"바이러스만 자동으로 퍼지는 게 아니다??" - SUS를 이용한 보안패치 자동 퍼트리기

  • 아티클

이장원 과장 / 인우기술 고객지원부, TechNet Advisor Group

안녕하세요?
㈜인우기술 고객지원부에서 근무하고 있는 이장원 입니다. 지난 8월 12일 새벽부터 네트워크를 통하여 전파되기 시작한 Blaster 웜 바이러스 덕분(?)에 광복절에서 주말로 이어지는 황금 연휴를 회사에서 보냈습니다.

7월 중순 외국 보안관련 사이트에 Perl 이나 C 로 작성된 RPC 공격코드 소스가 Open 되었고 마이크로소프트사에서는 7월16일 "RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제(MS03-026)를 발표하여 홈페이지를 통하여 지속적으로 패치 적용을 안내하였기 때문에 RPC관련 취약점을 이용한 윔 바이러스로 지난 1.25 인터넷 대란 사태와 같은 일은 없을 것이라고 생각했던 분들에게는 참으로 이번 Blaster 윔 바이러스가 어이 없는 일이었습니다.

또한 ISP를 통하여 인터넷을 사용하는 End-User들의 PC에 감염되면서 해당 바이러스의 전파속도는 코드레드, 님다, 슬래머 바이러스를 능가하는 위력을 보였습니다. 회사 전산 담당 부서 직원들은 사내에 퍼진 바이러스를 치료하기 위하여 늦은 밤까지 고생을 해야 했으며 국내에 거의 모든 ISP 회사와 보안회사 들은 End-User들과 전산 관리자들의 문의전화로 전화가 불통되는 사태까지 벌어진 것입니다.

이번 Blaster 윔 바이러스 문제를 통하여 저 역시 많은 전산 담당자와 통화를 하여야 했고 사이트 지원을 다녀야 했습니다. 그로 인하여 많은 불만 사항을 접하다 보니 간과하고 있는 부분을 하나 발견하게 되었습니다.

많은 회사 전산담당자 분들의 불만은 일반 직원이 일일이 보안 패치를 어떻게 다 적용하냐는 것과 전산담당자가 그 많은 직원 PC에 보안 패치를 언제 다 적용하냐는 것 이었습니다.

위의 글을 읽으시면서 그럼 SUS(Microsoft Software Update Service)를 사용하면 되지 않을까? 하시는 분들이 많으실 꺼라고 생각합니다. 물론 그리 어려운 솔루션이 아니기 때문이고 나름대로 이미 많이 알려진 솔루션이기 때문입니다. 하지만 주위에는 막상 자신의 회사에서 SUS를 사용하지 않는 분들이 많고 SUS란 기능에 관심을 갖지 않거나 아예 모르시는 분이 더 많은 것 같습니다.

그래서 오늘은 SUS(Microsoft Software Update Service)에 대하여 이야기 해볼까 합니다.

마이크로소프트사는 바이러스 문제에 대응하는 것을 비롯하여 소프트웨어 관리를 위하여 이미 System Management Server 와 같은 소프트웨어 솔루션을 사용하고 있지만 새로운 비용 부담 없이 중소규모의 기업에 적합한 솔루션으로 Software Update Service를 통하여 Windows 2000과 Windows XP 플랫폼을 안전하게 유지할 수 있는 방법을 제시 하였습니다.

Microsoft Software Update Service 가 제공하는 기능

  • 클라이언트가 필수 보안 패치를 자동으로 업 데이트 할 수 있도록 함.
  • IT 관리자가 업 데이트 패치 배포를 조절할 수 있슴.
  • 기존의 소프트웨어 배포 솔루션을 사용하지 않고 있는 중/소규모 조직에 용이함.

Microsoft Software Update Service 용도

  • Windows 필수 업 데이트 (Critical Updates)
  • Windows 필수 보안 업데이트 (Critical Security Updates)
  • Windows SRP (Security Roll-up Package)

Microsoft Software Update Service 개요

column_17img_01.gif

위의 개요에서 보는 것처럼 SUS는 Windows Update 사이트와 컨텐츠를 동기화 하여 SUS 서버에서 자동 업데이트가 설치된 서버와 클라이언트들에게 업데이트 항목을 관리자가 선택하여 배포할 수 있습니다.

Microsoft Software Update Service 서버 구성

Software Update Services는 Windows 2000 Server with Service Pack 2 이상과 Windows 2003 Server 계열의 운영 체제에서 실행됩니다. 서버 컴퓨터는 IIS 5.0 이상과 Internet Explorer 5.5 이상에서 실행되어야 하고 NTFS 파티션이 설치되어 있어야 합니다.

Software Update Services가 실행 중인 서버의 최소 구성은 다음과 같습니다.

- Pentium III 700MHz 이상의 프로세서
- 512MB RAM
- 설치 및 보안 패키지에 필요한 6GB의 가용 하드 디스크 공간

이 구성에서는 Software Update Services가 실행 중인 한 대의 서버를 사용하여 약 15000 대의 클라이언트를 지원할 수 있다고 합니다. Software Update Services(서버구성)에는 영어 및 일본어 버전만 제공됩니다. 그러나 이는 설치/관리를 위해서 제공 되기 때문에 SUS는 모든 로케일의 클라이언트를 지원합니다.

