|
[2] PMS의 종류
최근 IT보안시장에서 화두가 되고 있는 PMS에 대해서 설명하겠다. 단적으로 PMS는 Patch Management System의 약자이다. 시장의 형성은 최초 미국에서 12년 전에 태동되었다. 그리고 약 5년 전부터 시장이 무르익기 시작하였고 현재는 PatchLink Update, HFNetChk Pro, Update Expert 등 7여종의 솔루션이 등장하여 시장이 무르익은 상태이다.
패치의 종류에는 MS의 Service Pack이나 Hot Fix 등과 같이 알려진 취약점을 보완하는 보안 패치가 있으며, 이 외 애플리케이션 패치나 게임 등의 엔진 등을 보강하는 엔진패치가 있다.
결국 PMS는 패치 미실시로 인해 내부망이 웜 바이러스에 의해 오염되거나 한국인으로서는 언급하기 싫을 만큼 부끄러운 얘기긴 하지만 1.25인터넷 대란 같은 사태를 사전에 방지하기 위해서 이러한 취약점들을 공격하는 웜 바이러스가 침입하기 전에 중앙에서 관리자나 이에 준하는 디렉터가 직접 제어하는 것을 기반으로 움직이다.
하지만 패치파일을 발표할 때에 각 솔루션 벤더에서는 공표하는 사항들이 있다. 이것은 '당신이 설치하고자 하는 패치파일로 인해 당신의 시스템에 문제가 생기더라도 벤더에서는 책임을 지지 않습니다'라는 사항인데, 아주 무책임한 부분이기도 한다.
그렇기 때문에 당연히 관리자는 자신이 적용하고자 하는 패치가 전 시스템에 설치되기 이전에 대상 패치가 오류를 발생시키지 않는지 확인하는 작업은 선행되어야 한다. 즉 이 패치가 제대로 만들어진 패치인지 검증작업을 거쳐야 한다. 그리고 예기치 못한 사태발생시 패치를 회수할 수 있는 방법까지도 생각하고 있어야 한다.
이 모든 아키텍처를 갖추고 있는 것이 PMS이다. 이러한 기본 개념을 바탕으로 PMS가 만들어지면서 2개의 흐름으로 나뉘어졌다. 에이전트 기반의 PMS와 비에이전트 기반의 PMS이다.
에이전트 기반 PMS, 비에이전트 기반 PMS
에이전트 기반의 PMS는 대상클라이언트마다 에이전트를 설치해야 하는 번거로움이 있지만 소속클라이언트에 대한 자세한 정보를 PMS중앙에 제공하는 장점이 있으며, 비에이전트 기반의 PMS는 소속클라이언트에 대한 자세한 정보를 제공할 수는 없지만, 에이전트를 설치하지 않아도 되는 장점이 있다.
최초 시장에서의 다수 전문가의 의견과는 달리 현재 주류는 에이전트 기반으로 가고 있다. 에이전트를 설치해야 하는 번거로움이 있지만, 관리자들은 언제 어느 상황에서라도 자세한 정보를 요구하기 때문이었던 것이죠. 그리고 한국에는 워낙 많은 사용자들이 MS의 솔루션을 사용하지만, 패치는 MS에서만 만드는 것이 아니다. Sun-Solaris, IBM-AIX, HP-UX, Linux 등에서도 끊임없이 패치를 발표하고 있으며, PMS를 구비했을 경우에는 이러한 플랫폼에 관계없이 패치를 분배하는 것을 지원하고 있다.
패치 매니지먼트 시스템마다 지원하는 운영체제 및 애플리케이션 목록이 다르며 이러한 한계를 명확히 확인한 후에 사용돼야 한다. 그 외에 패치 매니지먼트 시스템 도입 시 검토되어야 할 사항은 다음과 같다.
- 자사에 사용 중인 OS 및 애플리케이션 지원 여부
- 각 대상 서버에 대한 패치 적용/미적용 내역 검토 가능 여부
- 대상 서버에 대한 그룹핑 관리(grouping) 지원 여부
- 대상 서버들로의 패치 적용을 위한 네트워크 대역폭 조절 가능해 패치 배포로 인해 네트워크가 마비되는 일은 없는지 Bandwidth 설정기능 여부 및 Distribution Center 기능 여부.
