보안 및 소프트웨어 패치를 전문적으로 관리하는 솔루션인 안랩 패치 매니지먼트(AhnLab Patch Management, 이하 APM)가 지난 4월에 이어 9월 또다시 업그레이드 버전을 선보였다. 패치 관리 솔루션(PMS)은 각종 보안 패치에 대한 실시간 관리뿐만 아니리 보안 정책을 위반한 엔드포인트 시스템에 대한 중앙 관리 및 조치 등을 처리해야 하므로 관리 편의성이 무엇보다 중요하다. 올해 두 번에 걸쳐 진행된 APM의 업그레이드는 모두 관리 편의성에 초점을 맞췄다. 지난 4월 업그레이드는 패치 기준의 변경과 패치 검색 기능 강화 등을 통해 관리 편의성을 제공했다. 이번 9월 업그레이드는 플랫폼 기반으로 구축과 운영 측면에서의 편의성을 한층 더 강화했다. 이번 업그레이드로 APM이 어떻게 달라졌는지 살펴보자. 

운영체제와 소프트웨어의 패치 관리는 대다수의 공격자가 취약점을 악용하는 공격 방식을 사용하는 현 시점에 가장 기본적이고도 중요한 보안 수칙 중 하나다. 그러나 보안 담당자 입장에서는 기업에서 운영 중인 수십, 수천 대의 시스템이 존재하며, 각 시스템마다 사용하는 운영체제의 버전이나 소프트웨어의 종류가 다양하기 때문에 시의적절하게 패치를 적용하는데 어려움이 따른다. APM은 이러한 어려움을 해결하기 위해 취약한 시스템을 신속하고 일관성 있게 패치 할 수 있는 자동화된 솔루션이다. APM은 안랩의 자체 패치랩을 통해 사전 검증 및 분석한 안전한 패치를 제공하며, 위험도별 패치와 오류 보고 패치가 자동 분류되어 관리 및 적용이 수월하다. 특히 최근 공개된 신규 버전은 ▲ 플랫폼 기반의 안정성 및 확장성 ▲ 시스템 하드닝 및 위협 대응 ▲ 모니터링 및 리포팅 기능 등을 개선해 관리 편의성이 한층 업그레이드 되었다.

플랫폼 기반의 안정성 및 확장성 향상

이번 9월 선보인 업그레이드 버전의 핵심은 플랫폼 기반의 제품으로 진화한 것이다. 기존 APM은 하드웨어 어플라이언스 타입인 안랩 EMS를 기반으로 APC 에이전트를 통해 운용할 수 있었다. 신규 버전의 APM은 소프트웨어 방식의 엔드포인트 플랫폼인 안랩 EPP를 기반으로 구축 및 운영할 수 있다. 소프트웨어 방식이라 고객사의 환경에 맞게 서버 하드웨어 스펙을 선택할 수 있다는 것이 장점이다. 안랩 EPP를 사용 중인 고객이라면 플러그인(Plug-in) 방식으로 라이선스 적용만으로 간편하게 구축할 수 있으며, 안랩의 다양한 보안 제품과도 통합 운영이 가능하다.

[그림 1] 안랩 EPP 기반의 차세대 엔드포인트 보안 체계

APM은 안랩 EPP 기반의 단일 에이전트, 단일 관리 콘솔을 통해 운영할 수 있어 다수의 에이전트와 매니지먼트를 설치 및 관리해야 하는 부담을 덜 수 있다. 또한 다양한 기업 환경을 고려해 DB, 파일, 로그, 로드 밸런서 등이 모듈 형태로 구성되어 있기 때문에 고객의 환경에 따라 올인원, 분리형, 전체 독립형 등 다양한 방식으로의 서버 구성이 가능하다. 이러한 구성으로 인해 성능 향상이 필요할 경우 손쉽게 서버를 추가(Scale-Out)할 수 있다.

