보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

AhnLab Patch Management, 고객 의견에 기술과 노하우를 더하다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-08-06

안랩은 지난 2014년부터 고객 인텔리전스를 지향하는 ‘고객 주도형 보안(Customer-driven Security)’을 기조로 삼고 있다. 이는 솔루션 공급 업체의 기준에서 고객을 지향하는 것이 아니라 고객이 원하고 실제로 적용가능한 보안을 제공해야 한다는 것이다. 안랩의 이러한 기조는 현시점에도 유효하다. 지난 4월 발표된 안랩 패치 매니지먼트(AhnLab Patch Management, 이하 APM) 업그레이드 버전(v4.6.9)이 그 대표적인 예다. 새로운 APM 버전은 고객이 전달한 발전적 의견을 수렴해 탄생했다. 고객 의견은 제품에 많은 변화를 주었으며, 그 중에서도 가장 큰 변화는 바로 패치 기준의 변경이다.

 

이 글에서는 APM을 변화시킨 고객 의견과 안랩이 이를 어떻게 수렴했는지 소개한다.

 

랜섬웨어를 비롯해 취약점을 악용한 공격이 빈번해지자 기업과 기관에서는 보안 패치 관리에 더 많은 주의를 기울이고 있다. 그러나 여전히 대다수의 공격은 알려진(Known) 취약점을 기반으로 진행된다. 심지어 이들 취약점들 상당수는 이미 패치가 제공된 것이다. 따라서 기업과 기관이 다양한 운영체제와 응용 프로그램과 관련해 취약한 시스템을 신속하고 일관성 있게 패치 할 수 있는 자동화된 솔루션이 필요하다.

 

이러한 시장과 고객의 필요성에 맞춘 APM은 쉽고 편리하게 보안 및 소프트웨어 패치를 설치 유도·관리하는 솔루션으로써 많은 고객들로부터 많은 사랑 받고 있다. 또한 고객들과의 소통을 통해 더 나은 제품으로 발전해 가고 있다.

 

이 제품이 고객 의견에 따라 어떻게 변화했는지 실제 사례를 살펴보자.

 

Voice of Customer: CVE-2018-8174 취약점의 조치를 위해 패치 적용이 필요한데, 이 취약점의 KB 번호(KB4284826)를 쉽게 찾을 수 있도록 APM에서 KB 번호로 조회할 수 있었으면 합니다.


이전 버전의 APM은 패치 번호(MS Bulletin ID), 패치 이름, 패치 정보로 통합 검색이 가능하지만 KB 번호로 패치를 조회할 수는 없었다. 고객사의 보안 관리자는 좀 더 빠르게 조치하기 위해 APM에서 KB 번호를 바로 확인 가능하도록 요청한 것.

 

안랩은 고객의 불편함을 해결하기 위해 업그레이드 버전(APM 4.6.9)의 패치 기준 변경을 결정했고, 그 결과 제품의 사용성은 한층 더 업그레이드되었다. 안랩의 해결책은 다음과 같다.

 

Resolution: 패치 검색 기능 강화

이전 APM이 MS Bulletin ID 기준으로 패치를 분류했다면, 업그레이드 버전(4.6.9)부터 패치 기준은 KB 번호로 변경됐다. 이 작업은 APM의 제품의 전체적인 구조를 변경하는 것으로, 고객의 의견을 반영하기 위한 노력의 결과물이다. 또한 관리 콘솔에서 패치 관련 모든 메뉴에 KB 번호 컬럼을 추가하여, 관리자가 콘솔에서 KB 번호별 패치관리가 가능하도록 개선했다.

 

 

[그림 1] APM 4.6.9의 KB 번호 검색 화면

 

이제 APM을 사용 중인 고객사의 보안 관리자는 특정 패치의 KB 번호를 확인하여 보안 패치 배포가 가능해졌다. KB 번호 검색 후 보안 관리자가 해야할 일은 무엇일까? 바로 모니터링 후 최종적으로 패치가 미적용된 PC를 조치하는 것이다. 이 작업은 다음의 3단계로 나눌 수 있다.

 

· 1단계: 해당 패치가 에이전트에 적용이 되었는가?

· 2단계: 미적용된 PC는 어떤 것인가?

· 3단계: 패치가 미적용된 사유는 무엇인가?

 

일부 고객사의 보안 담당자는 이 3단계 작업을 수행할 때마다 종종 어려움을 호소하며 다음과 같은 사항을 요청했다.

 

Voice of Customer: 패치가 설치된 PC와 미설치된 PC는 확인했어요. 그런데 왜 패치가 아직 설치되지 않은 거죠? 패치가 PC에 배포되긴 한 걸까요? 좀 더 상세한 정보를 알고 싶어요.

 

이전 버전의 APM에서는 관리자가 중앙에서 패치 현황을 모니터링하고 조치하기 위한 충분한 데이터를 제공하기 어려웠다. 때문에 위의 고객 질문에 답하려면 개별 PC 로그를 수집하여 분석하거나, 패치 관련 이벤트 로그를 파싱해서 확인해야 했던 것.

 

안랩은 APM 업그레이드 버전(4.6.9)에서 패치가 적용되는 일련의 작업을 최소화하고 실패 사유에 대한 직관적 확인이 가능하도록 개별 패치 상세 정보와 에이전트별 패치 상세 정보를 추가했다.