- 에이전트 설치가 필요하다면 에이전트 설치로 인한 필요 리소스는 어느 정도인지 여부
- 패치 적용 필요 내역에 대한 우선 순위를 제공하며 우선 순위 분류 기준은 명확한지 여부
- 예약 작업이 가능하며 예약 작업 결과(성공/실패 등)에 대해 통보 받을 수 있는지 여부
- 서비스 단절을 최소화하며 패치를 적용할 수 있는지 여부
- 문제 발생 시 패치 적용 이전 상태로 롤-백 지원 여부
- 각 구성 요소간의 통신은 암호화를 지원하며 패치 배포 시 배포되는 패치 파일의 조작 위험은 없는지 여부
- 일련의 작업에 대한 보고서를 지원하며 보고서 형식은 적합한지 그리고 보고서 데이터를 엑셀과 같은 파일로 Export가 가능한지 여부
보안에 있어서 가장 중요한 것은 복잡하고 다양한 기술이 아니라 지속적이고 체계적인 관리이다. 시스템에 대한 패치 관리는 다른 어떤 보안 작업보다 가장 우선이 되는 중요한 작업이다. 지난해 1.25 대란이 발생했을 때 이 웜이 단순히 UDP/1434를 대상으로 한 것이라 각 ISP 관리자가 라우터 단에서 해당 포트로의 트래픽을 차단하여 몇 시간 동안의 장애를 해소할 수 있어서 그나마 다행이었다고 생각한다.
MS SQL 웜은 300바이트 가량의 UDP 패킷을 사용했는데 UDP는 특히 TCP와 달리 연결 지향 프로토콜이 아니기 때문에 네트워크 대역폭이 허용하는 최대 한도에서 짧은 시간 안에 훨씬 더 많은 패킷을 보내면서 공격을 할 수 있기 때문에 기존의 TCP 기반 웜과 달리 전 국가적인 장애를 초래한 것이었다.
향후 DNS 서비스가 이용하는 UDP/53 포트를 대상으로 한 웜이 나타난다면 어떨까 하는 상상을 종종 하게 되는데 라우터 단에서 쉽게 차단할 수도 없기에 피해는 상상치 못할 수준이 될 것이다. 패치관리시스템에 대한 준비가 얼마나 잘 되어 있는지에 따라 시스템 관리자의 희비가 엇갈리게 될 것이다.
▶ 자사에 사용 중인 OS 및 애플리케이션 지원 여부
Apple MAC OS
IBM AIX 5.1
Microsoft Windows Server 2003, Web Edition / Standard Edition / Enterprise Edition / Datacenter Edition
Microsoft Windows XP Professional / XP Home (Personal)
Microsoft Windows 2000 Datacenter Server / Advanced Server / Server / Professional
Microsoft Windows NT Server 4.0, Datacenter Edition / Terminal Server Edition / Enterprise Edition
Microsoft Windows NT Workstation 4.0
Microsoft Windows ME
Microsoft Windows 98 SE
Microsoft Windows 98
Microsoft Windows 95 OSR2.5
Microsoft Windows 95 OSR2
Microsoft Windows 95
Novell NetWare 4.11 / 4.2 / 5.0 / 5.1 / 6.0
Red Hat Red Hat Linux 6.2 / 7.0 / 7.1 / 7.2 / 7.3 / 8.0 / 9.0
Sun Solaris 2.6 / 7 / 8 / 9
모든 OS 지원
애플리케이션: Microsoft, IBM, Adobe, Oracle, Corel, Symantec, McAfee, Sophos, Command, Real Audio, MP3, Compaq, WinZip, Citrix, Novell 등등.