시스템 하드닝 및 위협 대응 강화

패치 관리 솔루션은 엔드포인트 시스템 하드닝(Endpoint System Hardening) 관점에서 공격자가 악용하는 취약점을 사전에 관리함으로써 공격 표면을 최소화하는 효과를 거둘 수 있다. 이런 관점에서 패치 관리 솔루션은 보안 운영 및 관리 솔루션이라 할 수 있다. 신규 버전의 APM은 연계 규칙을 통해 위협 대응력을 한층 강화했다.

APM에 새롭게 적용된 연계규칙은 에이전트의 공통적인 기본 설정 이외에 고객이 자사의 정책에 맞게 규칙을 설정할 수 있는 기능이다. 즉, 관리자가 규칙을 설정하고 그 규칙의 조건이 충족될 때 대응하는 규칙을 설정할 수 있는 것이다. 관리자는 마지막 접속 시간, 에이전트 버전, 권장 패치율, 전체 패치율, 소프트웨어 설치/미설치, 패치 적용/미적용 등 다양한 규칙을 선택적으로 설정할 수 있다. 이 선택 항목의 값을 다양한 연산자(≻,≥,≺,≤,〓, Like)로 비교하거나 문자열을 포함한 상태를 지정할 수 있다. 또 여러 개의 항목을 설정할 경우 항목간 AND/OR 조건 설정도 가능하다. 특히, 연계규칙을 적용하지 않을 예외 에이전트 설정은 물론 규칙에 해당하는 조건 만족 시 알림 설정과 보고서 생성 여부도 별도로 설정할 수 있다.

이 연계규칙은 APM뿐만 아니라 안랩 EPP 기반 하에 안랩의 다른 엔드포인트 제품을 동시에 사용할 경우 더욱 강력한 보안 효과를 발휘한다. 예를 들어 APM, V3, 안랩 EDR을 사용하는 고객이라면 V3의 의심행위와 APM의 특정 패치 미적용을 AND 조건으로 설정하고 이 조건이 충족될 경우 관리자 알림과 안랩 EDR에서의 네트워크 격리 조치를 설정할 수 있다.

모니터링 및 리포팅 기능 개선으로 관리 편의성 증대

APM 신규 버전에서는 보안 관리자의 편의를 위해 웹(Web) 기반의 관리 콘솔을 제공한다. 무엇보다 동적 UX 설계로 사용이 더욱 편리하다.

APM은 관리자의 필요에 따라 생성•편집할 수 있는 ‘사용자 정의 대시보드’를 제공한다. 예를 들어, APM 에이전트 현황에서는 APM 에이전트 설치율과 APM 정책(APM 에이전트 정책, 패치 정책, 소프트웨어 정책, 프로세스 차단 관리)에 대한 정책 적용 상태(적용, 적용 중, 미적용)를 확인할 수 있다. 또한 최근 24시간, 최근 7일, 최근 30일 등 기간별로 패치 적용 추이를 확인할 수도 있다. 더불어 기간별로 금지 소프트웨어와 권장 소프트웨어의 설치 추이를 확인하는 것도 가능하다. 

[그림 3] APM 기존 버전(좌)과 신규 버전(우)의 대시보드 화면 비교

APM 신규 버전에서는 보고서 현황을 캘린더 형태로 보여주어 관리자가 월별 보고서 생성 현황을 직관적으로 파악할 수 있게 해준다. 이 화면에서 보고서 날짜가 생성된 날짜를 클릭하면 보고서 현황 상세 보기로 이동할 수 있으며, 생성된 보고서에 마우스 포인터를 올리면 보고서 주기와 생성된 개수를 확인할 수 있다.

[그림 4] APM의 캘린더 형태의 보고서 현황 대시보드

또한 생성되는 보고서의 화면 상단에 로고 삽입 기능을 추가하여 고객이 자사의 로고를 삽입하여 맞춤형 보고서를 생성할 수 있게 지원한다.

APM 신규 버전은 안랩 EPP를 사용 중인 고객은 라이선스만 추가하면 즉시 사용할 수 있다. 안랩 홈페이지를 통해 APM 신규 버전에 대한 자세한 내용을 확인할 수 있으며 상담 신청이나 견적 문의도 가능하다. ​