Software Update Services 다운로드 (서버) 

Software Update Service와 어플리케이션의 호환성

Software Update Services를 실행하는 데 권장되는 구성은 Software Update Services만을 전용으로 실행하는 서버에 설치하는 것입니다. 그렇지만 Software Update Services 와 동일한 서버에서 다른 서비스를 실행할 수 없다는 의미는 아닙니다. 다만 다른 어플리케이션과 Software Update Services에 호환성 문제가 발생하지 않는지 확인해야 합니다. 예를 들어 Active Directory 도메인 컨트롤러로 동작하는 서버와 Small Business Server 2000에서 SUS가 정상적으로 동작하지 않습니다.
* (Windows Server 2003 Active Directory 환경 에서는 정상 동작함 )

Software Update Service 클라이언트 구성

Software Update Service 클라이언트 설치 패키지는 Windows XP 또는 Windows 2000 SP2 이상에 구성이 가능하여 자동 업데이트 클라이언트를 설치할 수 있습니다.

- MSI 설치 패키지를 사용하여 자동 업데이트 클라이언트 설치 (WUAU22.msi) WUAU22.msi는 www.microsoft.com의  Software Update Services 페이지에서 다운로드할 있습니다. (설치 패키지는 Windows XP 또는 Windows 2000 SP2에서 사용할 수 있습니다)
Software Update Services 다운로드 (클라이언트) 

- Windows 2000 Service Pack 3 (포함)
- Windows XP SP1 설치 (포함)

Microsoft Software Update Service 관리

SUS 서버와 클라이언트를 구성하였다면 서버에서 구성을 확인하기 위하여 시작-프로그램-관리도구 Microsoft Software Update Service를 클릭 하거나 HTTP://<사용자서버이름>/SUSadmin 으로 관리 사이트에 연결하여 관리를 시작합니다. 관리자는 Internet Explorer를 통하여 아래와 같은 관리 페이지의 구성을 볼 수 있습니다.

column_17img_02.gif

해당 관리 페이지에서는 Windows Update 와 서버 동기화, 업데이트 승인, 패키지 정보 승인과정, 서버 기록 및 활동 검토 작업을 할 수 있습니다.

SUS 클라이언트 구성의 확인은 제어판 - 자동 업데이트(Windows 2000) 또는 내 컴퓨터 - 시스템 등록정보 - 자동 업데이트(Windows XP)에서 자동 업데이트 구성 옵션을 확인 할 수 있습니다.

column_17img_03.gif

자동 업데이트 클라이언트에서는 구성된 SUS서버로부터 자동 업데이트를 구성할 수 있습니 다. Active Directory 환경에서 그룹 정책을 통하여 자동 업데이트가 설치된 Windows 2000/XP 클라이언트들에게 사용 가능한 모든 업데이트를 설치할 수 있으며 비 Active Directory 환경에서 클라이언트 레지스트리 설정을 통하여 자동 업데이트를 구성할 수 있습니다.

"328010 그룹 정책이나 레지스트리 설정을 사용하여 자동 업데이트를 구성하는 방법"

위에 설명한 내용은 SUS에 대하여 아주 간단하게 요약을 해본 것 입니다. 위의 설명만으로 SUS에 대하여 완전하게 이해하기는 힘들겠지만 대략적으로 어떤 기능을 가지고 있는지는 이해하셨을 꺼라고 생각합니다.

다시 한번 간단하게 정리하자면

현재의 전산 관리자들은 Windows Update 사이트나 Microsoft 보안 웹 사이트에서 패치를 수시로 확인해야 하고 그런 다음 사용 가능한 패치를 수동으로 다운로드하여 자신의 환경에서 테스트한 다음 기존의 소프트웨어 배포 도구를 사용하거나 수동으로 패치를 배포해야 하는 불편함이 있습니다. 물론 패치를 하지 못하고 넘어가는 일도 많이 있습니다. 그러나 Software Update Services는 이러한 문제를 해결할 수 있습니다.

Software Update Service에서는 Windows 클라이언트 컴퓨터에 필요한 중요한 업데이트를 컴퓨터의 인터넷 접속 여부에 상관 없이 동적으로 알려주고 있을 뿐만 아니라 이 기술을 사용하여 회사의 Windows 데스크탑 및 서버의 중요한 업데이트를 간편하게 자동으로 배포 할 수 있습니다.

앞으로도 바이러스는 계속 나올 것이고 관리자들은 바이러스의 피해로부터 회사의 자원을 보호하기 위해 노력할 것 입니다. 그 노력이 얼마나 힘든 것 인지 알기 때문에 조금이나마 편리(?)하게 하기 위한 한가지 방법으로 바이러스가 퍼트려지는 것처럼 내가 관리하는 회사에 보안 패치를 자동으로 퍼트려 보자는 의미에서 SUS를 소개하여 보았습니다.

Microsoft Software Update Service에 대한 자세한 내용은 아래의 사이트에 자세하게 소개되어 있고 백서와 FAQ가 한글로 번역되어 있어 어려움 없이 SUS를 구현할 수 있도록 안내 되어 있습니다.

Software Update Services 홈 페이지 (한글)
https://www.microsoft.com/korea/windows2000/windowsupdate/sus/default.asp

Software Update Services 개요 백서 (한글)
https://www.microsoft.com/korea/windows2000/windowsupdate/sus/susoverview.asp

Software Update Services 배포 백서 (한글)
https://www.microsoft.com/korea/windows2000/windowsupdate/sus/susdeployment.asp

그룹 정책에 대한 이해 백서:
https://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp 

Windows 2000 Server환경에서 Windows XP 관리:
https://www.microsoft.com/windowsxp/pro/techinfo/administration/policy/default.asp 

   최종 수정일 : 2005년 8월 22일