Home > 전체기사
[보.알.남.] 보안 업계는 화요일마다 패치를 한다면서?
  |  입력 : 2020-05-24 20:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS가 십수년 전부터 시작한 패치 튜즈데이...어느 새 주요 패치일로 자리 잡아
다가오는 시대라는 거대한 문제 앞에 패치라는 작은 해결책을 주문하는 이유


[보안뉴스 문가용 기자] 제목만 심오했던 영화 ‘월요일이 사라졌다’는, 인구 억제 정책이 이뤄지던 시대에 무려 7명의 쌍둥이를 낳는 중범죄를 저지른 가족의 이야기다. 인구 절벽 시대인 지금의 한국에서였다면 온갖 세금 혜택을 누리고 매스컴에도 오르내렸을 행위가, 영화 속에서는 철저하게 숨어 살아야만 하는 이유가 되고 있었다.

[이미지 = utoimage]


남아프리카공화국 출신으로 현재 미국에서 활동하고 있는 유명 코미디언인 트레버 노아(Trevor Noah)는 80년대에 혼혈로 태어난 것 자체가 범죄였다며, 자신의 회고록의 제목을 ‘태어나보니 범죄 그 자체(Born a Crime)’라고 지었다. 그 시대 남아공에서는 서로 다른 인종이 결혼한다는 건 천인공노할 짓이었기 때문이다. 너무나 당연한 말이지만, 어느 시대에 사느냐에 따라 칭찬받을 일이 죄가 되기도 하고, 그 반대의 일이 성립하기도 한다.

누구나 자기에게 할당된 시대를 살아가기 마련이다. 그리고 그 시대에 이뤄야 할 몫을 갖는다. 지금은 어떤 시대인가? 보는 각도에 따라 누구나 다른 정의를 내릴 수 있겠지만, 보안 업계에서 보기에는 스마트공장, 스마트시티, 5G, 인공지능, 자율주행 차 등의 기술이 한창 성숙해가는 때다. 이러한 각종 기술들이 맞물려 인간의 삶이 크게 바뀔 것만 같은 기대감을 주는 때, 즉 거대한 미래로 가는 초입에 있다는 것이다. 그러면서 보안의 책임이 막중해지고 있다.

그런데 이야기를 이렇게 끌고 나가면 ‘그래서 뭘 어떻게 해라고?’라는 반문만 나온다. ‘시대’나 ‘미래’라는 단어가 동원되다보니 책임과 해야 할 일이 너무 크게 느껴져서 뭘 어디서부터 시작해야 할지 감이 오지 않기 때문이다. 보안은 뭘 어디서부터 어떻게 시작해야 할까? 시대의 변화와 함께, 예전에는 안 그랬는데 앞으로는 손가락질 받는 행위들이 있을 수 있을까?

큰 문제 잘게 쪼개기
누구나 살다보면 비전공분야의 일을 해결해야 할 때가 있다. 곤충에 익숙하지 않더라도 바퀴벌레를 잡아야 한다든가. 목공에 대해 잘 몰라도 농이나 신발장을 수리해야 한다든가, 학창 시절 물리 시간에 전기 회로 문제만 나오면 점수가 급 하락하던 사람도 전구를 갈아 끼워야 하는 때를 분명 맞닥트린다. 그 문제가 비전공자 입장에서 꽤나 거대해진다면, 뭘 어디서부터 어떻게 시작해야 할지조차 판단이 안 설 때가 있다.

그래서 전문가들에게 상담을 요청하면, 그것이 어떤 분야더라도, 대게 비슷한 이야기를 해준다. 전문가 입장에서 문제를 잘게 쪼개서 먼저 할 수 있는 일부터 알려주고, 그 다음 일의 순서를 정해주는 것이다. 어느 분야든 고수들을 만나면, 아, 그거 이렇게 저렇게 하면 되는 문제,라고 쉽게 말을 하는데, 그건 큰 문제를 잘게 착착 쪼개고 순서대로 나열할 줄 알기 때문이다.

