커널케어 엔터프라이즈
와 정식 라이브 패치

다른 주요 Linux 공급업체와 마찬가지로 Canonical은 Ubuntu용 라이브 패치 도구를 자체 개발했습니다: Livepatch. 라이브 패치는 재부팅이나 유지 관리 기간 없이 중요한 커널 보안 업데이트를 즉시 적용하여 가동 중단 시간을 없애는 역할을 합니다.

하지만 라이브패치는 가장 중요한 부분에서 부족합니다. Ubuntu CVE의 5~10%만 커버하기 때문에 많은 고위험 취약점이 패치되지 않아 라이브 패치의 목적 자체가 약화됩니다. 그리고 이러한 공백에도 불구하고 막대한 비용이 발생합니다.

더 강력하고 완벽한 대안인 TuxCare의 KernelCare Enterprise는 여러 Linux 배포판에서 최대 100%의 취약성 커버리지를 제공합니다. 라이브패치와 달리 성능 저하 없이 중단 없는 보안을 제공합니다. 이 두 솔루션을 어떻게 비교하는지 자세히 살펴보세요.

저희 조사에 따르면 Canonical Livepatch는 전체 Ubuntu CVE의 5~10%만 패치를 적용하여 대부분의 취약점을 해결하지 못합니다. 이로 인해 시스템 관리자는 보안에 대한 잘못된 인식을 갖게 되고, 일부 업데이트가 적용되더라도 심각한 위험은 남아 있어 결국 시스템을 완전히 보호하기 위해 재부팅을 예약해야 하는 상황이 발생합니다.

그러나 여전히 잦은 재부팅이 필요한 경우, 라이브 패치는 다운타임을 없애고 지속적인 보호를 보장한다는 라이브 패치의 핵심 약속을 이행하지 못합니다. 대신 관리자는 여전히 유지 관리 기간을 계획하고, 서비스 중단을 견뎌야 하며, 보안 공백을 관리해야 하므로 기존 패치 방식에 비해 실질적인 이점이 거의 없습니다.

이와는 대조적으로 KernelCare Enterprise는 진정한 의미의 포괄적인 실시간 패치를 제공합니다. 공급업체가 해결하는 모든 취약점에 대한 패치를 제공하며, 더 나아가 공급업체가 해결하지 않지만 다수의 시스템에 영향을 미치거나 야생에서 활발하게 악용되는 취약점까지 패치합니다^.1

¹ CISA의 카탈로그에 따르면 https://www.cisa.gov/known-exploited-vulnerabilities-catalog

실시간 패치를 적용하면 재부팅할 필요가 없지만 대부분의 솔루션은 중요한 사용자 공간 취약성을 해결하지 못합니다. Linux 커널은 일반적으로 재부팅 없이 패치가 적용되지만, 대부분의 Linux 환경의 핵심 구성 요소인 OpenSSL과 glibc는 보안 수정 사항을 적용하려면 여전히 서버를 완전히 재부팅해야 합니다. 이로 인해 시스템이 고위험 취약성에 노출되고 관리자가 유지 관리 기간을 예약해야 하므로 실시간 패치의 핵심 이점이 약화됩니다.

OpenSSL 및 glibc 취약점은 커널 CVE보다 더 위험하며, 일부는 과거에 대형 보안 사고로 이어지기도 했습니다. 그럼에도 불구하고 캐노니컬 라이브패치는 커널 패치로만 제한되어 있어 이러한 중요한 라이브러리에 대한 보호 기능을 제공하지 않습니다. 따라서 조직은 여전히 다운타임과 보안 공백을 감내해야 하므로 실제로는 기존 패치보다 낫지 않습니다.

이 문제를 해결하기 위해 KernelCare Enterprise는 전체 스택에 걸쳐 재부팅 없이 패치를 제공합니다. 라이브 패치를 커널을 넘어 중요한 공유 라이브러리, QEMU/KVM 하이퍼바이저 및 IoT 장치까지 확장하여 재부팅이나 다운타임 없이 지속적인 보안을 보장합니다.

라이브 패치는 지속적인 보안을 제공해야 하지만 Canonical은 엄격한 시간 제한을 두고 있습니다. Ubuntu LTS GA 커널에는 라이브패치에 대한 13개월의 슬라이딩 지원 기간이 있습니다. 이 기간 내에 시스템을 재부팅하지 않은 경우 관리자는 최신 커널 업데이트를 설치하고 재부팅해야 라이브 패치를 계속 받을 수 있습니다. 따라서 유지 관리 주기가 긴 조직은 일정을 조정하거나 라이브 패치 지원을 받지 못할 위험이 있습니다.

이러한 제한은 라이브 패치가 제공해야 하는 유연성을 약화시킵니다. 다운타임을 없애는 대신 재부팅의 필요성을 지연시킬 뿐이며, 관리자는 우분투의 릴리스 일정에 제약을 받게 됩니다.

KernelCare Enterprise는 이러한 제한을 제거하여 강제 재부팅 기한이 없는 실시간 패치를 제공합니다. 조직은 인위적인 시간 제한이나 불필요한 재부팅 없이 기존 커널에 대한 지속적인 보호를 유지할 수 있습니다.