- 국내 제품(고객 needs에 맞추어 100% 공급 가능)
각종 윈도우 애플리케이션, 각 종 비 윈도우 애플리케이션, 각 종 보안 패치, 각 종 DBMS, Notes 등 각 종 그룹웨어, SAP 등 각 종 ERP, CRM, SCM 솔루션 패치 자동 설치
▶ 각 대상 서버에 대한 패치 적용/미적용 내역 검토 가능 여부
Patch signature를 가지고 패치링크 에이전트는 시스템의 소프트웨어 버전과 하드웨어 드라이버에 대한 정보를 스캐닝하고 해당 패치가 시스템에 적용 가능한 상태인지 체크할 수 있다. Patch signature를 이용하여 선수조건을 체크한 결과를 가지고 Digital Patch Fingerprinting 은 특정 시스템을 스캔하여 어떤 패치와 업데이트가 적용 가능한지 목록 데이터를 생성한다.
패치 적용/미적용 사항이 패치별, 클라이언트별, 그룹별로 리포팅하는 기능을 가진다.
*** <참고사항>
패치는 OS레벨의 파일을 교체하는 작업으로 현재 시스템에 어느 레벨까지 패치가 되어있는지 미리 체크되어야 한다. 일정한 레벨로 패치가 되어있지 않으면 패치 설치가 안 되는 경우가 있기 때문이다. 또한 같은 OS라고 할 지라도 OS별로 설치되어있는 애플리케이션이 다른 경우가 있는데 이와 같은 경우에는 동일한 패치가 적용되지 않을 수 있다. 이러한 경우 패치링크 업데이트 서버는 해당 데이터를 Agent에 다운로드하여 선별해서 패치가 적용될 수 있도록 그 기능을 제공하고 있다.
▶ 대상 PC나 서버에 대한 그룹핑 관리(grouping) 지원 여부
패치링크는 관리자의 패치관리가 용이하도록 어떤 OS에 상관없이 네트워크 상의 컴퓨터들을 grouping 할 수 있다. 선택된 그룹에 한하여 패치 적용이 가능하며 그룹단위 별로 레포팅이 제공되며 강제 패치설치 정책을 그룹별로 적용할 수 있다. OS별 그룹뿐만이 아니라 사용자가 임으로 생성한 그룹별 관리도 가능하다.
▶ 대상 서버들로의 패치 적용을 위한 네트워크 대역폭 조절 가능해 패치 배포로 인해 네트워크가 마비되는 일은 없는지 ? Bandwidth 설정기능 여부 및 대규모 네트워크를 지원하는Distribution Center 기능 여부
패치링크는 Secure Background Transfer Service를 사용하여 네트워크 대역폭의 병목현상을 최소화한다. 에이전트는 자신이 설치해야 할 패치를 네트워크 대역폭을 고려하여 압축된 형태로 백그라운드 모드로 다운로드 받고 중간에 특히 노트북 사용자의 경우 네트워크 단절로 전송이 끊겼을 경우에는 네트워크에 다시 접속하는 순간 기존 패치 파일의 다운로드를 재개하도록 설계 되어 있다. 패치링크 서버는 각 Agent 접속에 대해 일정 대역폭만을 설정할 수가 있어 네트워크 병목현상을 사전에 막을 수 있다.
대규모 네트워크에서는 패치링크 Distribution Point (분산 캐시 서버)를 이용하여 패치링크 서버의 기능이 분산 가능하다. 하나의 서버에서 수천 개의 에이전트들이 패치를 다운로드 받는다면 네트워크 병목현상 및 시스템 부하를 일으킬 수 있으므로 분산 포인트(Distribution Point)를 두어 네트워크 단위별로 에이전트를 관리할 수 있다.
▶ 패치 적용 필요 내역에 대한 우선 순위를 제공하며 우선 순위 분류 기준은 명확한지 여부
패치링크는 패치의 중요도를 구분하며 이는 OS 벤더의 권고사항에 기준한다. 널리 알려진 취약점 그리고 웜바이러스로 제작되기 쉬운 취약점을 기준으로 그 우선 순위가 정해지며Patch Signature를 통해 패치 설치 우선순위를 결정하며 시스템별로 한번에 여러 패치를 적용할 때 우선순위별로 적용된다.