각종 칼럼이나 현장 인터뷰를 통해 만나는 보안 전문가들 역시 비슷한 강점을 보인다. 이들은 진즉부터 ‘시대’나 ‘미래’에 대한 대비책이라는 것을 잘게 쪼개 우리가 할 수 있는 작은 단위의 일들을 알려 왔다. 그 중 하나가 ‘패치 튜즈데이(Patch Tuesday)’다. MS가 2003년 10월부터 정한 정기 패치 스케줄을 비공식적으로 그렇게 부른다. 매달 두 번째 화요일(북미 시간 기준)에 진행되기 때문이며, 지금은 꽤나 많은 IT 업체들이 패치 튜즈데이에 동참하여 업데이트를 발표하고 있다.

MS가 처음 패치 튜즈데이를 시작한 이유는 윈도우 업데이트를 보다 효과적으로 배포하기 위해서였다. IT 기술이 조금 부족한, 흔히 말해 ‘컴퓨터와 그리 친하지 않은’ 사람들은 윈도우 업데이트라는 게 있는 줄도 몰랐고, 있어도 언제 어떻게 처리해야 하는지 몰랐다. 애써 개발한 업데이트가 소비자들 사이에서 무시되기 일쑤였던 것이다. 게다가 지금까지도 가끔씩 발생하는, ‘윈도우 업데이트 했더니 컴퓨터가 말을 안 들어요’ 현상이 그때도 있었는데, 이 때문에 수동으로 회사 전체의 윈도우 기반 컴퓨터를 하나하나 업데이트 했다가, 또 하나하나 업데이트를 삭제하는 일이 종종 있기도 했다. 업데이트 안 해도 된다는 게 일반 사용자들 사이의 상식이었다.

날을 정하기로 했다
취약점을 파악하고 그것에 대한 대비책을 개발해 배포하는 것에도 돈이 든다. MS 입장에서는 애써 돈을 투자해 하는 것들이 소비자들의 선택을 받지 못하자 고민을 할 수밖에 없었다. 이렇게 새나가는 돈을 막기 위해 고안한 것이 패치 튜즈데이지만, 그 안에 사용자들의 건강한 보안 습관 길러주기와 같은 목적이 아예 없지는 않았을 것이라고 업계는 보고 있다. 아니, 적어도 ‘날을 주기적으로 정해서 패치를 실시하는 것’이 가지고 있는 여러 가지 강점들을 인지하기 시작했다.

그래서 SAP도 MS와 같은 날 정기 패치를 발표하기 시작했다. 그 날의 이름은 ‘보안 패치의 날(Security Patch Day)’이었다. 각종 그래픽 도구들로 유명한 어도비(Adobe)도 2012년부터 매달 둘째 주 화요일 패치를 발표하기 시작했다. 어도비는 과거 해킹을 가장 많이 당하는 것으로 악명 높았던 플래시(Flash) 소프트웨어를 자꾸만 패치했어야 했는데, 이 플래시라는 것이 윈도우에서도 많이 사용되었기 때문에 MS와 패치일을 맞추는 것이 유리하기도 했다.

날을 정하니 시스템 유지 보수 담당자들은 한 달 동안 시스템 패치를 위한 준비를 할 수 있게 됐다. 조직 전체의 패치는 쉽지 않은 일이다. 패치가 적용되어야 하는 장비들을 일시적으로 꺼야 하는 경우가 대부분이기 때문이다. 그렇다는 건 생산이 중단된다는 것이고, 대부분 한 번씩 경험해봤겠지만, 경우에 따라서는 패치가 한 나절 이상씩 걸리기도 했다. 이런 장비를 수십~수천 대씩 손봐야 했으니... 그래서 모든 사원들이 퇴근한 밤이나 주말에 보안 담당자 홀로 남아 패치 옆에 차고 밤을 새는 경우도 흔했다. 패치 튜즈데이 덕분에 이런 일들이 다 사라진 건 아니지만, 적어도 예상치 않게 패치가 배포되는 걸 노심초사 점검하고 확인할 필요는 없어졌다.

