20.09.24 ( 기업들의 패치 취약점 미흡, Samba 취약점 주의, 클라우드 환경으로 이전되면 데이터센터는 필요한가? )
1. 기업들의 매달 패치하는 취약점의 수준 미흡
보안업체인 켄나 시큐리티(Kenna Security)와 사이엔타 인스티튜트(Cyentha Institute)에서 최근 패치와 취약점에 관리에 관한 보고서의 결론에 따르면 모두 기업 규모에 관계없이 평균적으로 취약점의 10%정도만 패치한다고 발표했습니다.
주로 조사한 산업은 기술, 생산, 의료, 금융이었으며, 취약점을 어떤 식으로 관리하며, 우선순위를 정해 패치하며, 취약점 관리에 걸리는 평균 시간을 조사했다고 합니다. 하지만 기업의 규모와 취약점 관리 능력 사이에 어떤 관련성도 찾을 수 없었다고 합니다.
2년전 켄나 시큐리티에서 조사를 진행했을 때 "취약점 우선순위를 매달 정해서 해결하는게 쉬운것이 아니며, 패치를 꾸준히 해도 매달 해결해야 할 취약점이 오히려 늘어난다"라고 기업들이 답했었습니다. 그래서 그 때에 비하면 10%를 꾸준히 해결하고 있다는 것만으로도 다행이라고 긍정적으로 결과를 해석한다고 합니다.
하지만 산업별로 보이는 특징이 없는 것 아니었다고 합니다. 의료 산업의 경우 기계에서 발견되는 취약점들의 수가 많았으며, 그만큼 소해율도 높았다고 합니다. 이는 의료 산업의 경우 장비들에 대한 의존도가 높을 때 나타나는 현상이라고 해석됩니다.
그리고 기술 산업도 소해율이 높았는데 이는 기술에 능숙한 사람들이 많기 때문이라는 결론을 냈습니다. 이에 켄나 시큐리티에서는 환경 요인이 소해율을 높이는 큰 원인이라고 발언했습니다.
다만 금융 산업의 경우, 각 기관이나 은행별로 개발하고 사용하는 장비와 애플리케이션이 천차만별이었으며, 취약점을 해결하는데 타 산업에 비해 4배나 길었다고 합니다. 또한 위험요소가 어느 정도 완화되는데 25% 더 길었다고 합니다.
생산업의 경우, 장비들이 고비용이고 비교적 고장에 노출된다는 특징 때문에 사건 발생 후 복구 작업이 취약점 점검도 같이 이루어 진다고 합니다. 그래서 타 산업에 비해 취약점 해결 시간이 2배 길었으며, 위험한 취약점도 손대지 않는 산업이라고 합니다.
취약점을 해결하려면 시간도 걸리고, 전담인원, 서비스나 생산을 중단 시켜야 할 때가 많기 때문에 현장에서는 쉬운게 아니라고 합니다. 이 때문에 수많은 조직들이 취약점을 통한 공격 가능성을 배제하고 사업을 운영한다고 합니다. 취약점을 안고가는 것이 서비스와 생산을 중단시키는 것보다 안전하다고 판단하는 것이죠.
CISO가 충분한 가시성을 확보하지 못해 관리 계획을 잘못 수립하는 경우도 적지 않다고 합니다.
이러한 결과로 사이엔타는 패치가 정말 불가능하다면, 위험 완화 대책이라도 마련해야 한다고 주장했다고 합니다. 또한 망분리나 중요한 데이터 오프라인 보관과 같은 수들을 마련해 정립시켜야 한다고 했습니다.
2. Samba 취약점 주의
삼바(Samba) 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다.
이번 취약점은 Samba AD(Active Directory) DC(Domain Controller)에서 Netlogon 프로토콜의 취약한 암호화 운영모드 사용으로 발생하는 권한상승 취약점(CVE-2020-1472)라고 합니다.
반드시 최신 버전으로 업데이트를 해야하며 임시 대응 방안은 다음과 같습니다.
"smb.conf" 파일 -> server schannel = yes 추가 -> Reboot
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
portal.msrc.microsoft.com
cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
CVE - CVE-2020-1472
20191104 Disclaimer: The entry creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
cve.mitre.org
3. 클라우드 환경으로 이전되면 데이터센터가 중요할까?
최근 디지털 변혁으로 클라우드가 대화의 중심이 되고 있습니다. 클라우드로 이전을 마친 조직들은 대부분 기술, 금융, 사업 운영적으로 극적인 유연성과 확장성을 경험하고 있다고 합니다.
