마이크로소프트 제품들로 이루어진 네트워크의 서비스 팩과 핫 픽스를 관리하는 일은 심장이 약한 사람에게는 적합지 못한 일이다. 보안 고시들만도 기세가 사나워서, 올해만 하더라도 현재까지 5.5일만에 하나씩 올라온다. 여기에 비 보안 핫 픽스를 추가하면, 패치 통보들의 바다 속에서 헤엄치고 있는 자신의 모습을 발견할 수 있을 것이다. 그리고 물론, 들어오는 패치를 추적하는 일은 전쟁의 반에 불과하다. 서버와 워크스테이션 군대에 필요한 것으로 간주되는 패치를 목록화하고 관리하고 테스트하는 일 역시 당신의 몫이다. 이렇듯 번거롭지만 중요한 작업을 쉽게 할 수 있는 방법을 소개한다.

마이크로소프트 패치 관리에 대한 필요는 특히 본지의 시카고 네오햅시스 파트너 랩에서 하는 것처럼 보안 취약성 평가를 하는 사람들에게 긴박한 것이며, 동시에 고통스러운 것이기도 하다. 의심할 나위 없이, 패치 레벨을 지연시키는 것은 특히 마이크로소프트 플랫폼의 경우 일반 감사에서 위험도 높게 표시된다. 대다수 관리자들은 문제를 잘 알고는 있지만 이 문제를 효율적으로 극복하기 위한 위임권이나 인력, 혹은 툴을 갖고 있지 않을 것이다. 위임권이나 인력 부문에 대해 도움을 받고 싶다면, 부당 코드 감염이 상승세임을 보여주는 최근의 설문조사 결과를 참고하라.

예방이 효율적

숫자를 면밀히 살펴보면, 사전 행동적인 보안 툴이 ROI의 관점에서 효과적임이 드러나는 경우가 많다(보안 문제를 예방하는 것이 사후에 해결하는 것보다 더 비용효율적이다). 툴의 경우는 패치 관리 애플리케이션들이 도움이 될 수 있다. 우리는 마이크로소프트 플랫폼에서의 패치 관리를 처리하도록 고안된 다섯 개 제품을 모아 보았는데, 이들은 각각 빅픽스(BigFix)의 빅픽스 엔터프라이즈 스위트(BigFix Enterprise Suite), 그래비티 스톰 소프트웨어(Gravity Storm Software)의 서비스 팩 매니저 2000 6.4(Service Pack Manager 2000 6.4), 패치링크(PatchLink)의 패치링크 업데이트(PatchLink Update), 셰이브릭 테크놀로지스(Shavlik Technologies)의 HF넷Chk프로 엔터프라이즈 3.8(HFNetChkPro Enterprise 3.8), 그리고 세인트 버너드 소프트웨어(St. Bernard Software)의 업데이트엑스퍼트 5.1 등이다.

테스트용으로 제품을 선택하는 데 있어, 우리는 20개의 서버와 1천 개의 워크스테이션으로 이루어진 이론상의 테스트 네트워크에 대한 라이선스 비용이 5만달러 아래일 것을 요구했다. 이 가격 제한 때문에 패치 관리와 함께 보다 포괄적인 구성 관리 기능과 함께 패치 관리를 처리할 수 있는 몇 개 제품들이 제외되었다.

또한, 노벨의 젠웍스(ZENworks), 컴퓨터 어쏘시에이트의 TNG 및 마이크로소프트의 SMS(Systems Management Server) 등과 같은 엔터프라이즈 관리 시스템 부문의 강자들은 초보적인 패칭 요구는 해결해줄 수 있지만(패치의 코딩 및 재패키징 작업이 얼마간 필요할 수도 있다), 우리가 테스트한 전문 제품들과 같은 고급 기능들은 갖고 있지 않다. 예를 들어, 하드웨어 플랫폼이나 논리적 기능과 같이 주어진 특성에 따라 자유롭게 호스트를 그룹으로 묶을 수 있는 능력 등을 들 수 있다. 이런 프로파일을 만듦으로써, 또한 모든 공중 마이크로소프트 IIS(Internet Information Server) 시스템으로 신속하게 새로 나온 중요한 패치를 푸시 아웃(push out) 할 수도 있다. 패치 관리 전문 제품은 관리자에게 웜(Worm)을 피해갈 수 있는 기회를 준다.

그래비티 스톰과 세인트 버너드의 제품만이 강력한 그루핑 기능을 허용한다는 사실을 주목할 필요가 있다. 패치링크의 경우는 다음에 계획된 패치링크 업데이트 4.0의 다음 버전에서 이 기능을 추가할 것이라고 밝혔다.

