.gif)
간편하고 유연한 패치 방식...사용자 실수도 줄일 수 있어
모든 패치 내용이 한 파일에 들어가 오히려 위험할 수도
[보안뉴스 문가용 기자] MS가 이번 달부터 자신들의 공식 패치 배포 및 적용 정책인 일명 ‘패치 튜즈데이’의 방식을 바꾸기 시작했다. 보안 전문가들은 이 새로운 방식을 두고 취약점 업데이트 과정이 더 부드럽고 유연해졌다고 말한다. 하지만 모든 변화가 그렇듯 장점만 있는 건 아니다.
.jpg)
2016년 10월 11일부터 처음 적용된 이 새 시스템은 보안 관련 패치와 보안과 관련이 없는 패치를 하나의 큰 ‘번들’로 엮어 배포하는 것으로, 매달 이러한 ‘번들’이 세 개씩 제작될 예정이다. 두 개는 기업 고객들을 위한 것이고, 하나는 일반 소비자들을 위한 것. 그리고 지금까지 해왔듯 매달 두 번째 화요일, 두 가지 업데이트 배치(batch) 파일을 통해 배포한다.
번들의 내용이야 매달 달라질 것이고, 실제적인 보안 및 비(非)보안 패치 내용물의 묶음 단위라고 보면 되는데, 좀 더 이해가 필요한 것은 두 가지 배치 파일이다. 하나는 기업 고객과 일반 고객 모두를 위한 것으로 그달 MS가 공개하기로 한 모든 보안/비(非)보안 패치 내용이 담겨져 있으며, Windows Update, Windows Server Update Service, Windows Update Catalog를 통해 배포된다. 만약 사용자가 패치를 한 달 하지 않았다면, 적용되지 않은 내용이 다음 달 배치 파일에 포함된다. 즉 밀린 만큼 다음 달에 누적된 배치 파일이 들어온다는 것이다.
두 번째 배치 파일에는 그럼 뭐가 들어있을까? 그 달에 MS가 적용하기로 한 모든 보안 패치 내용물들이 들어있다. 주의해야 할 건 첫 번째 배치 파일과 달리 지난 달에 적용하지 않은 패치 내용이 누적되지 않는다는 것이다. 즉 보안 패치만 담겨 있는 두 번째 배치 파일은 그달의 패치 내용만 사용자에게 전달한다. 또한 이는 기업 고객들만을 위한 것이기도 하다. Windows Server Update Service와 Windows Update Catalog를 통해 배포된다.
이에 대해 퀄리스(Qualys)의 취약점 책임자인 아몰 사웨이트(Amol Sarwate)는 “모든 패치를 한꺼번에 몰아넣었으므로 사용자 입장에서는 훨씬 편해졌다”고 설명한다. “특히 패치를 담당해야 하는 보안 책임자의 경우, 일이 훨씬 간편해졌죠. 게다가 이런 방식으로 하니 패치를 놓치게 되더라도 걱정이 없고요.”
여기에 한 번 더, 매달 세 번째 화요일, MS는 다음 달에 적용될 비(非)보안 업데이트에 대한 프리뷰를 공개한다. 기업들이 미리 업데이트를 적용해보고 호환성을 살필 수 있게 하려는 것이다. 사웨이트는 이 변경에 대해서도 매우 우호적인 분석을 한다. “업데이트 과정이 훨씬 부드러워지고, 패치를 적용하는 기업이 미리 대비할 시간을 줍니다. 앞으로 패치를 책임지는 보안 담당자들은 미리미리 패치 적용을 해보는 업무도 담당하게 될 것으로 보입니다.”
SANS의 최고 운영자인 요하네스 울리히(Johannes Ullrich) 역시 “사용자들의 흔한 실수를 막아주는 방식”이라고 호의적으로 분석한다. “패치를 깜빡하거나 실수로 일부만 적용하는 일이 있었고, 이는 심각한 오류를 야기하기도 했습니다. 이것 때문에 패치 때만 되면 많이들 불안해하거나 심지어 자동 패치가 안 되도록 하기도 했었죠. 아예 일부러 구 버전을 유지하는 회사도 많았고요.”
눈에 띄는 장점을 얻었다면, 그 뒤로는 잘 보이지 않는 단점이 있기 마련이다. 물론 패치가 위 전문가들이 만한 대로 간편해지고 흔한 실수가 보완된 것은 사실이다. 하지만 새로운 리스크를 대가처럼 지불하게 되었다. 쓰라이브네트웍스(Thrive Networks)의 부회장인 마이클 그레이(Michael Gray)는 “물론 변화의 방향 자체에는 동의한다”고 입을 뗐지만 “모두가 그렇게 느끼지는 않을 수도 있다”고 설명을 반전시켰다.