완벽한 해결책은 아니지만
매달 두 번째 화요일에 패치를 하기로 하니 보안 담당자의 시스템 관리 스케줄은 조금 나아지고, 컴퓨터 소프트웨어도 오래된 옷처럼 기워서 튼튼하게 입는 것이라는 개념도 조금씩 조금씩 확산됐다(물론 각종 보안 사고 소식도 이 확산에 기여한 바가 크다). 이는 아직 진행 중이다. 아직도 패치의 중요성은 여러 곳에서 간과되고 있으며, 자동 패치 시스템이 여러 장비와 애플리케이션에 구축되어 있지만 이를 굳이 끄고 수동으로 바꿔 운영하는 곳도 많다. 수동으로 전환 후 잘 운영하면 모르겠는데, 어느 순간 잊고 지내는 게 대부분이다.

매달 두 번째 화요일마다 업데이트와 함께 한 달 동안 각 벤더사가 모은 취약점 정보도 함께 공개되니, 해커들의 스케줄도 이에 맞춰서 변경됐다. 해커들도 몰랐던 정보가 화요일에 우루루 쏟아지면, 바로 그 다음날부터 이를 시험하는 것이 이들의 관례가 되어가고 있다. 그래서 패치 튜즈데이 다음 날을 ‘익스플로잇 웬즈데이(Exploit Wednesday)’라고 부르기도 한다. 익스플로잇은, 취약점을 악용함으로써 실제 공격을 할 수 있도록 여건을 만드는 것을 말한다. 그나마 다행이라면 아직 익스플로잇 웬즈데이를 통해 대규모 해킹 사건이 발생한 적은 없다.

패치의 의의
패치는 왜 중요한가? 누구나 슈퍼컴퓨터를 손 안에 쥐고 다니는 시대에, 이는 우문이다. 누구나 답을 알고 있다. 공격이 들어올 수 있는 구멍을 막음으로써 공격자들이 공격을 기획하고 실행하는 데 들어가는 비용과 노력을 증가시키는 것이 패치의 의의다. 비싼 공격을 과감히 하는 자들이 없지 않지만, 대부분의 사이버 공격자들은 효율 극대화를 가장 중요한 가치로 생각하기 때문에 돈 들이는 걸 꺼려한다. 당신이 패치를 함으로써 ‘비싼 표적’이 된다면, 공격자들 대부분 당신을 피해간다.

그러나 이 패치를 대부분 귀찮게 여긴다. 업데이트 때문에 업무와 생산의 맥락이 끊기는 걸 견디지 못하는 것이다. 즉, 해커들에 못지않게, 업데이트 때문에 우리도 지불하는 비용이 생긴다. 그래서 자동 업데이트 시스템이 점점 더 많이 도입되고 있고, 사용되고 있지 않은 광대역을 통해 업데이트 파일이 다운로드 되도록 만들어져 있다. 그럼에도 업데이트가 진행되는 동안 시스템이 조금 느려지고, 게임을 한두 판 못하는 건 마찬가지다.

업데이트를 함으로써 얻는 보상이 가시적이지 않다는 것이 문제의 근원에 있다. MS가 패치 튜즈데이를 시작한 것도 금전적인 피해가 가시적으로 누적되었기 때문이었다. 그걸 틀어막은 후 ‘그러고 보니 이 제도가 보안 습관 기르기에 좋다’는 생각을 여유롭게 할 수 있게 됐다. 효율 극대화를 추구하는 건 비단 해커들만이 아니다. 인간 본성에 가깝다. 그렇기에 시스템 업데이트 혹은 패치는 꽤나 오랫동안 귀찮은 문제로 남아있을 것이다.

