오라클이 400개 이상, 마이크로소프트가 100개 이상...대량으로 발생한 패치
관리 용이성 위해 만들어진 정기 패치일...폭탄급 패치 발표되니 의미 사라져[보안뉴스 문가용 기자] 이번 달 정보 보안 담당자들은 ‘일복’이 터졌다. 이번 주 마이크로소프트, 오라클, SAP, 인텔, 어도비, VM웨어 등 여러 회사에서 발표한 정기 패치를 통해 무려 567개의 취약점이 공개되었기 때문이다. 이중 오라클 제품에서 발견된 취약점만 405개이며, 마이크로소프트는 113개를 패치했다.
[이미지 = iclickart]
보안 업체 리스크 베이스드 시큐리티(Risk Based Security)의 CEO인 제이크 쿤스(Jake Kouns)는 “이 많은 패치를 적용하려면 꽤나 골치 아플 것”이라고 말한다. “정기 패치일을 업계 내에 정착시킨 것은, 패치를 보다 일목요연하고 정리된 방식으로 관리하기 위해서였습니다. 그런데 점점 더 많은 업체들이 둘째 주 화요일을 정기 패치일로 정하면서 그 의의가 사라지고 있습니다. 이제 패치 튜즈데이(Patch Tuesday)에 폭탄이 떨어지는 게 흔한 일이 되어버렸죠.”
심지어 수많은 사람들이 코로나 바이러스 사태로 재택 근무를 하고 있는 상황에서 대량의 패치가 배포되기 시작했다는 것이 문제를 더 크게 만들고 있다. 회사 차원에서 개개인의 업무용 장비에 패치를 푸시할 방법을 마련하지 않은 곳이 많기 때문이다. 보안 업체 케나시큐리티(Kenna Security)의 취약점 관리 담당자인 조나단 크랜(Jonathan Cran)은 “이번 달 내내 패치만으로 참 바빠질 것 같다”고 토로하기도 했다.
오라클은 26개 제품에 걸쳐 나타난 400여개의 패치를 발표했다. 이비즈니스 스위트(E-Business Suite)에서 74개, 퓨전 미들웨어(Fusion Middleware)의 56개 취약점이 특히 중요할 것으로 예상되고 있다. 오라클은 패치를 배포하기 전에 이 정도 규모의 패치가 배포될 것이라고 미리 예고하기도 했었다.
한편 마이크로소프트는 윈도우, 마이크로소프트 오피스, 인터넷 익스플로러, 에지 등 자사 소프트웨어 다수에서 총 113개의 보안 취약점을 패치했다. 이 중 19개가 치명적인 위험도를 가진 것으로 나타났다. 중요 등급을 가진 취약점은 96개, 중간급은 5개, 저위험군은 2개였다. 같은 취약점이지만 플랫폼에 따라 위험도가 달라지는 취약점이 9개 있었다.
SAP는 33개의 취약점을 해결했다. 이 중 9개가 치명적 위험도를 가진 것으로 분석됐다. 인텔은 이번 달 총 9개 취약점을 패치했고, 어도비는 5개 취약점을 없앴다. VM웨어가 발표한 취약점 패치는 2개였다. 거의 대부분 조직에서 사용되는 소프트웨어들이 많이 포함되어 있다.
원격 패치 관리 시스템을 이미 구축한 조직이라면 이런 대량 패치 사태에서도 크게 당황하지 않을 수 있다. 하지만 보안 업체 닌자RMM(NinjaRMM)의 부회장인 AJ 싱(AJ Singh)은 “그런 조직은 얼마 되지 않았을 것”이라고 말한다. “원격 시스템에 대한 패치 관리 시스템이 존재한다고 해도, 500개가 넘어가는 취약점을 패치해야 한다는 건 그 자체로 작은 일이 아닙니다. 게다가 충돌을 일으키는 패치가 하나라도 나오면 어떻게 될까요? 문제가 폭발적으로 커질 수 있습니다.”
하지만 싱은 “어차피 이러한 상황에 익숙해져야 할지도 모른다”고 말한다. “매년 발견되는 취약점과 패치의 수는 증가 중에 있습니다. 지난 3년 동안에는 그 수가 2배나 뛰었어요. 제품도 많아지고, 소프트웨어도 많아지고, 취약점을 찾아내는 기술도 좋아졌기 때문입니다. 정기 패치일에 더 많은 패치들이 배포될 수밖에 없는 흐름입니다. 지금부터라도 원격 패치 관리 시스템을 마련해야 할 것입니다.”
쿤스는 “이전부터 원격 관리 체제를 유지해왔으며, 재택 근무자도 적당히 보유했던 조직이라면 이번 달 정기 패치가 ‘일이 좀 많아진 수준’으로만 와 닿을 것”이라고 말한다. “하지만 코로나 때문에 좇기 듯 근무자들을 집으로 보낸 조직이라면, 게다가 오라클, 마이크로소프트, SAP, 어도비, VM웨어 등의 소프트웨어를 사용하고 있는 조직이라면, 이번 정기 패치일이 악몽과 같았을 겁니다.”
3줄 요약
1. 이번 달 정기 패치일에 500개가 넘는 소프트웨어 취약점 패치가 발표됨.
2. 패치 관리 수월하게 하라고 만들어진 정기 패치일인데, 이렇게 폭탄이 떨어지면 무슨 의미?
3. 발견되는 취약점 꾸준히 증가 중이니 앞으로 이런 일 더 많아질 것.
Copyrighted 2015. UBM-Tech. 117153:0515BC[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=87614&page=1&mkind=1&kind=1]