 

Resolution: 패치 현황 정보 상세화

APM 업그레이드 버전(4.6.9)에서는 패치가 적용 되지 않은 다양한 원인을 유형별로 분류했으며, 이를 활용할 수 있는 메뉴를 제공한다. 예를 들어, 에이전트 상태가 ‘하드 디스크 공간 부족’일 경우 관리자는 PC 사용자에게 C드라이브 용량을 점검하라는 가이드를 줄 수 있다. 또한 미적용된 패치의 패치 상태 상세 정보가 ‘패치 적용 제외 운영체제’라면 관리자는 패치 정책을 확인하여 해당 운영체제 포함 여부를 확인하면 된다.

 

 

[그림 2] APM의 패치 적용 현황 정보 화면

 

이제 고객사 보안 관리자는 왜 패치가 아직 설치되지 않은 것인지 더 이상 고민하지 않아도 그리고 각 PC의 제품 로그를 일일이 수집하지 않아도 된다.

 

앞서 소개한 중요한 2가지 기능 추가 외에도 업그레이드 버전에는 관리자 편의성을 개선하기 위한 변경 사항이 다수 포함되었다. 이 가운데 몇 가지만 살펴보자.

 

패치별 대상 정보 추가 - 카테고리 화면 변경

이전 버전의 APM이 5개 카테고리(운영 체제 패치, 오피스 패치, 일반 SW 패치, 오류 보고, 관리자 지정 패치)만 제공했다면 업그레이드 버전(4.6.9)에서는 패치 대상을 기준으로 3단계로 세분화했다.

 

 

[그림 3] APM 패치 상세 분류 화면

 

[그림 3]과 같이 카테고리 화면을 변경함으로써, 고객사 보안 관리자는 APM 콘솔에서 운영체제별, 소프트웨어별 패치 확인이 가능해졌다. 예를 들어, 윈도우 7 운영체제를 선택하면 해당 운영체제를 대상으로 하는 전체 패치를 확인할 수 있으며 특정 소프트웨어를 선택하면 적용 해야할 패치 목록과 패치 정보를 바로 확인할 수 있다([그림 4] 참조).

 

 

[그림 4] 윈도우 7 운영체제에서 적용해야 할 패치 목록 및 한글 2014 프로그램에 적용해야 할 패치 목록

 

 

패치 적용 상태 점검 옵션 추가

APM에서 제공하는 ‘패치 적용 상태 점검 기능은 중요 서버 또는 VDI 를 관리하기 위한 옵션이다. 해당 기능을 사용할 경우, 관리자가 의도한 시간에만 패치 점검 및 적용을 할 수 있다. 이 옵션으로 보안 담당자는 업무 시간 내 리소스 사용량을 최소화해야하는 특정 대상을 관리할 수 있게 되었다.

 

 

[그림 5] APM의 ‘패치 적용 상태 점검 기능 사용’ 설정 화면

 

또한 기본적으로 패치 적용은 패치 적용 상태 점검 주기에 따라 동작한다. 이 경우 사용 시간이 짧은 PC(공용 PC, 회의실 PC)는 지속적으로 패치를 적용하지 못해 악성코드 감염에 취약할 수 있다. 이러한 경우, 신규 추가된 옵션인 ‘시스템 시작 후 설정 시간 내 패치 적용 여부 검사’ 기능을 사용하면 시스템 시작 후 패치 점검 시작 시간을 단축할 수 있다.

 

 

[그림 6] APM의 ‘시스템 시작 후 설정 시간 내 패치 적용 여부 검사’ 설정 화면

 

패치 진행 상태 표기 개선

이전 버전의 경우 관리자 화면에서 패치를 적용할 때, 진행 상태 확인이 어려웠다. 예를 들어, 담당자가 UI에서 패치 업데이트 시, 패치 점검을 완료하기 까지 얼마나 남았는지 혹은 진행 상태는 어떤지 등을 판단할 수 없었다. APM 4.6.9 버전에서는 패치 점검  파일 다운로드  패치 설치 과정을 표시하여 진행 상태를 한 눈에 알 수 있도록 개선하여 운영자에게 편의성을 제공한다.

 

지금까지 APM 4.6.9 버전에 반영된 다양한 기능들을 살펴보았다. 이를 간단하게 요약하면 ▲ KB 번호 중심의 패치 관리로 운영자 편의성 증가 ▲ 에이전트, 패치 오류 코드 확인을 통한 원인 파악 및 조치 강화 ▲ 보안 패치 적용 옵션의 다양화로 관리 효율성 증대 ▲ 패치 진행 상태 UI 개선으로 가시성 확보 등이다. 

 

 

[그림 7] APM의 패치 적용 진행 상태 표기 화면

 

이제 현재 운영중인 APM 버전을 한번 확인해보자. 4.6.9 버전이 아니라면 업그레이드를 통해 새롭게 반영된 기능의 혜택을 꼭 누렸으면 한다. 더불어 안랩은 자사 제품을 이용하는 고객사 보안 관리자를 위한 실무 교육 프로그램인 ‘안랩 솔루션 데이’를 비롯해 다양한 기회를 통해 제품 사용 노하우를 전달하고 고객의 사용 경험을 나누는 자리를 지속적으로 마련할 계획이니 이를 잘 활용해보자. ​ 

  • AhnLab 로고
  • EP기술지원1팀 안성미 대리
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.