"AI 시대 보안, OS 패치부터 챙겨라...방치된 취약점 리스크 증가"

최원영 한국레드햇 전무가 레드햇 제로 CVE 전략에 대해 설명하고 있다. [사진: 한국레드햇]

[디지털투데이 황치규 기자]"AI 확산으로 보안 위협이 더욱 고도화되고 확산될 것이란 우려가 커지면서 OS 인프라를 최신 상태로 관리하는 것이 더욱 중요해졌다."

한국레드햇 최원영 전무는 "OS부터 최약점에 노출되지 않도록 하는 것이 보안 강화를 위한 출발이다. OS 패치를 최신 상태로 유지해야 하는데, 이런 저런 이유로 그러지 않는 기업들이 의외로 많다"면서 OS에서 취약점을 줄여야 한다는 점을 거듭 강조했다.

CVE(Common Vulnerabilities and Exposures: 보안 취약점 노출) 숫자는 매년 늘고 있다.

회사 측에 따르면 1999년 처음 집계했을 때 894건이던 CVE는 2024년 4만297건으로 불어났다. 숫자만 늘어난 게 아니다. 공격자가 실제로 악용하는 비율도 함께 높아지고 있다. 하지만 취약점 관리에 대한 기업들 대응은 여전히 부족한 부분이 있다.

취약점을 파악하고 수정하는게 기업 IT 담당자들 입장에선 나름 풀이 들어가는 일이다 보니 대응이 제대로 안된다고 한다. 취약점이 나왔는데, 패치가 이뤄지지 않고 방치된 경우가 많은 이유다. 리눅스 무료 버전을 사용하는 곳들은 물론 기술 지원 서비스를 포함하는 유료 구독 방식으로 리눅스를 쓰는 기업들에서도 패치 관리가 제대로 이뤄지지 않는 것으로 전해진다.

최 전무는 "보안 패치를 가로막는 걸림돌은 기술 문제가 아닌 경우가 많다. 운영 중인 서버는 건드리지 않는 게 낫다는 현장 관행, 패치 작업이 자기 업무로 돌아올까봐 피하는 실무자 심리, 서비스 장애가 나면 책임을 져야 하니 현상 유지를 선호하는 임원 태도 등이 맞물린 결과"라고 말했다.
이에 레드햇은 회사 차원에서도기업들이 OS 패치를 보다 쉽게 진행할 수 있도록 지원하는데 속도를 내고 있다.

우선 커널 라이브 패치 기인 K패치(kpatch)다. 최 전무는 "K패치츨 쓰면 재부팅 없이 보안 패치를 적용할 수 있다. 긴급 취약점이 발생했을 때 서비스를 멈추지 않고 즉시 조치할 수 있다.패치가 나오지 않은 제로데잍 취약점에 대해서도 가능한 3일 안에 패치를 제공한다"고 강조했다.

회사 측에 따르면 레드햇은 패치와 관련해 문제 조사, 영향 제품 파악, 심각도 평가, 조치 결 4단계 프로세스로 대응한다. 고객들은 취약점이 발생할 때마다 레드햇 사이트에서 상세 설명을 바로 확인할 수 있다.

최 전무는 "레드헷 리눅스 기반 서버를 관리하는 솔루션인 레드햇 새틀라이트(Satellite)에 호스트를 등록하고, 시스템 관리 툴인 랑리트스피드(Lightspeed)로 취약점을 분석하고, 대응을 위한 플레이북(Playbook)을 만들어 패치를 실행하고, 결과를 보고서로 남긴다. 이 과정을 반복하면서 보안 수준을 높여나간다"고 설명했다.

OS 버전 관리는 립(Leapp) 도구로 단계별 업그레이드를 지원한다. 최 전무는 "센트OS 7.9에서 출발해 RHEL 7.9, 8.10, 9.7, 10.1까지 순서대로 올라갈 수 있다"고 말했다.

운영체제(OS)를 컨테이너 이미지처럼 빌드, 배포, 관리하는 기술인 RHEL 이미지 모드도 주목할 필요가 있다.

최 전무는 "시스템을 고정 이미지로 만들어 무단 변경을 원천 차단하고, 루트(Root) 권한을 가진 사용자도 이미지를 임의로 바꿀 수 없다. A/B 방식으로 백그라운드에서 업데이트하기 때문에 재부팅 시 새 버전이 적용되고, 문제가 생기면 이전 버전으로 즉시 돌아갈 수 있다"고 설명했다.

RHEL 10에서는 소프트 재부팅 기능도 새로 추가됐다. 하드웨어 초기화와 커널 부팅 단계를 건너뛰고 유저스페이스만 전환하기 때문에 물리 서버 다운타임이 몇 초 내로 줄어든다는게 회사측 설명이다.

최 전무는 "이미지 모드와 소프트 재부팅을 통해 서비스 중단 없이 검증된 OS 최신 상태를 유지할 수 있다. 커널이나 드라이버를 업데이트할 때는 기존 방식대로 하드 재부팅이 필요하다"고 말했다.