응용 프로그램 플랫폼 IIS 6.0의 긴급, 중요 보안 업데이트는 몇 개?

저번 주에 많은 세미나를 진행하면서, 보안이라는 단어에 대해서 많이 언급하고, 많이 이야기를 나눠본 것 같습니다. 정책 기반 네트워크 제어, 침입 탐지 시스템, 방화벽, VPN.. 등등등 많은 보안 기술이 하루에도 몇개씩 새롭게 나오고, 또 발전해가고, 기업이나 개인은 이에 대해 필요 검증 후, 이를 사용하고 있는 실정입니다.

오늘 포스팅하는 내용은 Microsoft 직원의 시각보다는 저도 하나의 IT 종사자로서 생각을 써보려고 합니다.

IT 엔지니어분들을 만나 이야기를 나눠보면, 가장 보안이 많이 신경쓰이는 서버가 바로 웹 서버라는 말씀을 많이 하시더군요. 이미 Windows Server 2003, Linux, Unix등 많은 플랫폼을 사용하셔서 웹 플랫폼을 제공하고 계시고, 그 위에 많은 솔루션, 기술들을 탑재하여 서비스를 하고 있습니다. 웹 서버라는 특징상 인터넷에 어느정도 노출되어져 있어야 하고, 인터넷에 노출되어져 있다는 것 자체가 보안이라는 것을 생각하지 않을 수 없으니, 많이 신경이 쓰일 수 밖에 없겠다라는 생각이 듭니다. 보안 사고가 발생하게 되면, 기업 이미지나 이용 고객, 직원들에게 미치는 영향이 가장 큰 것도 웹 서버이지 않나라는 생각이 크고요.

한주동안 가장 많이 이야기드린 것이 뭘까? 라고 되집어보면, 금주에는 인터넷 정보 서비스(IIS) 이야기를 가장 많이 드린 것 같습니다. Windows Server 2008의 출시가 다가오고 있고, 주요 3가지 필라 중 하나가 바로 응용 프로그램 플랫폼입니다. 이 응용 프로그램 플랫폼에 IIS 7.0이 들어가게 되는데, IIS 6.0에 대한 추억아닌 추억을 되새기고 새로운 가치를 말씀을 드리고 있죠. 혹시 그거 아시나요?

지금까지 Windows Server 2003내 IIS 6.0의 긴급, 중요 보안 업데이트가 몇 개가 출시되었는지?

행사때마다 질문 드리고, 회사 내부에서도 이 질문을 드려봐도, 정답은 없었습니다. 당연히 보안 업데이트는 출시 5년이 다되어가는 Windows Server 2003의 IIS인데.. 왜 없겠느냐고..

죄송한 답변일지는 모르지만, 지금까지, 2008년 1월 19일 현재, IIS 6.0의 긴급, 중요 보안 업데이트는 하나도 없었습니다. 즉, 0개가 정답입니다. 이에 대한 정보는 Secunia.com의 IIS 6.0 취약점 보고서(Vulnerability Report)에서 확인하실 수 있습니다.

긴급, 중요 보안 업데이트의 의미는 반드시 반영해야 할 보안 업데이트라는 의미로, Microsoft 보안 업데이트 위험도 등급 체계 사이트에 가보시면, 해당 업데이트를 하지 않았을 경우, 보안 사고로 이어질 수 있는 레벨을 의미합니다. 그 이하인 보통과 낮음도 문제가 아냐? 라고 되물으실 수 있겠지만, 기본적인 설정 값이나 악용이 어려운 경우에 해당됩니다.

제품을 개발하고, 이를 출시하기 전, 모든 벤더는 자신이 릴리즈하는 기술들의 보안을 확인하고, 이를 검증하고 출시를 하려고 노력합니다. 또한 문제 발생시 빠르게 이에 대해 보안 업데이트나 우회책(Workaround)를 제시할 의무가 있다고 생각합니다. 대승적인 차원에서는 더욱 문제 없는 플랫폼, 기술을 만들어내야겠죠. IT 엔지니어들은 보안 업데이트에 대한 적용에 대해 많은 부담을 느끼고 있습니다. 당연히 이러한 업데이트를 적용하시는 이유중 하나가 보안 레벨을 유지하기 위함이고, IIS 6.0의 아키텍쳐, 적용 기술들은 보안 업데이트가 나오지 않았다는 것으로 다시 생각해보면, 대단하지 않나? 라는 생각을 하게 됩니다.

어느정도 보안이라는 영역에서 검증이 된 IIS 6.0에 대해, 다시 한번 Microsoft는 가치를 부여하려고 합니다. 바로 IIS 7.0이며, 다시한번 보안에 대해 비약적인 발전을 이룸과 동시에, 대용량 지원, 트러블슈팅 간소화, 이기종에 대한 원활한 지원이 IIS 7.0의 주요 목표가 됩니다.

여러분들께서는 조직 인프라내 응용 프로그램 플랫폼에 대해서 어떻게 관리하고 계시나요?