실시간 보안·편리한 관리·자동 탐지 만족 …뛰어난 분석 기능 제공

‘고객을 먼저 생각하는 마음을 오래토록 지켜간다’는 것을 모토로 하는 동부화재(대표 김순환 www.idongbu.com)는 웜/바이러스 감염의 주요 원인인 사용자 PC의 보안취약점을 신속하게 제거할 필요성을 느끼고, 이를 해결할 방법을 찾고 있었다. 그러나, 기존 시스템과 인트라넷 게시판을 통한 내부 공지만으로는 보안패치의 적용이 원활치 않아 보안의 위협이 상존하고 있었다. 이에 동부화재는 자동으로 패치를 배포, 설치하고 관리할 수 있는 패치관리솔루션 (PMS, Patch Management System)을 도입해 이와 같은 문제를 해결했다.
글·장윤정 기자·linda@datanet.co.kr
사진·김구룡 기자·Photoi@datanet.co.kr

동부화재는 PMS 도입전에 윈도 운영체제의 패치 업그레이드 기능 및 자체 솔루션을 이용해 보안패치 적용과 소프트웨어 배포 업무를 수행하고 있었다. 하지만 이런 방법만으로는 능동적으로 보안패치를 설치하는데 한계가 있었다. 효과적으로 네트워크 부하를 분산시킬 방법이 없었고, 보안패치 적용현황도 전혀 파악할 수가 없었다.

네트워크 부하문제 해결
동부화재가 PMS 솔루션 선택시 가장 고려했던 부분은, 패치적용시 발생하는 네트워크 및 시스템 부하로 인해 기존 업무에 영향을 미치면 안 된다는 것. 그리고 취약점 탐지와 패치 수행에 필요한 모든 현황을 신속하게 파악할 수 있는 솔루션을 원했는데, 이런 조건에 빅픽스의 ‘BES(Bigfix Enterprise Suite) 5.0’ 이 가장 적합했다.
동부화재 PMS 솔루션 구축을 담당한 동부정보기술 유혁선 데이터센터 과장은 “패치관리의 기능도 중요했지만, 패치관리기능을 담당하는 서버구성이 용이해 효과적으로 네트워크 트래픽을 분산시킬 수 있다는 점이 맘에 들었다”고 강점을 소개했다.
솔루션 제공업체인 ‘엑스퍼넷’에 따르면, BES는 서버당 에이전트 관리능력이 우수해 현재 유럽은행에서 실제로 단일 관리서버로 13만 대의 시스템을 관리하고 있다고 하며, 이를 포함한 다양한 특징으로 동부화재가 BES 도입시 진행한 BMT에서 BES는 운영 편이성, 분석기능, 비용 절감 등 여러 측면에서 가장 우수했었다는 평가다.

패치 즉시 적용 ‘가능’
올 3월경 솔루션 구축을 끝내고 PMS를 운영해 본 결과에 대해 유 과장은 “평상시에는 잘 모르지만, 보안패치를 즉시 적용해야 할 때, 그렇게 할 수 있다는 점이 가장 큰 장점이다. 일반적으로 보안패치가 발표되면 정해진 절차에 따라 시간적 여유를 두고 패치를 적용하게 되는데, 그렇지 않을 때도 있다. 최근에 마이크로 소프트에서 발표된 취약점 중 하나가 웜으로 변질될 우려가 있다는 메일을 받았는데, 그 얘기를 듣자마자 1만5천 여대의 PC에 해당 패치를 즉시 적용했다. 하루 이틀 사이에 95% 이상의 PC에 패치가 적용됐다. 기존과는 비교가 안 될 정도로 만족하고 있다”며 “덕분에 발생할지 모르는 보안위협을 사전에 차단할 수 있게 됐다”고 만족을 표시한다.
또, 몇 대의 PC에 패치가 설치됐고, 몇 대는 설치되지 않았다는 현황파악도 가능하게 됐다. 이러한 동부화재의 사례는 타 계열사에도 적지 않게 영향을 미칠 것으로 보인다.

