세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
지인소프트 박영호 대표 “기업, 취약점 패치 잘하려면...”
  |  입력 : 2018-04-16 13:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점 패치 잘하고 싶지만...기업 입장에선 패치 관리 쉽지 않아
다양한 취약점 관리항목 지원, 가시성 통한 점수화 유도...보안문화로 정착시켜야


[보안뉴스 김경애 기자] “취약점만 잘 패치하고 업데이트만 잘 해도 보안사고 위험에서 벗어날 수 있다고 하는데, 정작 패치나 업데이트 방법을 모르는 경우가 상당수에요. 전문적인 지식을 갖춰야만 이해하기 쉽고 적용할 수 있는 경우가 많기 때문이죠. 일반 사용자도 쉽게 이해하고 업데이트를 적용할 수 있도록 했으면 좋겠어요.”

▲지인소프트 박영호 대표[사진=보안뉴스]


어느 기업 CISO의 말이다. 그는 기업에서 적용해야 할 패치 방법이 쉽지 않다고 지적하며 패치 관리의 어려움을 토로했다.

이는 최근 해킹 유형이 급변하고 있는데도 기인한다. 해킹 초기는 시스템을 대상으로 취약점을 이용해 공격했다면 최근에는 사용자 행위를 기반으로 해킹한다. 대표적인 예가 한글 오피스 파일의 매크로 기능을 활용해 악성파일을 심어 메일로 공격하거나, 스피어피싱 공격에서 첨부된 한글 악성파일에 이미지를 위장한 악성코드를 실행시키는 공격방법이다. 이렇듯 요즘에는 사회공학적 기법과 취약점 공격이 결합돼 사이버공격이 더욱 고도화되고 있다.

이에 취약점이 발견된 회사에서도 하루가 멀다하고 취약점 패치를 발표하면서 대응을 하고 있다. 각각의 회사마다 시스템마다 제품마다 업데이트 내용이 수두룩하게 나오고 있다. 그러다 보니 패치되기 전까지 노출된 보안위협은 사방으로 구멍이 숭숭 뚫린 꼴이 돼 버리고 만다.

이 때문에 보안에 그나마 신경 쓴다는 기업에서는 빠른 정보 입수와 함께 이를 대처하기 위한 움직임으로 항상 분주하다. 그러나 이마저도 보안체계와 전문인력이 잘 갖춰준 기업의 이야기일 뿐 중소기업의 보안실태는 말 그대로 무방비로 방치된 상태다. 이는 취약점을 악용한 공격이 기승을 부리는 반면, 기업에서는 취약점 패치가 제대로 되고 있지 않다는 걸 의미하는 셈이다.

이와 관련 지인소프트 박영호 대표는 “PMS(패치관리시스템)에 대해 그동안 관심이 많았지만, 문제는 기술적으로 한계가 있다는 점”이라며 “MS만 하더라도 250개 이상 제품이 있으며, 누적된 패치발표만도 500만 개가 넘는다. 매달 긴급, 중요 등으로 패치를 제공하고 있지만 정작 기업에서는 그때마다 이를 수용하지 못하고 있는 실정이다. 또한, 패치 지원을 위해 패치서버를 만들어 제공하지만 MS가 갖고 있는 패치 개념을 잘 이해해야 하기 때문에 기업 입장에서는 전반적인 이해가 쉽지 않다”고 설명했다.

즉, 패치관리의 경우 전문적인 IT 보안지식이 폭넓게 요구돼 생각보다 어려운 분야라는 얘기다. 더욱이 공공 및 금융기관의 망분리 의무화 이후에는 MS의 패치 사이트를 실시간으로 모니터링할 수 없어 패치가 즉각 적용되지 않고 있다는 점도 문제로 지적했다.

그렇다면 기업에서는 어떻게 하는 게 좋을까? 이와 관련 박 대표는 “사회공학적 기법을 이용한 해킹은 이용자를 대상으로 하기 때문에 앞으로도 증가할 것”이라며 “보안의식이 부족한 걸 악용하는 공격인 만큼 기업 시스템도 이를 고려해 보안조치를 취해야 한다”고 강조했다.

구체적인 방법으로 지인소프트 박영호 대표는 △다양한 취약성 관리 항목 지원 △소프트웨어 설치 및 삭제 △패치 지원 △액티브엑스 및 프로세스 관리 △윈도우 보안 업데이트 지원 △사용자 PC에 대한 보안 위험수준 관리 △모든 관리 정책에 대한 강제화 지원 △즉각적인 보고서 및 현황 대시보드 지원이 가능해야 한다고 강조했다. 또한, 그는 국내와 해외 지사별 관리가 용이해야 하며, 사용자가 이해하기 쉽게 가시성이 확보돼야 한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)