보안패치 제로데이 공격(?)
올해들어 Microsoft에서 발표한 보안패치를 수행한 이후 시스템이 부팅불가 상태가 되는 일이 지속적으로 발생하고 있습니다. 기업의 IT관리 담당자 입장에서 이같은 일은 엄청난 사고가 아닐수 없는데 이런 상황이 발생되는 원인은 문제있는 보안패치가 운영체제에 의해서 자동으로 설치되기 때문입니다. IT관리자는 사용자의 PC에 적용될 보안패치를 자사의 표준적인 시스템에 적용해서 기존프로그램과의 충돌이 없는지 확인하지 못한 채 사용자의 PC에 배포즉시 적용되어 내부 PC의 상당수가 장애를 일으킬 수 있는 환경에 노출되어 있는 것 입니다. 대다수의 업무용 PC OS로 윈도우를 사용하고 있는 우리나라의 경우, 관리자가 손 쓸 틈도 없이 신규 패치 설치로 인해 내부 PC가 불능상태가 되는 현상은 업무의 연속성을 유지하는데 매우 큰 위협으로 작용할 수 있습니다.
관리자 승인기반 보안패치
신규 패치 자동업데이트에 의해 발생하는 문제를 해결하기 위해 Genian NAC에서는 사용자의 PC에 윈도우즈 보안패치를 적용할때 관리자가 통제할 수 있는 여러가지 방법을 제공합니다. 그 중 첫번째가 관리자 승인기반 보안패치 적용입니다.
새로 발표된 보안패치에 대해서 관리자가 테스트 시스템에 먼저 적용하여 사내 시스템과의 충돌여부를 검증한뒤 문제가 없으면 사용자의 PC에 설치를 승인하는 방법입니다. 이를 위해 사용자의 PC에서 윈도우즈 자동업데이트 대신 NAC가 윈도우즈에서 제공되는 WUA(Windows Update Agent) API를 통하여 업데이트를 관리하게 됩니다. NAC가 사용자의 PC에서 윈도우즈 보안패치를 수행할때 관리자가 승인한 패치에 대해서만 설치되도록 목록을 전달하여 관리자가 인가하지 않은 패치는 설치되지 않도록 해줍니다. 이는 문제있는 보안패치 뿐만이 아니라 인터넷 익스플로러 최신버전, 서비스팩등 사내 IT인프라와의 호환성이 검증되지 않은 일반 업데이트에 대해서도 적용할 수 있습니다.
자동승인 지연
관리자 승인기반 보안패치는 매번 보안패치가 나올때마다 관리자가 수동으로 검증하고 승인하는 작업이 필요하기 때문에 다소 번거로운 과정이 될 수 있습니다. (물론 보안을 위해서는 그렇게 하는것이 가장 좋습니다) 그에대한 대안으로 보안패치가 발표되고 2-3일정도 이후에 패치가 자동승인되도록 하는 방법을 사용할 수 있습니다. 패치 발표후 뉴스나 사용자 커뮤니티를 통하여 문제되는 패치가 있는지 모니터링 한 뒤 문제가 있으면 승인을 해제하면 됩니다.
이 방법을 사용하게 되면 관리자는 매번 새로운 패치 발표시 마다 번거로운 작업없이 안정적인 보안패치를 수행할 수 있게됩니다.
이제 보안패치의 중앙관리시스템은 기업 IT보안 관리에서 없어서는 안될 부분입니다. Genian NAC에는 이외에도 운영체제에서 제공하지 못하는 다양한 보안패치관련 옵션을 제공하여 안정적인 IT시스템 관리를 지원하고 있습니다. 운영체제 신규 패치로 인한 PC오류에 대한 고민 Genian NAC를 통해 벗어나시기 바랍니다.