“일단 업데이트 방식이 너무 구식입니다. 그리고 파일 하나하나가 너무 커요. 버거운 수준입니다. 이것 때문에라도 업데이트를 안 한다고 할 사람이 제법 있을 듯 합니다. 또한 패치 내용이 누적된다고 하는데, 용량이 커지면 커질수록 오히려 한 번 공격을 당했을 때의 리스크가 커집니다. 누군가 업데이트 파일을 가로채면 더 많은 업데이트 파일과 프로세스에 관여할 수 있게 되는 것이죠. 한 번의 해킹 성공으로 얻을 수 있는 이득이 너무 커졌어요. 그렇다면 이를 노리는 사람들이 더 늘어나겠죠.”
리스크에 관해서는 울리히 역시 동의하는 바다. “덩치가 커졌기 때문에 한 부분이 잘못되거나 충돌을 일으키면 전체 패치가 다시 나올 때까지 기다려야 한다는 단점이 있습니다. 하나의 ‘번들’로 나오기 때문에 자기가 마음대로 부분부분 나눠서 패치를 적용하는 게 안전한 것도 아니고요.”
그렇기 때문에 MS가 애초에 세 번째 화요일에 프리뷰를 낸다고 한 것일지도 모른다는 분석이 뒤를 잇는다. 보다 커지고 간단해진 패치이지만 시험적으로 적용할 시간을 충분히 주고자 하는 데에는 이런 리스크에 대한 고려가 내부적으로 있었던 것 아니겠느냐는 설명이다. 하지만 이는 아직 더 지켜봐야 할 문제다.
사웨이트는 “새롭게 바뀐 패치 방식에 새롭게 적응해서 리스크를 최대한 줄이는 수밖에 없다”며 “미리 실험해보는 것도 중요하지만, 전사적으로 한꺼번에 패치를 적용하는 게 아니라 매일 조금씩, 예를 들면 부서 별로 차근차근 진행해서 혹여 문제가 생겼을 때 파장이 너무 커지지 않도록 하는 것도 중요”하다고 설명했다. 울리히는 “일반 가정의 고객들이라면 MS가 배포를 시작하자마자 자동으로 설치하도록 하는 게 제일 좋다”고 말했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
모든 패치 내용이 한 파일에 들어가 오히려 위험할 수도
[보안뉴스 문가용 기자] MS가 이번 달부터 자신들의 공식 패치 배포 및 적용 정책인 일명 ‘패치 튜즈데이’의 방식을 바꾸기 시작했다. 보안 전문가들은 이 새로운 방식을 두고 취약점 업데이트 과정이 더 부드럽고 유연해졌다고 말한다. 하지만 모든 변화가 그렇듯 장점만 있는 건 아니다.
2016년 10월 11일부터 처음 적용된 이 새 시스템은 보안 관련 패치와 보안과 관련이 없는 패치를 하나의 큰 ‘번들’로 엮어 배포하는 것으로, 매달 이러한 ‘번들’이 세 개씩 제작될 예정이다. 두 개는 기업 고객들을 위한 것이고, 하나는 일반 소비자들을 위한 것. 그리고 지금까지 해왔듯 매달 두 번째 화요일, 두 가지 업데이트 배치(batch) 파일을 통해 배포한다.
번들의 내용이야 매달 달라질 것이고, 실제적인 보안 및 비(非)보안 패치 내용물의 묶음 단위라고 보면 되는데, 좀 더 이해가 필요한 것은 두 가지 배치 파일이다. 하나는 기업 고객과 일반 고객 모두를 위한 것으로 그달 MS가 공개하기로 한 모든 보안/비(非)보안 패치 내용이 담겨져 있으며, Windows Update, Windows Server Update Service, Windows Update Catalog를 통해 배포된다. 만약 사용자가 패치를 한 달 하지 않았다면, 적용되지 않은 내용이 다음 달 배치 파일에 포함된다. 즉 밀린 만큼 다음 달에 누적된 배치 파일이 들어온다는 것이다.
두 번째 배치 파일에는 그럼 뭐가 들어있을까? 그 달에 MS가 적용하기로 한 모든 보안 패치 내용물들이 들어있다. 주의해야 할 건 첫 번째 배치 파일과 달리 지난 달에 적용하지 않은 패치 내용이 누적되지 않는다는 것이다. 즉 보안 패치만 담겨 있는 두 번째 배치 파일은 그달의 패치 내용만 사용자에게 전달한다. 또한 이는 기업 고객들만을 위한 것이기도 하다. Windows Server Update Service와 Windows Update Catalog를 통해 배포된다.