문제는 클라우드 체계로 전환한다는 것은 매우 복잡한 일이라는 것입니다. 클라우드로 이주한다고 해서 디지털 혁신이 끝나는 것도 아니며, '성공적인' 클라우드의 이주라는 것이 1,2가지 형태로 고정되어 있는것도 아닙니다.
여기서 중요한 것은 클라우드로 이전한 사람들은 '아직도 데이터센터에 대한 의존도가 높다'는 말이 들어가 있지 않다는 것이죠! 클라우드로 대부분 인프라를 옮긴 것은 맞지만 새로운 기술을 사업에 접목해 운영하는 것과 변혁을 꾀하는 것의 근간에 데이터센터가 존재하는 것을 빼놓고 클라우드에만 열을 올리는게 클라우드 성공 신화의 공통점이라고 합니다.
현재는 클라우드와 데이터센터를 같이 운영하는 하이브리드 방식이 비용 절감과 생산성 극대화를 위해 가장 합리적인 선택지라고 합니다. 클라우드로의 이전이 중요하긴 하지만 여전히 데이터센터가 필요하며 왜 필요한지 밑에 설명하도록 하겠습니다 :D
(1) 모든 워크로드가 클라우드에 적합하지 않다.
워크로드란, 주어진 시간 안에 컴퓨터 시스템이 처리해야 하는 작업의 양과 성격으로써 현재 직원들이 활용하고 있고 조직 내 형성되어 있는 워크플로우와 뗄 수 없는 관계이라고 합니다.
워크로드가 클라우드로 옮겨 갔을 때, 워크플로우가 더 좋아질 수 있지만 망가질 수 있다고도 합니다. 그 이유는 워크로드를 처리하는데 사용되는 애플리케이션이 클라우드 기술을 전혀 호환하지 못할 수 있기 때문이라고 합니다. 이런 애플리케이션들은 다음과 같습니다.
- 정적 애플리케이션(동적인 활동이 필요 없는 경우)
- 오래된 레거시 애플리케이션
- 데이터 집약적 애플리케이션(데이터를 자체적으로 저장해두고 활용해야 하는 경우)
- 사용 집약적 데이터셋(항시 사용 중이어야 하는 데이터)
다양한 조건들을 제하고 옮길 수 있는 것들을 찾아도 생산성 향상에 미비한 영향력을 가지는 경우가 종종 있다고 합니다. 이는 직원들 중 극히 일부만 사용하거나 생산성과 연관성이 없는 것으로 옮겨도 의미 없기 때문이라고 합니다.
(2) 유연성이 배제된 애플리케이션들이라면 데이터센터와 더 잘 어울린다.
클라우드로 옮길 시 다음과 같은 것들을 옮겨야 제대로된 투자(가치)를 이끌어 낼 수 있다고 합니다.
- 엘라스틱 컴퓨팅(탄성 컴퓨팅, elastic computing)
- 아카이벌 기억 장치(archival storage)
- 서비스(service)
클라우드의 가장 큰 장점 중 하나는 확장성입니다. 이말은 즉, 잘 늘어나고 줄어들고 했을 때 높은 가치를 발휘해야 합니다. 그래서 최근 클라우드를 기반으로 만들어진 요소나 플랫폼을 보면 '탄성 설계'가 잘 되어있으며, 데이터 센터와 호환되지 않는다고 합니다. 다음이 대표적인 예입니다 :D
- AR(증강현실), VR(가상현실)
- IoT(사물인터넷)
- AI(인공지능), Machine Learning(머신러닝)
- Media Service
- developer tool
반대로 정상상태 컴퓨팅이나 생산 저장소 같은 '비탄성 애플리케이션'들은 데이터센터와 더 잘 어울리며 더 많은 기능을 발휘합니다. 즉, 세심하게 살펴볼 필요가 있다는 것입니다. 데이터센터에 남겨두면 좋을 것을 클라우드로 옮긴다고 개발을 다시 시작하는 건 현명하지 못하다고 하네요!
(3) 클라우드로 들어가고 나가는 것에도 큰 비용이 따른다.
클라우드 비용이 낮지 않다는 것도 고려하여야 한다고 합니다. 현재 수많은 기업이 클라우드 업체와 계약을 하고 청구서 액수에 크게 놀라는 경우가 많다고 합니다.
