패치만 해도 취약점 줄어든다는 교육, 실효 없어
사용자들은 어떤 패치를 어디에 적용해야 할지 이해 못해

[보안뉴스 문가용] 패치만 제대로 해도 IT 리스크가 확 줄어든다는 교육, 캠페인, 보도가 지난 몇 년 동안 계속해서 나갔지만 아직도 기업들은 이를 제대로 실행 못하고 있다. 이는 오늘 480개의 IT 기업들을 대상으로 실시해 오늘 발표된 설문에서도 분명히 드러나고 있다.


“설문을 시작하는 단계에서는 ‘패치가 지겹다’는 반응이 지금쯤은 많이 없어졌을 거라고 예상했습니다.” 이번에 조사기관인 다이멘셔널 리서치(Dimensional Research)와 함께 설문을 진행한 트립와이어(Tripwire)의 타일러 레귤리(Tyler Reguly)의 설명이다. “그런데 아직도 그런 정서들이 만연하다는 걸 알게 되었습니다. 패치는 여전히 귀찮고 하찮은 일이며 안 해도 되는 일이라는 인식이 너무나 넓게 퍼져있습니다.”

응답자들 중 50%는 클라이언트가 해야 하는 패치들이 발표되는 주기가 일일이 따라잡을 수 없는 수준에 있다고 답했으며, 마찬가지로 50%의 IT 전문가들은 패치를 적용하는 것과 취약점을 해결하는 것의 차이를 이해하지 못하겠다고 답했다.

“취약점과 패치의 차이를 이해하지 못하다니, 너무나 큰 충격이었습니다.” 트립와이어의 IT 리스크 및 전략 책임자인 팀 얼린(Tim Erlin)의 설명이다. “취약점들은 보통 CVE가 붙은 숫자로 분류해 표기하죠. 그리고 그 CVE들이 발표되면 관련된 기업이나 조직에서 이를 해결하기 위한 패치를 발표해요. 그런데 여기서 1:1 교환이 항상 이루어지는 건 아닙니다. CVE로 드러난 문제점의 급한 일부만 해결해 배포하는 때도 많지요. 아니면 일부 플랫폼에서만 해결되는 패치가 나오기도 하거나요. 전체 시스템 업그레이드 형식으로 패치가 되기도 하고, 특정 문제만 살짝 픽스가 되기도 합니다. 하나의 취약점을 고치면 다른 취약점이 덩달아 고쳐지기도 하고, 그 반대의 일도 발생하죠.”

그런 복잡한 현실과 그에 대한 몰이해가 이번 설문에 고스란히 드러났다는 게 트립와이어 측의 설명이다. 응답자의 67%가 취약점 소식을 접하긴 하지만 어떤 패치를 적용해야 하는지 잘 모르겠다고 답한 것이다. 게다가 소프트웨어들의 상호연동성이 혼란을 더 가중시키고 있다. 이번 구글 크롬 업데이트 때 같이 배포된 어도비 플래시 패치들이 좋은 예다. 86%가 여러 소프트웨어 패치가 혼합되어 나오는 경우 대처를 하지 못하겠다고 응답한 것.

“이는 기업의 패치 관리 혹은 취약점 관리가 왜 어려운지를 보여주는 한 단면에 불과합니다. 배포, 성능 감사, 조직의 데이터베이스 관리 등의 기술적인 측면은 이번 설문에 다루지도 않은 문제들이죠. 그런 여러 문제들도 있는데 패치도 업체마다 알아서 제각각 나오고 있으니 사용자들이 혼란을 느끼는 건 당연합니다. 결국 업데이트를 내놓는 것만이 능사가 아니라는 답 밖에 나오지 않습니다. 패치를 하도록 하는 전략이 필요합니다.”

한편 지난 주 브로미움(Bromium)이라는 업체에서도 비슷한 조사를 진행했다. RSA 컨퍼런스에서 100명의 참가자를 무작위로 골라 비슷한 질문을 한 것. 이때 약 49%의 응답자가 엔드포인트가 가장 큰 보안 위협이라고 답했으며, 그 뒤로는 내부자에 의한 범죄 혹은 실수, 네트워크 보안, 클라우드가 꼽혔다. 이 역시 패치가 제대로 되고 있지 않다는 현상을 반영한다고 볼 수 있는 결과다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>