패치의 자동적용 및 사용자환경 파악
이제 동부화재에서는 BES를 통해 웬만한 보안패치는 자동으로 적용되도록 설정하고 있다. 지속적으로 어떤 보안패치가 누락됐는지를 판단하고 해당 보안패치를 선택적 또는 일괄적으로 적용하는 것이 가능하게 된 것이다.
뿐만 아니라, 동부화재에서는 BES를 소프트웨어 설치 수단으로도 활용하고 있다. 신규 솔루션 도입시 사용자 PC에 에이전트 프로그램을 설치하는 것을 포함, 백신 소프트웨어 등 규정상 꼭 설치해야 하는 프로그램이 설치되지 않은 경우에도 설치가 되도록 하는데 활용하고 있다.
유 과장은 “빅픽스는 PMS 기능은 물론 보안과 컨피규레이션 매니지먼트를 단일 솔루션에서 구현한 제품이라는 점에서 유용하다”며 “소프트웨어 배포, 실시간 자산정보관리, 보안 환경 탐지 및 제어, S/W 라이선스 관리 및 리포팅 기능 등에 다양하게 활용할 수 있다”고 강조했다.
BES의 또 다른 추천할 만한 기능은 사용자 PC 환경에 대한 파악이 가능하다는 것이다. BES의 자체 분석 기능을 통해, 관리자가 설정한 기준에 부합하는 PC가 몇 대나 되는지, 사용자가 누구인지를 알 수 있으며 기준 자체도 관리자가 다양하게 만들 수 있다.
이외에 노트북 및 원격 시스템에 대한 보안 환경 설정 관리와 치유 기능으로 네트워크 접속 이전에 필요한 보안 환경 설정, 국내외 다양한 바이러스 백신, 개인방화벽 솔루션에 대한 설치, 패턴 업데이트 및 운영 관리 기능, PKI 기반의 관리자 인증, 네트워크와 연결되어 있지 않은 상태에서도 보안 환경 설정과 취약점 모니터링 가능 등도 BES만의 특징이다.

사전테스트 반드시 필요
유 과장은 “보안패치가 적용돼도 모든 회사 환경에 맞는 것이 아니다”며 “서버의 경우 서버 담당자가 테스트환경에서 새로운 패치가 나오면 모든 업무가 정상적인지 확인하고 적용시킨다. 이처럼 패치관리에도 역시 절차가 필요한데, 우리는 새로운 패치가 발표되면 테스트 환경에 먼저 적용해본다. 신규 패치를 설치해 검증해보고 이상이 없으면 전체 실 환경에 도입한다”고 강조했다. 또한 그는 “이처럼 PMS를 도입해 자동으로 간편하고 안전하게 패치관리를 시행하는 것도 좋지만 일단 우리 회사의 환경에 맞는지 반드시 테스트해보는 것이 가장 중요하다”고 덧붙였다.
PMS 솔루션 벤더들이 자사의 솔루션이 안전한지 자동 검증을 거친 후 적용하고 있으나, 각 회사마다 환경이 다르고 고유하게 쓰는 프로그램들이 있을 수 있기 때문에 반드시 문제가 생기지 않으리라고 장담할 수 없기 때문이다.

INTERVIEW

여러 PMS제품 중 빅픽스 제품을 선택한 이유는
동부화재 네트워크 환경에 가장 영향을 적게 미치면서도 빠르고 쉽게 패치관리기능을 수행할 수 있을 것으로 판단했다. 아울러 기능 수행 시 발생하는 네트워크 및 시스템 부하로 인해 기존 업무에 발생하는 영향이 없어야 한다는 것도 중요한 판단 근거였다. 또한 취약점 탐지, 패치 수행에 필요한 모든 현황에 대해서 실시간 파악이 가능한 솔루션을 원했는데 이런 조건에 엑스퍼넷이 공급한 BES 5.0이 가장 적합하다고 판단했다. 그리고 각 사업장에 기 설치된 서버를 활용하면서 솔루션을 구축할 수 있어서 도입비용도 상당부분 줄일 수 있는 장점이 있었다.

도입한 제품에 만족하는지
물론 100% 만족을 하지는 않지만, 상당부분 도입시의 선택기준을 만족시키고 있다. 가장 중요한 건, 관리자가 필요한 때에 필요한 보안패치를 즉시 정책으로 적용할 수 있게 됐다는 것이다. 도입 이전에는 새로운 패치가 발표되면 사용자들에게 적용하라고 수없이 공지해야 했지만, 이제는 그러지 않아도 된다. 동부화재 사업장내 모든 PC에 PMS 에이전트가 설치됐고, 이들 PC에 대해 올 8월까지 발표된 보안패치는 거의 모두 설치됐다. 일반적으로 신규 보안패치가 발표된 이후 약 2~3일 정도면 99% 이상의 사용자 PC에 보안패치가 설치된다.

자사의 보안정책(환경)에 PMS 기능이 적합하다고 보는가.
동부화재 환경이 다른 곳과 달라서 PMS가 더 요긴하게 쓰인다고 보지는 않는다. 어느 기업에서나 PMS기능은 필요하다. 지금은 내부망보다 인터넷망을 강화하고 있으며 회선대역폭도 확장해 그에 필요한 보안이 강화되고 있는 추세다. 이동형 사용자, 인터넷망 사용이 많다는 측면에서 PMS를 통해 패치관리를 적시에 수행해줌으로써 보안사고를 미연에 방지할 수 있다. PMS는 직접적인 보안솔루션이라기보다 예방적인 수단이다. 그러나 보안은 사고가 발생했을 때 대처하는 것보다 예방이 더욱 중요하다. PMS로 발생할 수 있는 보안사고를 미연에 방지하는 것은 안전한 고객 서비스를 위해 동부화재에 무엇보다 중요한 사안이다.