▶ 예약 작업이 가능하며 예약 작업 결과(성공/실패 등)에 대해 통보 받을 수 있는지 여부
패치나 업데이트 설치 시 예약작업이 가능하며 각각의 클라이언트에 대해 성공 및 실패를 레포트 형태로 확인할 수 있다. 예약 작업뿐만 아니라 패치 설치 후 리부팅 횟수나 패치를 설치하기 전에 클라이언트에 보여지는 메시지를 따로 설정할 수 있다.
▶ 문제 발생 시 패치 적용 이전 상태로 롤-백 지원 여부
패치링크는 설치한 모든 패치들을 자동으로 롤백(rollback)할 수 있다. 문제를 일으키는 패치는 삭제시켜 시스템을 보호한다.
▶ 각 구성 요소간의 통신은 암호화를 지원하며 패치 배포 시 배포되는 패치 파일의 조작 위험은 없는지 여부
패치링크는 벤더에서 마스터 서버 그리고 고객사이트의 패치링크 서버까지 모두 128bit SSL로 암호화된 연결을 통해 패치나 애플리케이션 업데이트를 전송한다. 만약 새로운 패치가 Critical 등급이라면 자동으로 고객 패치링크 서버까지 다운로드 되고 캐싱된다. 패치뿐만 아니라 마스터 서버에서 고객사의 패치링크 서버까지 전달되는 모든 정보는 암호화되서 다운로드 되고 CRC 체크, 압축, 그리고 전자서명이 되어 128-bit SSL로 통신한다.
▶ 일련의 작업에 대한 보고서를 지원하며 보고서 형식은 적합한지 그리고 보고서 데이터를 엑셀과 같은 파일로 Export가 가능한지 여부
그래픽한 보고서 형태로 패치 상황을 한눈에 알아볼 수 있으며 패치별 클라이언트별로 설치 및 미설치 내역 결과를 알아볼 수 있다. 이외에도 정책별 그룹별 보고서 작성이 가능하고 데이터를 엑셀 파일 형태로 Export 할 수 있다.
▶ 모바일 컴퓨터의 인터넷 접속 시 사내 기준 보안 패치 정책을 자동으로 적용할 수 있는지
패치 링크는 각 그룹에 강제 설치 정책 기능을 가지고 있다. 강제 설치 정책이 한번 설정되면 정책에 포함된 모든 패치와 패키지들이 자동으로 설치된다. 예를 들면 윈도우 2000 그룹에 MS03-041, MS03-042, MS03-043, Adobe Acrobat Reader 5.0 and Service Pack 4를 설치하라고 정책을 설정하면 그룹상의 모든 윈도우 2000 시스템상에 패치가 자동으로 설치가 된다.
만약 패치되지 않은 컴퓨터가 네트워크에 접속되면 강제설치 정책에 따라 자동으로 설치된다. 여러 개의 패치가 설치되는 경우 리부팅을 한번만 할 수 있도록 옵션을 줄 수 있다.
▶ 이 밖의 패치링크의 장점
이미 설치된 패치, 소프트웨어 변동사항 관리 기능 : 시스템 별로 이미 설치된 패치나 소프트웨어에 변동사항(언인스톨 또는 수정)이 생기면 관리자에게 자동으로 메일을 보낸다. 이를 락다운 기능이라고 하는데 보안적으로 중요한 패치에 락다운을 걸어놓으면 설치된 패치에 대해 사후 관리가 가능하다.
Agent Management Center (AMC) : 패치 링크는 네트워크 상의 에이전트를 따로 관리할 수 있는 콘솔을 제공한다. IP 스캐닝을 통해 네트워크 상에 에이전트가 설치되지 않은 컴퓨터를 찾아내고 각각에 대해 강제 설치가 가능하다.
<참고> 에이전트 설치 유도는 현재 패치 링크에서 지원하지 않기 때문에 핌스텍에서 개발한 에이전트 설치 유도 프로그램이 사용될 것이다. 그리고 에이전트를 설치하지 않은 컴퓨터에 대해 네트워크 사용이 불가하게 만드는 Network Isolation 기능은 MS에서 NAC(Network Access Control)를 개발 완료하면 다음 버전에서 추가할 예정이다(MS에서 공식적으로 지원하는 아키텍쳐를 이용하므로 가장 안정적인 서비스를 구현할 수 있다.).