우리는 네오햅시스 파트너 랩에서 마이크로소프트 윈도 2000 서버(IIS 및 SQL 서버가 있는), 윈도 2000 프로페셔널, 윈도 NT 4 서버(IIS가 있는)와 윈도 98을 구동하는 호스트들을 포함하고 있는 테스트 네트워크에 제품들을 배치했다. 그리고 제품들을 각자의 페이스에 따라 설치하고, 최신 마이크로소프트 패치를 반영하도록 업데이트하며, 우리 테스트 장비에서 패치 레벨을 관리했다.

두 가지 방식

그렇다면, 이런 툴들은 어떻게 작동할까? 두 가지 주요 아키텍처는 제품의 작동 방식을 결정한다. 비 대행자 기반 애플리케이션, 즉 그래비티 스톰 서비스 팩 매니저 2000, 세인트 버너드 업데이트엑스퍼트 및 셰이브리크 HF넷Chk 등은 호스트를 스캐닝해서 자신들의 서비스 팩과 핫 픽스 구성을 파악하는 방식으로 작동한다. 분명, 기계에 로그인과 질의를 하는 툴으로서는 리모트 레지스트리 서비스(Remote Registry Service) 지원 및 사용 가능한 SMB 네트워크 액세스와 같은 다른 필요조건들과 함께 도메인이나 로컬 관리자 액세스가 요구된다. 이러한 타깃 레벨 필요조건은 비 대행자 기반 제품들이 관리자가 타깃 시스템의 배치 및 구성에 대해 높은 수준의 제어권을 갖고 있는 곳에서(서버 룸 등) 유용한 네트워크의 유형을 제한한다.

반면에, 수백 개의 사용자 워크스테이션을 포함하고 있는 왠을 관리하다보면 몇 가지 큰 문제가 생길 수 있다. 엔드 유저는 자신들의 시스템에 대한 자율적 제어권을 갖기 때문에, 프로세스를 스캐닝하기 위한 필요조건들이 까다로워질 것이다.

방화벽과 같은 네트워크 액세스 제어 장비가 패치 서버와 타깃 워크스테이션 사이에 있는 패킷들을 처리할 경우, SMB 트래픽이 유실될 것이며 프로세스는 중단될 것이다. 마지막으로, 그리고 가장 중요한 것은 잠시 동안만 기업 네트워크로 접속하는 사용자가 있을 경우, 스캐닝 프로세스는 로밍 중인 사용자를 놓치게 된다(스캐닝 동안 꺼져버리는 로컬 워크스케이션들은 말할 것도 없다). 그렇다고 해서 비 대행자 기반 제품들이 원래부터 약하다는 말은 아니지만, 사실상 이들은 정적 네트워크에 보다 적합하다.

대행자 설치 노력

두 번째 아키텍처 유형에는 대행자 기반 제품들이 포함되며, 여기서는 관리되는 각각의 호스트에 후방에서 돌아가는 작은 대행자가 설치돼 있다. 테스트한 제품들 중 빅픽스 엔터프라이즈와 패치링크 업데이트, 두 제품이 이 아키텍처를 기반으로 하고 있다. 대행자는 새 업데이트를 위해 정기적으로 패치 서버를 폴링(polling)하며, 이러한 방식으로 꺼진 워크스테이션과 로밍 사용자 문제도 해결될 수 있다. 예를 들어, 사용자가 일주에 한번씩만 기업 네트워크로 로그인을 한다 하더라도 대행자는 마찬가지로 패치 서버를 폴링해서 필요한 패치를 무엇이든 가져올 것이다(사용자가 충분히 오래 접속을 유지한다는 가정 하에).

레지스트리와 파일 시스템은 로컬로 스캐닝되기 때문에, 네트워크 스캐닝 문제 역시 피할 수 있다. 하지만 이러한 이점에는 그만한 대가가 따른다. 즉 대행자 기반 제품을 사용하기 위해서는 대행자를 워크스테이션과 서버 배치 프로세스에 통합시키는 사전 작업이 필요하다.

우리가 테스트한 세 가지 무 대행자 제품들은 유사한 사양과 가격을 갖추었으며, 아슬아슬한 접전을 벌인 끝에 그래비티 스톰의 제품이 쌍벽을 이루었던 세인트 버너드와 셰이브릭보다 아주 약간 뒤쳐졌다. 하지만, 에디터즈 초이스를 받은 것은 대행자 기반 툴인 패치링크 업데이트였다. 그리고 빅픽스 엔터프라이즈가 높은 가격(두 번째 고가 제품이 1만2,190달러인데 비해 이 제품은 3만500달러다)에도 불구하고 2위를 차지했다.

결론을 말하자면, 우리는 전반적으로 우수한 스캐닝 엔진(대행자는 그 정의 그대로 시스템의 모든 시야를 제공한다)과 비정적 네트워크 구성을 포괄할 수 있는 능력 때문에 대행자 기반 제품들이 더 마음에 들었다. 우리가 보기에는 대행자를 설치하는 데 노력을 들일만한 가치가 있었다.