이에 대해 퀄리스(Qualys)의 취약점 책임자인 아몰 사웨이트(Amol Sarwate)는 “모든 패치를 한꺼번에 몰아넣었으므로 사용자 입장에서는 훨씬 편해졌다”고 설명한다. “특히 패치를 담당해야 하는 보안 책임자의 경우, 일이 훨씬 간편해졌죠. 게다가 이런 방식으로 하니 패치를 놓치게 되더라도 걱정이 없고요.”
여기에 한 번 더, 매달 세 번째 화요일, MS는 다음 달에 적용될 비(非)보안 업데이트에 대한 프리뷰를 공개한다. 기업들이 미리 업데이트를 적용해보고 호환성을 살필 수 있게 하려는 것이다. 사웨이트는 이 변경에 대해서도 매우 우호적인 분석을 한다. “업데이트 과정이 훨씬 부드러워지고, 패치를 적용하는 기업이 미리 대비할 시간을 줍니다. 앞으로 패치를 책임지는 보안 담당자들은 미리미리 패치 적용을 해보는 업무도 담당하게 될 것으로 보입니다.”
SANS의 최고 운영자인 요하네스 울리히(Johannes Ullrich) 역시 “사용자들의 흔한 실수를 막아주는 방식”이라고 호의적으로 분석한다. “패치를 깜빡하거나 실수로 일부만 적용하는 일이 있었고, 이는 심각한 오류를 야기하기도 했습니다. 이것 때문에 패치 때만 되면 많이들 불안해하거나 심지어 자동 패치가 안 되도록 하기도 했었죠. 아예 일부러 구 버전을 유지하는 회사도 많았고요.”
눈에 띄는 장점을 얻었다면, 그 뒤로는 잘 보이지 않는 단점이 있기 마련이다. 물론 패치가 위 전문가들이 만한 대로 간편해지고 흔한 실수가 보완된 것은 사실이다. 하지만 새로운 리스크를 대가처럼 지불하게 되었다. 쓰라이브네트웍스(Thrive Networks)의 부회장인 마이클 그레이(Michael Gray)는 “물론 변화의 방향 자체에는 동의한다”고 입을 뗐지만 “모두가 그렇게 느끼지는 않을 수도 있다”고 설명을 반전시켰다.
“일단 업데이트 방식이 너무 구식입니다. 그리고 파일 하나하나가 너무 커요. 버거운 수준입니다. 이것 때문에라도 업데이트를 안 한다고 할 사람이 제법 있을 듯 합니다. 또한 패치 내용이 누적된다고 하는데, 용량이 커지면 커질수록 오히려 한 번 공격을 당했을 때의 리스크가 커집니다. 누군가 업데이트 파일을 가로채면 더 많은 업데이트 파일과 프로세스에 관여할 수 있게 되는 것이죠. 한 번의 해킹 성공으로 얻을 수 있는 이득이 너무 커졌어요. 그렇다면 이를 노리는 사람들이 더 늘어나겠죠.”
리스크에 관해서는 울리히 역시 동의하는 바다. “덩치가 커졌기 때문에 한 부분이 잘못되거나 충돌을 일으키면 전체 패치가 다시 나올 때까지 기다려야 한다는 단점이 있습니다. 하나의 ‘번들’로 나오기 때문에 자기가 마음대로 부분부분 나눠서 패치를 적용하는 게 안전한 것도 아니고요.”
그렇기 때문에 MS가 애초에 세 번째 화요일에 프리뷰를 낸다고 한 것일지도 모른다는 분석이 뒤를 잇는다. 보다 커지고 간단해진 패치이지만 시험적으로 적용할 시간을 충분히 주고자 하는 데에는 이런 리스크에 대한 고려가 내부적으로 있었던 것 아니겠느냐는 설명이다. 하지만 이는 아직 더 지켜봐야 할 문제다.
사웨이트는 “새롭게 바뀐 패치 방식에 새롭게 적응해서 리스크를 최대한 줄이는 수밖에 없다”며 “미리 실험해보는 것도 중요하지만, 전사적으로 한꺼번에 패치를 적용하는 게 아니라 매일 조금씩, 예를 들면 부서 별로 차근차근 진행해서 혹여 문제가 생겼을 때 파장이 너무 커지지 않도록 하는 것도 중요”하다고 설명했다. 울리히는 “일반 가정의 고객들이라면 MS가 배포를 시작하자마자 자동으로 설치하도록 하는 게 제일 좋다”고 말했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