그 이유는 클라우드에 있는 데이터를 빼내어 쓸 때, 특정 기기바이트 당 얼마씩 청구된다고 합니다. 이는 계약 시 대부분의 클라우드 기업들이 데이터 인출 비용(Data Ingress cost)에 대해서 상세히 적지만, 데이터 반출 비용(Data Egress Cost)에 대해서는 별 다른 설명을 하지 않기 때문이라고 합니다. 또한 정적 애플리케이션들을 공공 클라우드에 옮기게 되면 더 많은 비용이 들어간다고 합니다.
(4) 클라우드 이전 후 관리할 자원이 있는가?
클라우드 업체의 플랫폼으로 이전했다고 하여 관리 책임까지 모두 넘어가는 것은 아니라고 합니다. 즉, 누군가는 예산을 확보하고 클라우드 관리를 전담해야 하는 것이죠. 클라우드를 이해하고 관리할 만한 역량이 조직이 있는지 조사하는 것이 중요한 이유라고 합니다.
하지만 대부분은 '그렇지 않다'라는 결론을 내려야 한다고 합니다. 클라우드 전문가는 현재 많지 않으며, 벌써 규모 있는 기업에서 대부분 인력을 확보하고 있기 때문이라고 합니다. 게다가 클라우드 정책은 굉장히 복잡하며, 어려운 실무 수준을 요구하는 탓에 방대한 양의 에너지와 자원을 투자해야 합니다. 즉, 클라우드 인재를 내부에서 키우겠다는 것도 쉽지 않은 일라는 의미입니다.
그리고 클라우드로 옮긴다고 했을 때 안정화 단계에 들어설 때까지 데이터센터의 안정적 자원이 반드시 전제되어 있어야 한다고 합니다.
(5) 클라우드 보안과 컴플라이언스는 데이터센터와 완전히 다르다.
보안과 규정 때문에 클라우드로 못가는 조직들이 많다고 합니다. 클라우드 체제로 이전한다고 했을 때 산업이나 국가가 요구하는 필수 항목은 많아지고 엄격해지는게 보통이라고 합니다. 특히 민감 정보를 반드시 사업적으로 활용해야하는 조직이라면 더욱더 그렇다고 합니다.
그렇기 때문에 데이터센터를 운영해야 한다고 합니다. 민감한 데이터의 범위가 넓어지고 있고 규정은 더 엄격해지고 있기 때문에 적절한 해답이 나오지 않는 이상 하이브리드 체제에 머무를 수 밖에 없다고 합니다.
클라우드가 가지고 있는 장점과 미래력은 너무 좋습니다. 특히 데이터센터 구조가 갖는 한계들을 모두 극복한 것이 클라우드이기 때문에 IT 인프라의 중심이 되는 것은 분명합니다. 하지만 데이터센터에 현대 사회가 필요로 하는 장점이 하나도 남아 있지 않는 것은 아니라고 합니다.
현재는 IT 기술과 이를 관리하는 규정, 법 그리고 모든 것이 혼란스러운 상태로 안전화되어야 할 부분이라고 합니다. 그래서 지금은 데이터센터를 유지하며 클라우드를 차근히 준비해나가는 것, 하이브리드가 좋은 방법이라고 합니다 :D
밑의 사진은 기사에 대한 반론이 제기된 댓글입니다↓ (저는 아직 클라우드를 잘 몰라서 어느것이 진위여부인지는 모르겠으나 공부를 해야겠다는 생각은 학실히 드네요..ㅠ_ㅠ)
출처
www.boannews.com/media/view.asp?idx=91382&page=1&mkind=1&kind=
기업들, 크나 작으나 매달 패치하는 취약점은 전체의 10% 수준
패치와 취약점 관리에 관한 따끈따끈한 보고서가 4개나 나왔다. 결론은 전부 같다. 산업이나 기업 규모에 상관없이 모든 조직들이 평균적으로 취약점의 10% 정도만 패치를 한다는 것이다. 이러한
www.boannews.com
www.dailysecu.com/news/articleView.html?idxno=114097
Samba 취약점 주의…권한상승 공격에 취약 - 데일리시큐
삼바(Samba) 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다.낮은 버전 사용자는 권한상승 공격에 취약할 수 있으므로, 최신 버전으로 업데이트해야 안전할 수 있다.이번 취
www.dailysecu.com
www.boannews.com/media/view.asp?idx=91297&page=1&kind=1&search=title&find=
[주말판] 클라우드로 가면서 데이터센터를 폐기처분한다고?
디지털 변혁이라는 주제로 이야기를 나누다 보면, 항상 클라우드로의 이주로 귀결되고, 그것이 대화의 중심이 된다. 사실 이게 현재로서는 맞는 흐름이다. 클라우드로의 이전을 성공적으로 마��
www.boannews.com