“공개 취약점(CVE) 늘지만 패치 못해”…레드햇, 기업 OS 보안 전략 제시
공개 보고된 보안 취약점이 늘어나면서 운영체제(OS, Operating System) 패치 부담도 커지는 가운데, 레드햇이 기업들이 OS 패치를 더 쉽게 적용할 수 있는 방안을 제시했다.
한국레드햇은 25일 서울 여의도에서 열린 미디어 간담회에서 기업이 OS를 최신 상태로 유지할 수 있도록 지원하는 레드햇의 보안 전략을 소개했다.
최원영 한국레드햇 프린시플 솔루션 아키텍트 전무는 “OS 인프라의 견고함과 최신성 유지가 인공지능(AI) 시대의 기반”이라며 “제로-CVE는 취약점이 아예 없는 상태보다는, 취약점을 빨리 파악하고 신속히 조치해 노출 시간을 줄인다는 운영 전략”이라고 강조했다.
레드햇에 따르면, ‘공통 취약점 및 노출(CVE)’ 건수는 계속 늘어나고 있다. 1999년 CVE 제도가 처음 도입된 이래 894건이던 등록 건수는 2024년 4만297건으로 45배 가량 늘었다. CVE가 악용으로 이어지는 비율은 전체의 0.5% 수준이지만, 사고 건수로 치면 188건(2024년 기준)에 달한다. CVE가 늘어날수록 악용 건수도 점차 증가하는 추세라 대책이 필요한 상황이다.
패치 안 하는 게 아니라, 못 하는 기업들
최 전무는 기업들이 OS 업데이트를 미루는 이유로 서비스 장애 우려와 검증 부담을 들었다. 운영 서버에 패치를 적용하면, 그 위에서 돌아가는 애플리케이션이 제대로 동작하는지 다시 확인해야 하고, 기존 규정과 표준을 계속 충족하는지도 점검해야 하기 때문이다.
최 전무는 “OS 패치에 시간이 많이 들고 장애가 나면 부담도 커지기 때문에, 현장에서는 운영 서버는 건드리지 않는 게 상책이라는 관행이 굳어졌다”며 “운영 환경 변경 최소화, 실무자 저항, 임원의 책임 회피도 제때 패치를 못하는 이유”라고 설명했다.
그는 패치와 업데이트가 기업 안에서 반복 가능한 운영 프로세스로 자리 잡지 못한 점도 큰 문제라고 봤다. 취약점이 계속 늘어나는 상황에서도 패치는 늘 “다음 점검 때 하자”는 식으로 밀리고, 그 사이 공격 가능성은 커진다는 것이다.
재부팅 부담 줄이는 ‘소프트 리부트’
레드햇이 제시한 첫 번째 해법은 ‘재부팅 부담을 줄이는 것’이다. 레드햇 엔터프라이즈 리눅스(Red Hat Enterprise Linux, RHEL) 10에는 ‘소프트 리부트’ 기능이 있다. 이는 서버를 다시 켜는 과정에서 하드웨어 점검 단계까지 거치는 기존 하드 리부트와 달리, 소프트웨어 영역만 다시 시작하는 방식이다.
최 전무는 “베어메탈 서버에서 커널 업데이트를 적용하려면 하드 리부트에 10분에서 30분가량 걸릴 수 있지만, 소프트 리부트는 이 시간을 10여초 수준으로 줄일 수 있다”고 설명했다. 이어 “서비스 중단 시간이 짧아지면 그만큼 패치를 미루는 이유도 줄어든다”고 덧붙였다. 베어메탈 서버는 가상화 계층 없이 OS를 물리 서버에 직접 설치해 구동하는 방식의 서버다.
여기서 커널은 OS의 핵심 부분이다. 보안 취약점이 커널에서 발견되면 보통 재부팅이 필요한데, 기업 입장에서는 이 짧지 않은 중단 시간이 가장 큰 부담이다. 레드햇은 이 지점을 줄여야 OS를 최신 상태로 유지하는 일이 일상적인 운영으로 바뀔 수 있다고 봤다.
서버마다 따로 고치지 말고, 같은 이미지로 바꾸자
두 번째 해법은 ‘이미지 모드’다. 이미지 모드는 서버마다 패키지를 하나씩 업데이트하는 대신, 보안 설정과 필요한 구성 요소를 미리 넣어둔 표준 OS 이미지를 만들어 동일하게 배포하는 방식이다.
최 전무는 이미지 모드를 “OS를 애플리케이션처럼 다루는 방식”이라고 설명했다. 서버를 한 대씩 손으로 고치는 대신 검증된 OS 묶음을 통째로 배포해 모두 같은 상태로 맞추는 방식이다.
그는 “기존 패키지 방식은 서버마다 적용된 버전이 조금씩 달라지거나, 패키지가 잘못 적용돼 호환성 문제와 설정 오류가 생기기 쉽다”며 “반면 이미지 모드는 ‘골든 이미지’라고 부르는 검증된 표준 이미지를 기준으로 운영해 시스템 간 일관성을 유지하기 쉽고, 서버별로 예외 설정이 쌓이면서 공격 표면이 넓어지는 문제도 줄일 수 있다”고 설명했다.