패치야말로 장차 올 세상의 시대정신
게다가 더 심각한 건 사물인터넷 장비 제조사들이다. 여전히 수많은 IoT 장비들에서 기본적인 보안 기능들을 갖추지 못한 사례가 발굴된다. 이들에게도 보안 기능을 넣을 이유가 없기 때문이다. 보안 기능 추가한다고 판매가 더 높아지는 것도 아니고(아직까지는), 이것 저것 다 빼고 제품 가격을 팍 낮추는 게 오히려 효과가 더 좋다. 소비자들도 효율 극대화를 추구하기 때문이다. 시장이 이렇게 움직이는데, 사물인터넷 제조사들에게만 보안 경각심을 제발 좀 배우라고 말하기도 어렵다.

사물인터넷에 보안 기능이 빠져 있고, 이게 패치도 원활히 되지 않을 뿐더러, 사물인터넷 장비 주인들도 패치에 큰 신경을 쓰지 않는다는 건 심각한 문제다. 사물인터넷은 거의 항상 우리를 지켜보고, 우리의 말을 언제나 듣고 있는 장비들인 경우가 많기 때문이다. Always On, 항상 켜져 있고, Always Connected, 항상 연결되어 있는 게 IoT의 핵심이라는 걸 기억해야 한다. 사물인터넷 TV나 인공지능 스피커가 주인들의 대화를 엿듣고 어디론가 전송해 프라이버시 논란이 되었던 걸 우리는 뉴스를 통해 익히 알고 있다.

그 회사들이 나빠서가 아니라, 그게 사물인터넷 장비라는 걸 통해 우리가 기대하는 바이기 때문이다. 리모콘을 찾을 필요 없이 말로 명령만 하면 켜지는 TV와, 배우자에게 말하듯 ‘날씨 어때’라고 묻기만 하면 대답해주는 스피커 등이 항상 켜져 있지 않고, 항상 우리를 주시하거나 듣고 있지 않는다면, 그런 편리를 제공해줄 수 없다. 우리는 점점 더 나를 주시하고, 나에게 귀 기울이는 존재들이 많아지는 시대로 가고 있다. 리스너(listener)들 천지인 환경이 되고 있는 것이다. 누군가 지켜보고 있는 거 같아, 라는 공포 영화 속 대사가 현실이 되어간다.

이는 복잡하고 거대한 문제다. 따라서 뭘 어디서부터 어떻게 시작해야 해결 비슷한 걸 시도할 수 있을지 사람마다 얘기가 다르다. 그 많은 답들 중 하나가 패치다. 패치를 통해 문제를 자꾸만 고쳐보고, 패치를 하기로 정한 날이 우리의 삶속에 분명하게 자리 잡아야 한다. 그래야 보안 기능은 둘째 치고 패치를 하지 않는 브랜드들에 대하여 불매라는 걸 실시할 수 있게 된다. 그건 곧 보안에 대한 인센티브를 발생시키는 행위다. 제조사들은 패치를 할 수밖에 없게 된다. 그래야 언제나 우리를 주시하는 존재들에 대한 조치가 시작될 수 있다.

그러면 결국 ‘나라는 개인 소비자가 패치를 함으로써 얻는 가시적이고 즉각적인 인센티브는 무엇인가?’로 문제는 귀결된다. 이 부분은 아직 이렇다 하고 정해진 답이 없다. 다만 지금 우리가 어떤 미래로 가고 있는가, 조지 오웰의 ‘1984’가 얼마나 현실감 넘치는 소설이었는가, 회사나 개인들 모두 프라이버시 따위 개나 줘 버려도 되는 것처럼 여기는 작금의 상황을 알려주면서 우리 안에 잠재되어 있는 ‘시대정신’이 깨어날 때까지 반복해 흔드는 수밖에 없다.

개개인 사용자가 패치에 대한 인센티브를 찾도록 보안 업계가 돕지 못한다면, 그것을 강제로 발동시키기 위해 패치 관련 규정이 생길 수도 있다. 그렇다면 지금으로서는 상상도 하기 힘들지만 패치를 하지 않는 것이 중범죄인 것처럼 여겨지는 때가 올지도 모른다. 그건 그것대로의 부작용이 있긴 하겠지만.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)