자동 재해복구 시스템 : 만약 서버의 하드디스크나 하드웨어에 이상이 생겼을 경우 관리자는 다른 서버에 동일한 DNS 이름을 주고 동일한 시리얼 키로 패치링크 업데이트 서버를 다시 설치하면 모든 에이전트들이 자동으로 연결된다.
에이전트의 서버와 커뮤니케이션 유연성 : 에이전트는 방화벽을 통해서도 패치링크 서버와 통신이 가능하다. 그 이유는 에이전트가 HTTP와 HTTPS 프로토콜을 사용하여 서버와 서로 통신하기 때문이고 방화벽 설정을 굳이 바꾸지 않아도 된다. 만약 다른 포트를 이용하고 싶다면 따로 설정이 가능하다.
최근 모든 사람들 특히, 기업이나 단체의 보안 담당자나 네트워크 담당자의 가장 큰 걱정은 하루에도 수백 개씩 쏟아져 나오는 해킹과 웜, 바이러스 등을 어떻게 막느냐 하는 것이다. 물론 안티바이러스 소프트웨어나 파이어월(Firewall), IPS 등과 같은 보안 장비를 통해 막는다고는 하지만, 실제 가장 보안에서 심각한 문제는 내부의 사용자들이 외부에서 옮겨오는 바이러스나 웜을 내부 네트워크에 전파하는 내부자 보안 문제점이다.
더구나 좋다는 보안 장비를 많은 투자를 해서 들여 놓고, 보안 담당자는 수도 없이 MicroSoft의 OS 또는 사용 software들의 보안 패치를 내부에 공지해도 각 사용자들이 말을 듣지 않는 다는 것이다.
결국 사용자들이 알아서 적절한 시기에 패치를 해야만 가장 안전한 네트워크가 보장이 되는데, 그 부분이 가장 어려운 과제 중에 하나이다.
최고 경영자나 CIO는 결국 보안 담당자만 나무라게 되는 것이 현실이다.
이런 운영자의 고민을 해결해 주는 것이 바로 PMS 이다. PMS는 전 세계의 주요한 소프트웨어, MS의 윈도우 OS는 물론, UNIX, Linux등의 다양한 OS와 대표적인 애플리케이션 소프트웨어들의 보안 업데이트 패치를 운영자나 개인이 알지 못하는 사이에 자동으로 모든 단말에 패치하고, 만일 어떤 이유에서든 소프트웨어 패치를 하지 않는 단말은 아예 인터넷을 쓰지 못하도록 하는 기능을 한다.
사용자는 자기가 아무리 바빠도, 인터넷을 쓰기 위해서는 어쩔 수 없이 패치를 해야 하고, 만일 자신이 원하지 않았지만, 불행하게 자신의 PC가 웜 바이러스에 감염이 된 경우, 사용자 자신은 알지 못하지만, PMS가 설치된 회사의 네트워크에 접속을 하는 순간, 웜이 감염된 사실을 알게 되고, 자동으로 이를 방지할 수 있는 패치가 설치된다(물론 일단 감염된 웜은 자신이 백신을 이용해서 치료를 해야만 한다.). 전체 보안 운영자는 단지 차단된 내역과 조치를 확인만 하면 되는 것이다.
이제 정부 관공서와 주요 금융권, 대학 등은 의무적으로 이 PMS를 설치해야만 한다. 더 이상 선택의 문제가 아닌 필수 의무 사항이 되어 버린 것이다.
Patch Link
Patch Link는 14년 간 PMS(Patch Management System) 사업 경험을 보유한 세계 최대의 자동화된 패치를 공급하고 있다. 현재 전세계 PMS 시장 점유율 65(%)를 보유하고 있으며, MS Windows OS 계열은 물론 MAC, IBM AIX, Red Hat Linux, Sun Solaris, Novell Netware 등 다양한 OS 및 Symantec, MacAfee, 안철수바이러스 V3, Hauri 등 백신 프로그램을 지원한다. OS 및 백신 프로그램 벤더로부터 최우선적으로 패치를 공급받아 250회 이상 다양한 환경에서 검증하여 PatchLink 고객에게 배포한다. 128Bit SSL로 암호화된 상태에서 고객 Update 서버로 패치를 공급하기 때문에 변/위조될 가능성이 없다.