레드햇은 여기에 ‘이미지 빌더(Image Builder)’를 붙여 고객이 원하는 시점에 가상머신용 표준 이미지를 직접 만들 수 있게 하고, ‘앤서블 오토메이션 플랫폼(Ansible Automation Platform)’과 ‘레드햇 새틀라이트(Red Hat Satellite)’로 대규모 환경에 자동 배포하는 구조를 제시했다. 인터넷 연결이 제한된 오프라인 환경에서도 일관된 업데이트를 추진할 수 있다는 점도 강조했다.
취약점 확인부터 조치까지 반복 가능
레드햇은 OS 패치를 한 번 하고 끝내는 작업이 아니라, 계속 점검하고 고치는 반복 업무로 관리해야 한다고 봤다. 먼저 중앙 관리 도구인 새틀라이트(Satellite)에 각 서버를 등록해 어떤 시스템을 관리할지 한곳에 모은다. 그다음 레드햇 라이트스피드(Red Hat Lightspeed)로 각 서버에 어떤 취약점이 있는지, 무엇을 먼저 고쳐야 하는지 확인한다. 이후 자동화 작업 지침서인 플레이북을 만들어 패치를 적용하고, 조치 결과도 다시 중앙에서 확인하는 방식이다. 최 전무는 “이 과정을 반복해야 운영 중인 서버의 OS가 오래된 버전이나 미적용 패치 상태로 방치되지 않는다”고 설명했다.
라이트스피드는 RHEL 서버의 취약점·설정 문제를 빨리 보여주고, 조치 방향까지 안내하는 레드햇의 AI 기반 운영 지원 기능이다. 현장에서는 보안 담당자가 매주 취약점 목록을 따로 정리하고 영향을 하나씩 확인하는 일이 큰 부담인데, 레드햇은 이런 과정을 줄여주는 것이 상용 지원 모델의 가치라고 강조했다.
레드햇은 협력사인 줌(Zoom)의 운영 사례를 들어 취약점 대응 속도의 차이도 설명했다. 줌의 라이언 킴브렐 시니어 클라우드 운영 엔지니어는 매주 보안 검사를 하며 OS에 설치된 패키지의 취약점을 정리하는데, 새 CVE가 공개되면 레드햇 사이트에서 취약점 설명과 영향 여부를 바로 확인할 수 있어 자사 시스템의 노출 여부를 신속히 가릴 수 있다고 말했다. 최 전무는 “이런 구조가 운영팀이 취약점 목록을 수작업으로 대조하는 부담을 줄이고, 어떤 서버를 먼저 조치해야 하는지 빠르게 판단하게 해준다”고 설명했다.
무료 리눅스 버전과의 차이는 대응 체계
레드햇은 커뮤니티 기반 무료 리눅스 배포판을 직접 문제 삼기보다, 기업이 이를 쓸 때 누가 CVE를 관리하고 테스트하며 검증할 것인지가 중요하다고 강조했다.
최 전무는 “커뮤니티 리눅스를 잘 다룰 역량이 있다면 활용할 수 있지만, 대부분 기업은 네트워크, 스토리지, 애플리케이션 운영까지 함께 맡고 있어 리눅스 보안을 별도의 핵심 역량처럼 가져가기 어렵다”고 말했다.
레드햇은 이런 차이를 취약점 대응 속도로 설명했다. 심각한 보안 이슈가 발생하면 가능하면 3일 이내에 보안 패치나 우회 조치를 제공하고, 등록 고객에게는 별도 알림도 보낸다는 것이다. 또한 커널 라이브 패치 도구인 ‘라이브 커널패치(kpatch)’를 통해 재부팅 없이 긴급 보안 패치를 적용할 수 있다고 밝혔다.
단기 대응 넘어 양자컴퓨터 공격 대비까지
레드햇은 장기 전략도 함께 내놨다. OS 버전 관리가 복잡해질수록 오래된 버전에 머무는 서버가 늘고, 이는 다시 취약점 누적으로 이어질 수 있기 때문이다.
최 전무는 “보통 지원 종료 2년 전부터는 업그레이드에 대비해야 한다”고 강조했다. 새 버전에 애플리케이션을 미리 올려 2년 정도 충분히 검증하면 연장 지원에 기대지 않고도 안전하게 전환할 수 있다는 것이다. 그는 “일상적인 패치는 새틀라이트로 통합 관리해 시스템별로 제각각 대응하는 방식에서 벗어나야 한다”고 설명했다.
이어 “소프트 리부트, 이미지 모드, 취약점 가시화, 자동화, 라이브 패치를 앞세워 OS 보안을 힘들 때 한 번 하는 작업이 아니라 계속 굴러가는 운영 체계로 바꾸겠다”고 덧붙였다.
레드햇은 포스트 양자 암호 시대의 전략도 언급했다. 최 전무는 “당장 오늘의 OS 패치와는 다른 축의 보안 과제”라고 말했다. 양자컴퓨터가 상용화되면 지금 쓰는 키 교환과 전자서명 체계가 더는 안전하지 않을 수 있는 만큼, OS도 지금부터 이에 대응할 수 있는 구조로 바꿔가야 한다는 설명이다.
그는 “공격자들이 이미 인증서와 암호화된 데이터를 모아뒀다가 나중에 해독하는 ‘지금 수집하고 나중에 해독’ 방식으로 움직일 수 있다”며 “이런 이유로 레드햇은 RHEL 10과 9.7에 양자내성암호(PQC)용 키 교환 알고리즘인 ‘ML-KEM’과 전자서명 알고리즘인 ‘ML-DSA’를 넣었고, 앞으로 관련 기능을 더 확대할 계획”이라고 말했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

