사이버 보안의 부실한 패치 관리
이 글은 최근에 발표된 NSA/CISA 합동 사이버 보안 자문 를 통해 이들 기관에서 실시한 레드/블루팀 훈련에서 확인된 주요 사이버 보안 문제에 대해 살펴봅니다. 이 글에서는 특정 이슈에 대해 보다 심층적으로 살펴보고, 해당 이슈가 적용되는 실제 시나리오와 이를 제한하거나 극복하기 위해 채택할 수 있는 완화 전략에 대해 알아봅니다. 이는 NSA/CISA 보고서에서 제공한 정보를 확장한 것입니다.
Log4j 익스플로잇에 취약한 시스템은 널리 보고되고 알려진 지 수년이 지난 후에도 여전히 온라인에서 접속할 수 있습니다. 이 지속적인 취약점은 패치 관리 관행의 중대한 실패를 보여줍니다. 이렇게 잘 알려진 취약점에 대한 패치가 적용되지 않은 시스템은 본질적으로 사이버 범죄자들에게 열린 문이며, 종종 신속하고 타협 없는 악용을 초래합니다.
log4j의 예는 잘못된 패치 관리가 조직의 사이버 보안 포지셔닝에 미치는 직접적인 영향을 잘 보여주는 사례입니다. 사실 일관되고, 재현 가능하며, 감사 가능하고, 대응 가능한 패치 관리 전략의 부재는 여전히 막대한 비용이 드는 사고와 비즈니스 문제의 근본 원인입니다. 어쩌면 20여 년 전에 사용하던 관행이 한때 효율적인 패치 배포 기간으로 간주되던 범위를 넘어 진화한 위협 환경에 더 이상 적용되지 않을 수도 있습니다.
패치 관리가 제대로 이루어지지 않는 이유
상위 경영진의 승인 부족
비즈니스 연속성 문제로 인해 패치를 위한 다운타임 승인을 지연하거나 노골적으로 거부하는 경우가 종종 있습니다. 이는 비즈니스 관점에서는 방어할 수 있지만, 애초에 패치를 수행하지 않음으로써 발생하는 손실과 중단을 고려하지 않은 것으로, 이는 계획되고 예정된 유지보수 기간 동안 발생하는 중단보다 (항상?) 훨씬 더 큰 손실입니다.
운영 중단 우려
패치 적용 후 시스템이나 서비스를 재부팅하면 심각한 비즈니스 중단이 발생할 수 있습니다. 업무 중단이 새로운 위협에 대한 적시 대응을 승인하지 않는 주된 이유라면 아래 나열된 것처럼 이를 해결할 수 있는 솔루션도 있습니다.
우선순위 지정 과제
좁은 유지 관리 기간 내에 무엇을 먼저 패치할지 결정하는 것은 특히 복잡한 IT 환경에서는 어려운 작업입니다. 이 문제에 대한 해결책은 콜럼버스 에그와 비슷하게 우선순위를 정하지 않고 모든 것을 패치하는 패치 전략을 채택하는 것입니다. 다양한 취약점의 중요도와 심각도는 환경에 따라 달라지거나 최소한 평가 및 채점 시 셀 수 없는 환경 변수에 의해 크게 영향을 받는 경우가 많습니다. 따라서 위험도가 가장 높은 취약점만 우선순위를 정하더라도 특정 환경과 관련된 다른 취약점을 놓칠 수 있습니다.
리소스 제한
많은 경우, 적절한 리소스가 부족하면 적시에 패치를 구현하는 데 어려움을 겪습니다. 리소스 제약이 심한 팀과 함께 작업할 때 자동화는 문제를 완화할 수 있는 가장 효율적인 방법입니다. 테스트, 배포, 우선순위 지정, 보고 등 패치 관리 프로세스의 모든 측면을 자동화하면 필요한 리소스 비용을 줄일 수 있습니다. 마법의 솔루션은 아니지만 그 자체로는하지만 올바른 방향으로 나아가는 한 걸음입니다.
실제 결과
이유야 어찌되었든 패치가 적용되지 않은 시스템은 여전히 취약한 시스템입니다. NSA/CISA 보고서에 부실한 패치 관리가 포함된 것은 그 중요성을 강조합니다. 부적절한 패치 관리의 결과는 가상이 아니라 조직 보안에 대한 실제적이고 현존하는 위험입니다.
관행의 변화가 필요한 때
지속적인 취약성에서 알 수 있듯이 기존의 패치 관리 방식이 실패하고 있다면 조직은 대안적인 접근 방식을 고려해야 할 때입니다:
라이브 패치
운영 중단 없이 효율적이고 신속하게 패치를 배포할 수 있는 방법입니다. 이 접근 방식은 비즈니스 운영에 영향을 주지 않으면서도 취약점이 노출되는 기간을 크게 줄일 수 있습니다.
자동화된 패치 관리
패치 배포를 위한 자동화된 시스템을 구현하면 적시에 업데이트하고 인적 자원의 부담을 줄일 수 있습니다.
정기 보안 감사
취약점을 식별하고 우선순위를 정하기 위해 자주 감사를 수행하면 패치 관리 프로세스를 간소화할 수 있습니다.
부실한 패치 관리는 사이버 보안에서 매우 중요한 문제입니다. Log4j와 같이 잘 알려진 익스플로잇에 대한 취약성이 지속된다는 것은 보다 효과적인 패치 관리 전략이 필요하다는 것을 반증하는 것입니다. 조직은 이 문제의 심각성을 인식하고 적시에 효율적으로 패치를 적용하여 디지털 자산을 보호할 수 있는 관행을 채택해야 합니다.