[홍석범의 보안Tip] 최근 자바나 Adobe Flash등 브라우저 기반의 Application에 대한 취약성을 이용한 공격이 활발해 지면서 패치 관리가 매우 중요해 지고 있다. 본 기사에서는 rapid.com 에서 제공하는 간단한 free 툴을 이용하여 효율적인 보안 패치 관리 시스템을 구현할 수 있는 방안에 대해 살펴보도록 하자.

‘보안패치 관리’는 식상할 정도로 많이 들어온 단어이지만, 그 중요성은 두 말 할 필요가 없다 할 것이다. 그러나 조직이나 회사내에서 각 직원들의 PC에 agent를 설치하거나 게이트웨이에 상용 패치관리시스템(PMS)을 사용하기에는 부담이 되었고, Microsoft에서 제공하는 WSUS(Windows Server Update Service)는 MS 제품군에 대해서만 패치 관리를 제공한다는 한계가 있어 flash, Java, media player등 최근 보안 이슈가 되고 있는 각종 브라우저의 plugin에 대한 패치관리는 마땅한 해결책이 없었다. 그러나, 최근에 rapid.com에서 browserscan 이라는 Free 서비스를 제공하면서 이들 plugin에 대한 패치 관리를 손쉽게 할 수 있는 방안이 소개되었다.
 
먼저, http://browserscan.rapid7.com/ 에 접속해 보자.
여기에서 중앙의 “Scan My Browser” 를 클릭하면 현재 설치되어 있는 각종 브라우저의 application 버전을 체크한 후 패치가 필요한 경우 버전 정보와 함께 직접 다운로드 받을 수 있는 링크 정보를 제공한다. 아래의 경우 모든 버전의 패치가 완료된 상태임을 보여주고 있는데 만약 패치가 되지 않은 버전이 있을 경우 버전 정보와 함께 최신 버전으로 패치 가능한 다운로드 링크를 보여준다.

이제 관리자로서 아래의 고민을 하게 될 것이다.
회사 등 내부의 구성원들이 모두 이 페이지를 정기적으로 접속하여 패치 관리를 하도록 하고, 버전 통계 등 패치 상태를 모니터링 하고자 한다면 어떻게 하여야 할까? 만약 패치 되지 않은 PC의 경우 사이트 접속을 허가하지 않고 대신 경고 문구가 보이도록 하려면 어떻게 하여야 할까? 등...
 
Browserscan은 이에 대한 답을 제공해 주고 있다.
먼저 위 사이트에서 좌측의 “Create an Account”를 클릭하여 간단한 정보를 입력한 후 회원 가입하여 로그인을 해 보자. Tracking Code라는 한 줄의 script와 함께 4가지 모드를 선택할 수 있도록 제공하고 있다.(각각의 모드에 따라 URI가 약간 다르다)
 
예)
<script src="//browserscan.rapid7.com/EM-1522012364/X/0/1/0/collect.js">
</script>
 
즉, 각 모드별로 제공되는 tracking code를 사내 그룹웨어나 자주 접속하는 내부 시스템에 삽입하기만 하면 되는데, 여기서 제공하는 각각의 모드에 대해 살펴보도록 하자.

transparent mode(투명모드) :: 방문자에게 패치 여부에 대해 어떠한 action을 취하지는 않고, 단지 사이트에 방문하는 유저들의 브라우저 패치 상태에 대한 통계정보만을 수집하고자 할 때 사용한다.
badge mode(배지모드) :: 패치 여부에 대해 분석 후 아래 그림과 같이 안전한 지 여부에 대해 각각의 이미지를 보여준다.
 

 
overlay mode (반투명 모드) :: 만약 보안패치가 안 되었을 경우에는 반투명의 경고창을 보여주고 보안패치가 되었을 경우에는 아무런 액션을 취하지 않는다.
 
redirect mode(강제 재접속 모드) :: 만약 보안패치가 되어 있지 않았을 경우 관리자가 지정한 웹페이지로 강제 redirect 된다.
 
각각의 모드에 따라 script의 URL이 약간 차이가 있으므로, 각자 테스트를 해 보고 자신이 속한 조직의 특성에 맞게 적용하면 될 것이다.
그리고, Browserscan에서 제공하는 dashboard를 보면 OS나 브라우저, 각종 plugin별 버전 정보 등 각종 통계상태도 확인해 볼 수 있어 유용하다.

 
실제 각자 환경에서 테스트를 해 보면, 특정 브라우저에서는 최종 버전으로 패치를 했는데도 패치를 하지 않았다는 메시지가 보일 때가 가끔 있는데, 이러한 경우에는 plugin에 따라 재부팅을 해야 정확히 인지되는 경우가 있기 때문이므로 PC를 재부팅 후 다시 확인해 보면 잘 작동하는 것을 알 수 있다.
 
지금까지 살펴본 browserscan은 상용 서비스가 아니기 때문에 스크립트를 로딩하는 속도가 다소 느릴 수 있고, 이외 좀 더 상세한 정보를 제공하지는 않아 아쉬움은 남지만 각종 plugin에 대한 패치 관리 본연의 기능 자체는 충실하다고 할 수 있어 각 조직에서 유용하게 사용이 될 것으로 기대된다.
 
[글. 홍석범 씨디네트웍스 시스템팀 팀장 antihong@gmail.com]