[열린마당]기업내 패치관리의 중요성

한국정보보호진흥원(KISA641)의 최근 조사 결과 보안패치 미설치 등 무방비 상태 PC는 인터넷에 연결한 지 단 15분 만에 웜바이러스에 감염되는 것으로 나타났다. 또 최근 발표된 언론보도에 따르면 MS의 윈도 제품만 해도 600여개에 달하는 보안상 문제점이 있는 것으로 드러났다. 1·25 인터넷 대란을 비롯해 ‘사세르’ ‘베이글464’ ‘아고보트’ ‘조톱 웜’ 등 최근에 발견된 강력한 웜은 대부분 윈도의 보안 취약점을 노리고 제작된 것들이다.

　특히 올해 출현했던 ‘조톱(Zotob)’ 웜은 최신 보안패치가 발표된 지 불과 4일 만에 피해 사례가 보고되는 등 웜바이러스 등장 주기가 갈수록 빨라지면서 이제는 보안 취약점이 발견되자마자 바이러스가 등장하는, 이른바 ‘제로데이(ZeroDay)’의 가능성도 제기되고 있는 실정이다.

　이러한 상황에서 가장 확실한 보안책은 최신 패치 파일 설치를 통해 웜바이러스의 공격 통로가 되고 있는 취약점을 차단함으로써 보안 사고를 예방하는 것이다. 기업 내에서 체계적인 패치 관리가 중요한 이유다.

　그러나 국내 기업들은 담당자들의 인식이 부족해 패치 관리의 중요성을 간과하는 경우가 많은 것이 현실이다. 패치를 설치하지 않아도 회사 업무에 별다른 지장이 없을 것이라는 안일한 생각을 갖고 있어 아직도 많은 기업이 기업 내 PC에 대한 패치를 직원 개개인의 선택에 맡기고 있다.

　이렇듯 패치 관리를 개별 직원에게 일임함으로써 발생하는 기업의 비용 손실은 예상 외로 엄청나다. 예를 들어 직원 수가 5000명인 기업에서 개별 직원에 의해 수동으로 패치 설치가 이루어질 경우 PC당 연간 패치 개수를 100개로 산정하고 1개의 패치 설치에 15분이 소요된다고 가정한다면 1인당 총 패치 시간은 연간 25시간에 달한다. 기업 전체를 기준으로 본다면 연간 12만5000시간이라는 엄청난 시간을 직원들이 패치 관리에 쏟아부어야 한다는 의미다. 이를 소요 인건비용으로 환산해보면 대략 연간 총 19억원에 이른다.

　특히 이와 별개로 빈번히 발생하는 패치 설치 작업에 따른 시간 손실, 업무 중단, 패치 작업 시 발생 가능한 문제 처리 등으로 인한 업무 피해 등 보이지 않는 비용 손실도 상당하다.

　그러나 이보다 더 큰 문제는 개별 직원에 의해 패치 관리가 이루어질 때 기업 내 패치율이 전체의 30∼40% 수준에도 미치지 못하는 경우가 다반사라는 것이다. 기업 보안의 핵심 요소인 패치 관리를 직원 개인의 손에 맡기면 결국 개별 PC의 패치 부실에 따른 빈번한 웜바이러스 감염과 사내 네트워크 사용 불능 사태 등 전사적인 업무 마비로 인한 기업 손실로 이어지며 이는 상상을 초월한다.

　이렇듯 패치 관리는 안정적인 기업 전산환경 구축을 위한 핵심 요소다. 이런 상황에서 기업 내 패치 관리에 따르는 다양한 문제를 해결할 수 있는 가장 효과적인 대안은 전문적인 패치관리시스템(PMS:Patch Management System)을 도입하여 운용하는 것이다.

　그러나 PMS를 도입하는 데도 한 가지 명심해야 할 사항이 있다. “패치는 반드시 설치해야 하지만, 잘못된 패치는 안 하는 것보다 못하다”는 사실이다. 특히 PMS는 지속적이고 안정적인 패치 관리 능력과 기술 지원 등 운용 경험이 매우 중요하다. 패치 관리는 한 번 설치하고 나면 작업이 종료되는 ‘1회용 솔루션’이 아니라 지속적 운용이 필요한 ‘서비스’이기 때문이다.

　이런 이유로 이미 시장에서 검증받은 전문적이고 안정적인 PMS 제품들을 객관적으로 비교 검토하여 도입하는 것이 기업들로서는 현명한 조치다. 그렇지 않으면 오히려 도입 이전보다 더 큰 비용 손실을 감수해야 할지도 모르기 때문이다. 분명 패치 관리는 기업 내 전산 인프라의 신뢰성과 효율성을 보장하는 가장 기본적인 요소다. 또 사용자라면 PC 안전을 위해 패치 관리를 생활화해야 한다. 하지만 너무 쉽게 생각해서는 안 된다. 앞서 설명했듯이 잘못 쓰거나 소홀히 취급하면 오히려 독이 될 수 있다. 각 기업이 안정적이고 체계적인 패치 관리를 위해 심혈을 기울여야 하는 이유다.

◆황태현 소프트런 사장 hth@softrun.com