패치는 영원히 끝나지 않는 보안 수칙...최신일수록 안전
윈도우 10으로 옮겨간다면 빠르게 진행해야 효과 최대화시킬 수 있어

[보안뉴스 문가용 기자] 워너크라이에 제일 먼저 당한 조직은 영국의 국민건강보험이었다. 전통적으로 취약한 의료 업계에서 IT 전문가로서 일하고 있는 자들에겐 그야 말로 살 떨리는 소식이 아닐 수 없었다. 20여년 동안 미국 비영리 건강관리 서비스 제공 기관인 리버사이드 헬스 시스템(Riverside Health System)에서 보안을 담당해온 필자도 그런 느낌을 가졌던 사람들 중 하나였다.


소식은 계속 이어졌다. 그 중 영국 국민건강보험의 주요 시스템에 윈도우 XP가 설치되었다는 것도 있었다. 다들 국민건강보험에 손가락질을 했다. 그러게 패치를 했었어야 했다고. 하지만 리버사이드에서 비슷한 업무를 담당했던 나로서는 그렇게 쉬운 비난을 할 수가 없었다. 몇 년 전 XP에서 최신 윈도우 시스템으로 갈아타는 작업을 진행했을 때의 그 고통스러웠던 기억이 떠올랐기 때문이다. 게다가 영국 국민건강보험은 리버사이드보다 규모가 훨씬 큰 조직이다.

리버사이드의 경우 운이 좋게도 오래 전부터 조직 내 시스템 현황을 파악해왔고, 매달 한 번씩 패치를 하는 시스템을 갖추고 있었다. 그래서 전체 시스템 중 90%가 탄탄히 보호받고 있었다. 이것이 가능했던 건 리버사이드가 자동화 기술을 적극 활용했기 때문이다. 90%가 보호받고 있었다고 표현한 건 기술적인 문제로 패치가 제대로 되지 않는 ‘나머지들’이었다. 아직 이 10%는 여전히 우리 쪽에서 고민하고 있는 부분이며, 윈도우 10을 통해 해결되기를 희망하고 있다.

각종 자동화 작업을 진행하고 패치를 해오면서 내가 가장 뼈저리게 배웠던 건 ‘패치는 절대 쉴 수 없다’는 것이다. 즉 패치에 있어서는 우린 아무도 안심할 수 없고, 그러한 시점도 존재하지 않는다. 소프트웨어는 항상 최신 버전이 좋고, 이는 운영 체제도 마찬가지다. 최신 버전이 문제를 일으킬 때도 있지만, 극히 소수의 경우다. 현재 리버사이드는 윈도우 7을 기반으로 운영되고 있는데, 이번 워너크라이 사태로 인해 조만간 윈도우 10으로 옮길 생각을 하고 있다. 7로 옮겨서 안심해서 안 되고, 워너크라이를 비껴갔다고 ‘우린 잘 하고 있다’고 여길 수 없다.

윈도우 XP에서 7로
처음 XP에서 7로 옮겨갈 때, 그런 대규모 업데이트를 해본 적이 없던 필자는 모든 시스템에 일일이 윈도우 7 마스터 이미지를 설치하는 방식을 차용했다. 물론 나 혼자 한 건 아니고, 기술 부서의 모든 이들이 동원됐다. 하지만 잘 해봐야 하루에 시스템 두 개 업데이트 하는 게 고작이었다. 총 4800여 개의 기기가 있었는데, 각 담당자가 하루에 2개씩 업데이트하는 속도로는 지나치게 많은 수였다. 게다가 하드웨어의 모델과 버전도 전부 제각각이라 시스템 하나하나 손보는 식의 접근으로는 ‘네트워킹’에 문제가 생길 수밖에 없었다.

자연스럽게 자동화 기술이 물망에 올랐다. 처음에 생각이 난 건 마이크로소프트의 환경설정 매니저(Configuration Manager)였다. 하지만 환경설정 매니저로는 대형 이미지를 T1 네트워크로 배포할 수가 없었다. 그래서 자동화 전문 솔루션을 구매하고자 시장 조사를 시작했고, P2P 기술이 뛰어났던 1E를 선택했다. 자동화를 도입하자 윈도우 7로의 업그레이드가 매우 빨라지기 시작했다. 각 시스템에 저장된 주요 정보들을 한 번에 백업하고 업데이트를 진행하는 과정이 안전해지고 결과도 깔끔해졌다. 그래서 수동으로 진행했을 때 2~3년을 내다봐야 했던 것이 1년으로 줄어들었다.

다시 윈도우 10으로
강조했다시피 업데이트는 한 번 했다고 끝이 아니다. 윈도우 7로 옮겨왔으니 이젠 10으로의 여정을 고민해야 했다. 일단 그때나 지금이나 문제는 비슷했다. 저장해야 할 데이터가 많았고, 업데이트 시 필요한 패키지를 빠르고 효율적으로 네트워크 전체에 배포하는 일이 가장 큰 문제였다. 다행히 그 옛날 도입했던 1E가 여전히 가동 중이었다. 하지만 일이 마냥 쉬워진 것은 아니었다. 새로운 과제들이 우리를 기다리고 있었기 때문이다.

윈도우 7으로 옮겼을 때와 가장 큰 차이점은 ‘속도’였다. 워너크라이만 보더라도 이젠 공격의 감염 속도가 굉장히 빠른 때다. 패치를 하는 ‘과정 중’에 머무르는 기간이 길다는 건 패치의 의미를 퇴색시키는 것과 같았다. 게다가 윈도우 10이라면 다 되는 것도 아니고 가장 최신 버전의 윈도우 10을 설치해야만 의미가 있었다. 가장 최신 버전을 가장 빠르게 설치하는 법은 역시나 자동화뿐이었다.

또 다른 문제는 64비트 시스템으로 바꿔야한다는 것이었다. 지난 번 대규모 업데이트 때 우리는 시간을 단축하고 후폭풍을 줄이기 위해 모든 기기에 같은 OS 프로세서 아키텍처 유형을 도입했었다. 즉, 64비트 XP 기기라면, 윈도우 7으로 갈 때도 64비트 윈도우 7을 사용했고, 32비트 XP 기기라면 윈도우 7 역시 32비트를 선택했다는 것이다. 당시 리버사이드에서는 32비트와 64비트가 모두 필요했다. 사용하고 있던 애플리케이션들 중 32비트에서만 혹은 64비트에서만 원활하게 돌아가는 것들이 있었기 때문이다. 하지만 이제 우리는 64비트로만 가려고 한다.

많은 보안 컨설턴트들을 만났다. 다들 전사적인 윈도우 운영체제 업그레이드는 수년 걸리는 작업이라고 했다. 하지만 우리는 속도를 내고 싶다. 그래서 1년이라는 목표 기간을 잡았다. 여기에는 자동화 기술의 도움이 반드시 필요하다. 이제 곧 윈도우 10으로의 움직임이 리버사이드에서 일어날 것이다. 윗선의 결심은 확고하고, 서둘러야만 의미가 있다는 그들의 생각이 IT 팀도 동의하고 있다. 새로운 과제 앞에, 우리가 현재 눈여겨보고 있는 건 그때와 마찬가지로 자동화 기술이다. 자동화는 자금에 여유가 있는 하이테크 기업들만 선택하는 게 아니라 보안을 중시하는 모든 기업들이 반드시 도입해야 할 것으로 바뀌고 있다.

글 : 케니 코빙턴(Kenny Convington)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>