본문 바로가기

Work Log/As Cybersecurity Consultant

[보안제품 소개] PMS(Patch Management System, 패치관리시스템)


IPM(Install & Patch Management) 으로도 불리는 PMS(Patch Management System)에 대한 설명을 포스팅하려고 합니다. 

과거엔 Network, 그 중에서도 Network의 경계부분에 대한 보안이 중요했었는데, 최근엔 단말에 대한 보안이 점점중요해지고 있습니다. 외부에서 들어오는 침입 보다 내부자에 의한 보안이슈가 많아지고, 외부에서의 침입이라고 해도 철통같은 경비가 돼 있는 네트워크를 직접 해킹하기 보다는, 사람들을 이용해서 내부로부터 침입하는 경우가 많아진다고 할 수 있겠습니다. 점점 Human Factor가 중요해지고 있는 것이지요.

조직 내부의 사람들이 쓰는 단말기가 침입을 위한 도구가 되기도 하고, DDoS와 같은 공격을 하기 위한 좀비가 되기도 합니다. 이런 위험들을 완화하기 위해서는 최신의 패치들이 설정 된 운영체제와 백신, 기타 소프트웨어를 사용하는 것이 중요한데요. 이를 관리해주는 솔루션이 바로 PMS 솔루션입니다.

글이 도움이 되신다면 위의 손가락 한방 꾹! 눌러주세요~

기본 기능

일반적으로 사용자 PC 등 관리대상 PC에 설치되는 에이전트와 소프트웨어나 패치 등을 배포하는 배포서버, 정책에 따라 인터넷 사용을 통제하여 에이전트 설치를 강제하는 모니터링 서버로 구성이 되고 있습니다.

사용자 PC에 설치가 필요한 운영체제의 패치파일이나 필수 보안 프로그램 등을 설치 강제함으로써 운영체제 등에 존재하는 취약점을 제거함으로써 ‘가용성’이 주요 보안 목적이라고 할 수 있지 않을까 생각합니다만, 기밀성이나 무결성을 위해서도 기여를 한다고 생각할 수도 있겠습니다.

주요 기능들을 살펴보면

패치관리
- 에이전트 설치를 강제하는 모니터링 서버(에이전트 설치 유도 시스템)이 네트워크 상에서 전송되는 패킷을 수집하여 패킷 헤더를 분석하여 해당 패킷을 발송한 클라이언트 PC에 에이전트가 설치되어 있지 않은 것으로 판단되면 해당 클라이언트 PC에 에이전트 설치 유도 패킷(TCP Blocking 방식. 클라이언트 PC가 SYN을 보내면 해당 서버를 가장하여 Reset 패킷 등 조작된 패킷을 전송하는 방식)을 발송.  에이전트는 아웃바운드 되는 패킷 헤더(TCP/IP 패킷 중 ACK, PSH가 설정 된 경우 헤더정보 중 Reserved Field 또는 Reserved Bit)에 에이전트가 설치되었음을 알리는 정보를 설정하여 확인하는 것으로 알고 있습니다. 벤더사마다 제어를 위한 다양한 방법이 사용되는 것으로 알고 있습니다 :)
- 전송받은 클라이언트의 네트워크 연결을 끊거나 에이전트를 다운받는 페이지 등으로 이동하도록 합니다.
- 패치 롤백

소프트웨어 관리
- 보안 솔루션 및 기타 필수 소프트웨어의 강제 설치/배포
- 불법 소프트웨어 설치 차단
- 설치된 소프트웨어의 현황 파악

하드웨어 자산관리: 부가기능이라고 할 수 있겠습니다
- 사용자 PC의 하드웨어 현황(CPU, RAM, HDD, ODD 등) 파악
- 하드웨어 사용자 변경 이력 관리
- 사용자 PC의 IP변경 이력 관리

패치관리를 중심으로 소프트웨어나 하드웨어 자산을 관리하기 위한 기능들을 부가 기능으로 가지고 있습니다. 일부 솔루션은 PC보안 제품에서 제공하는 계정 취약점 분석이나 공유폴더 관리 등의 기능을 제공하기도 하구요


구축 시 유의사항

외부 망으로 나가는 망의 스위치나 라우터에 유도 서버가 위치하기 때문에 내부 망만 사용하는 경우(인터넷은 사용하지 않고, 내부망에 위치한 서버에만 접근한다던지) 에이전트를 강제로 설치 할 수가 없는 경우가 발생할 수가 있습니다. 네트워크 구성을 잘 고려해서 구축하는 것이 필요하지 않을까 생각하구요. NAC(Network Access Control)의 경우에는 단말에 바로 연결된 L2 스위치에서 제어를 하기 때문에 정책에 맞지 않으면 네트워크 연결을 바로 차단하는 것과는 다르지요.

에이전트가 대부분 윈도우 기반에서 동작하기 때문에 때문에 OS가 윈도우가 아닌 경우에는 어떻게 관리를 할 것인지를 고려 할 필요가 있겠습니다. 서버의 경우 OS가 윈도우 기반인 경우에도, 강제 설치되는 프로그램과 충돌이 발생하거나, 패치 설치 후 재부팅 되는 등의 관리적인 이슈가 있기 때문에 대부분 예외처리를 검토하기도 하는데요, 이 경우에도 다른 솔루션에서 감사를 할 수 있는지 등을 고려해봐야겠습니다.