실시간 패치는 유연성을 제공해야 하지만 대부분의 솔루션에는 재부팅 없는 롤백이라는 중요한 기능이 없습니다. 경우에 따라 패치가 특정 환경에 예기치 않은 영향을 미칠 수 있는데, 스펙터 및 멜트다운 완화 조치에서 볼 수 있는 성능 영향이 이에 해당합니다. 대체 수단을 사용할 수 있는 경우 관리자는 변경 사항을 원활하게 되돌릴 수 있는 기능이 필요합니다.

KernelCare Enterprise는 재부팅할 필요 없이 롤백을 활성화하여 관리자가 필요한 경우 시스템 안정성을 신속하게 복원할 수 있도록 함으로써 이 문제를 해결합니다.

그러나 정식 라이브패치는 재부팅 없는 롤백을 지원하지 않습니다. 패치를 되돌리려면 관리자가 시스템을 재부팅해야 하므로 비용이 많이 드는 서비스 중단이 발생하고 라이브 패치의 효과가 제한될 수 있습니다.

KernelCare Enterprise는 명령 한 번으로 다운타임 없이 이전 상태로 복원하므로 관리자는 패치 프로세스를 완벽하게 제어할 수 있습니다.

대부분의 라이브 커널 패치 솔루션은 단일 배포판으로 제한되며, Canonical Livepatch도 예외는 아니어서 최신 커널 버전이 설치된 우분투 시스템만 지원합니다. 이는 전체 인프라가 최신 Ubuntu 릴리스에서 실행되는 경우에 효과적이지만, 특정 워크로드에 더 적합한 배포판이 있기 때문에 많은 조직에서 다양한 사용 사례에 대해 여러 배포판을 사용합니다. 따라서 Livepatch는 부분적인 적용 범위만 제공하므로 라이브 패치 전략에 공백이 생길 수 있습니다.

반면 KernelCare Enterprise는 훨씬 더 광범위한 배포판을 지원하여 이러한 제한을 없앱니다. 60개 이상의 엔터프라이즈급 Linux 배포 버전과 9,000개 이상의 배포-커널 버전 조합을 포함하여 Ubuntu, Debian, RHEL, Oracle Linux, AlmaLinux, Rocky Linux, Amazon Linux 등에 대한 라이브 패칭을 제공합니다.

KernelCare Enterprise를 사용하면 여러 솔루션을 번갈아 사용할 필요가 없습니다. 실시간 패치에 대한 통합적이고 포괄적인 접근 방식을 제공하여 전체 Linux 환경에서 지속적인 보호를 보장합니다.

캐노니컬 라이브패치는 가장 비싼 옵션은 아니지만 가장 저렴한 옵션도 아니며, 독립형 제품으로 구매할 수도 없습니다. 대신 Ubuntu Pro 구독과 함께 번들로 제공되므로 사용자는 Ubuntu One 계정을 통해 가입해야 합니다.

Livepatch의 가격은 구독 티어에 따라 머신당 연간 $225에서 $3,400입니다. 이에 비해 TuxCare의 KernelCare Enterprise는 연간 서버당 50달러 미만의 비용으로 우분투뿐만 아니라 더 광범위한 호환성과 재부팅 없이 포괄적인 패치를 제공합니다.

Canonical Livepatch에서 KernelCare Enterprise로 쉽게 전환할 수 있습니다. 라이브패치를 활성화하는 것만큼이나 간단한 명령줄 스크립트 하나만 있으면 설치할 수 있습니다.

배포가 완료되면 KernelCare는 백그라운드에서 조용히 실행되어 운영 중단 없이 보안 패치를 적용합니다.

전환을 고려 중인 분들을 위해 KernelCare는 모든 기능이 포함된 30일 무료 평가판을 제공하여 커밋하기 전에 중단 없는 보안을 경험할 수 있도록 합니다.

적합한 재부팅 없는 패치 솔루션을 선택하는 것은 필요에 따라 달라집니다. 인프라가 Ubuntu 시스템으로만 구성되어 있고 이미 Ubuntu Pro를 구독하고 있는 경우, 제한된 취약성 범위와 커널 패치에만 집중하는 등의 제한 사항을 고려해야 하지만 Livepatch가 합리적인 옵션처럼 보일 수 있습니다.

KernelCare Enterprise는 비용 절감, 여러 Linux 배포판 지원 또는 보안 극대화를 원하는 조직을 위한 유연하고 비용 효율적인 솔루션을 제공합니다. 이 솔루션은 공급업체가 해결한 CVE에 대해 최대 100%의 취약성 커버리지를 제공하여 다른 솔루션이 남긴 보안 공백을 제거합니다. 라이브패치와 달리 재부팅할 필요 없이 커널을 넘어 중요한 사용자 공간 라이브러리, QEMU/KVM 하이퍼바이저 및 IoT 장치까지 보호 범위를 확장합니다.

보다 포괄적인 패치 적용, 폭넓은 호환성, 저렴한 비용으로 KernelCare Enterprise는 재부팅 없는 패치의 핵심 약속인 가동 중지 시간 최소화, 보안 위험 감소, 운영 간소화를 완벽하게 이행합니다.