이 제품 특징은 다음과 같다.
- 전 세계에서 가장 많이 사용되는 PMS 이다 (68% Market Share)
- 윈도우 OS만이 아니라, Unix, Linux 등 가장 많은 OS Platform을 지원한다.
- Application도 지원하며, 사용자 정의에 의해 국내 software도 등록할 수 있다.
- 하나의 OS parch가 발표되면, 250개의 서로 다른 환경에서 모든 사전 test를 수행한 후 결점이 없는 patch를 사용자에게 전달한다.
- Patch를 down load하는데 네트워크 대역폭의 단 1%만을 사용한다.
- Patch를 내려 받는 경로에 완벽한 암호화를 하여 위변조 가능성이 없다.
- 사용자가 원할 때는 기존에 patch된 사용자 PC를 완전한 이전의 상태로 다시 roll-back할 수 있다.
IP Block 이란?
다양하고 복잡한 네트워크 자산을 효율적으로 통합관리하고 비인가 사용자를 감시 차단하는 강력한 보안통제 및 네트워크 자원을 자동으로 관리한다.
IP, Mac, Host Name을 사용한 인증관리, 실시간 네트워크 자원수집, 사용중인 IP이력관리, 네트워크 장비관리 등의 통합관리 및 IP도용/충돌방지, 네트워크 장비 장애관리 등의 기능이 있으며 현재 이슈화되고 있는 유해트래픽 확산차단, 보안시스템/네트워크 장비와 효율적으로 연동할 수 있다.
PatchLink와 IPBlock의 연동
IP 충돌, 최신 OS 및 백신프로그램 패치를 업데이트 하지 않아 웜 바이러스에 감염된 PC에서 대량의 트래픽을 발생하여 네트워크를 마비시키는 경우를 종종 볼 수 있다. 현재 웜 바이러스 등의 공격으로부터 IT자산을 100(%) 차단할 수 있는 기술은 없다. IPS, Virus-Wall, L7 필터링 기술을 사용하고 있고, IPS 제품이 트렌드인 것은 사실이다.
하지만 과거 IDS의 경우와 마찬가지로 미탐, 오탐이 있는 것이 사실이며, 오탐 시 특정 서비스 포트 등에 대하여 블록(Block)을 한다. 또한 In-line 방식으로 구동되기 때문에 장비 자체의 장애 시 네트워크가 완전히 단절된다.
대안으로 PMS/IP관리 시스템을 고려해 볼 만하다. OS 및 백신 프로그램을 완전하게 업데이트 하는 것 만으로도 현재 알려진 웜 바이러스 공격 및 보안 취약 요소를 대부분 제거할 수 있으며, IPS 장비 등의 도입보다 효과적일 수 있다. 또한 대부분의 공격은 알려진 웜 바이러스 등에 의한 공격이며, 관리가 되지 않는 PC 등에 의한 공격이 많다.
PatchLink DB와 IPBlock Management 서버 및 Probe의 연동을 통해 보안정책에 위배되는 PC가 보안 정책을 준수할 때까지 인터넷(네트워크) 접근을 차단한다.
각 PC는 최신 OS로 업데이트하여 취약점을 제거하며 최신 백신 프로그램의 패치를 업데이트하여 사전에 공격의 원인이 되는 대상을 제거할 수 있다. 관리자 입장에서 보안 정책을 일관성 있게 가져갈 수 있으며 타 업무에 집중할 수 있는 배경을 마련할 수 있다. 또한 추가 솔루션의 도입 없이 네트워크 장비 및 PC를 관리할 수 있으며, 불법사용자를 근절할 수 있다.
각 PC가 사용하는 트래픽에 대하여 임계 값을 설정하여 이상 트래픽 발생 시 인터넷(네트워크) 접속을 차단 한다.
|
