않아도 충분히 진행할 수 있다고 본다. MS의 경우에도 이를 위하여 무료를 적용할 수 있는 패치 시스템이 존재하고 있으며, 그 밖의 OS 계열에서도 오픈 소스를 통해 제작된 프리웨어 등이 제공되고 있다.
문제는 각 기업 및 서비스에 맞게 사전에 철저히 패치가 검증되고, 테스트 될 수 있느냐에 대한 부분인데, 이를 위해서는 또 다른 시스템과의 연계를 검토해야 한다. 그러나, 본인의 생각에는 공격의 빈도와 위험성이 중요한가, 서버 운영의 안정성이 중요한가의 경중을 따져서 적절히 판단할 것은 관리자 및 서비스 운영자의 몫이며, 조금 더 관심을 가지면, 해당 연계 시스템의 구성도 그렇게 어렵지 않을 것으로 본다.
분명, 서버와 서비스를 운영한다는 것이, 과히 쉽거나 적은 노력으로 이뤄질 작업은 아니겠지만, 이왕이면 더욱 효율적으로 안전과 안정성을 찾으려고 한다면, 주위에 이를 위한 비용을 들이지 않는 방법에 대해서는 많이 있다고 생각한다. 언젠가 이러한 비용을 들이지 않으면서 효과적으로 구성하여 운영할 수 있는 예시에 관해서 기술하기로 하겠다.
============================================================================================================
악성코드의 공격유형이 다양화되고 웜 바이러스의 등장주기가 날로 짧아져 모든 조직에게 위협이 되고 있지만 일반 기업에서는 PMS의 필요성을 인식하지 못하고 있다. PMS는 기업의 경영성과를 높이기 위해 필수적으로 갖춰야 할 기본적인 인프라로 민간 시장으로의 확대가 필요하다.
네트워크접근제어(NAC), 통합위협관리(UTM), 위험관리시스템(RMS)….
요즘 보안 분야에서 각광받고 있는 이슈들이다. 지난 2004년부터 지난해까지 화두가 됐던 패치관리 시스템(PMS)은 요즘 다소 잠잠해 보인다. 그러나 ‘조용한 물이 깊다’는 말처럼 PMS 업체들은 조용히, 하지만 빠르게 입지를 넓히고 있다.
PMS 덕분에 많은 조직이 새로운 패치에 대한 걱정을 접어둘 수 있지만 PMS를 사용하는 기관은 대부분 정부·공공기관이다. 우리사회 전체 조직 중 민간 기업이 차지하는 비중은 공공기관보다 훨씬 크다. 민간 기업은 PMS가 추가로 확장해야 하는 새로운 도전영역이다.
PMS 는 전국의 인터넷이 불통됐던 1·25 대란으로 크게 성장했다. 이후 급증하는 웜·바이러스로 인해 빠른 속도로 시장을 확장해 갔다. PC를 통해 전파되는 웜·바이러스는 날이 갈수록 지능적인 방법으로 공격했기 때문에 기존의 보안환경으로 이에 대처하기는 역부족이었다. 백신은 피해가 발생한 후 이를 치료해주는 성격이기 때문에 분명한 한계가 있다.
보안취약점을 철저히 점검하고 이를 해결하기 위해 체계적으로 패치 업데이트를 해야 한다. 조직의 전산담당자가 내부시스템에 패치를 제대로 적용하려면 시스템 당 적어도 2~3시간을 투자해야 했다. 1~2대의 PC만 패치설치가 이뤄지지 않아도 웜·바이러스는 취약한 PC를 통해 전 시스템을 마비시킨다. 자동화된 패치 관리와 설치유도 기능을 제공하는 PMS는 이러한 문제를 해결해주면서 기존 40~50%였던 패치율을 90% 이상으로 끌어올렸다.
국가·공공기관의 PMS 도입 논의가 이뤄진 것은 2003년이며 2004년 국회 국정감사에서 PMS 도입 의무화의 필요성이 제기됐다. 정통부는 공공기관 해킹방지 대책으로 모든 기관의 PMS 도입을 지시했다. 2005년 교육인적자원부가 초·중·고·대학 내 보안패치설치를 의무화하기도 했다. 이러한 정책지원을 통해 공공기관이 PMS 도입을 늘렸으며 현재 국회사무처, 대검찰청, 경찰청, 금융감독원 및 전국의 주요 대학 등이 PMS를 도입했다.
공공기관에서는 PMS 도입이 활발하게 이뤄지고 있지만 민간 기업으로의 확산은 좀처럼 이뤄지지 않고 있다. 정보보호진흥원 산하의 인터넷침해사고대응지원센터가 정기적으로 발표하는 ‘해킹 바이러스 통계 및 분석 월보’를 통해 보면, 기업, 대학, 비영리, 연구소, 네트워크, 기타(개인) 중 보안사고 발생 건수가 가장 많은 곳은 기업 및 기타(개인)이다. 이는 민간 기업의 PMS 도입률과 결코 무관하지 않다고 할 수 있다.
얼마 전 정보통신부와 한국정보사회진흥원이 공동 발간한 ‘2007국가정보화백서’에서도 중소기업의 정보보호시스템과 해킹발생 대비하기 위해 정보보안 투자가 여전히 취약하다고 지적한바 있다. PMS 시장이 크게 성장했다 하더라도 주로 공공부문에 치우쳐 있어 전체 정보보호 시장으로 확대돼야 한다는 주장이 나온다.
일반 기업은 PMS의 필요성을 인식하지 못하고 있다. 악성코드의 공격유형이 다양화되고 웜 바이러스의 등장주기가 날로 짧아져 모든 조직에게 위협이 되고 있음에도 말이다. PMS는 기업의 경영성과를 높이기 위해 필수적으로 갖춰야 할 기본적인 인프라이다. 보안의 선진화를 위해 민간 분야로 PMS 시장을 넓히려는 노력이 필요하다.
<글: 심영수 소프트런 영업2팀장>
[월간 정보보호21c 통권 제87호(info@boannews.com)]
출처 : 보안뉴스
'Security_Space' 카테고리의 다른 글
| 이재우 동국대 교수 (ISC)2 Harold F. Tipton 수상 (1) | 2007.11.19 |
|---|---|
| PC로 타인 휴대폰 모든 정보 빼낼 수 있다! (0) | 2007.11.19 |
| 보안에 취약한 애플리케이션에 투자하라 (0) | 2007.11.16 |
| "WebKnight 로그분석 및 고급 룰 설정" 발표자료 (0) | 2007.11.06 |
| SW 보안은「개발단계에서 출발」 (0) | 2007.11.05 |