MS, 매월 둘째 주 화요일 제공 ‘보안 패치’ 업데이트 충실히해야
버그 수정, 보안 강화, 취약점 해소 등 ‘사이버보안’의 필수 조건
[애플경제 이보영 기자] 윈도우10이나 윈도우11 사용자들에게 특히 매월 두 번째 화요일에 마이크로소프트가 제공하는 업데이트, ‘패시 튜즈데이’(Patch Tuesday)를 충실히 해야 한다. 이는 매월 한 차례씩 이날 MS와 다른 기술 회사들이 소비자와 기업 사용자를 위한 패치를 출시하는 것이다. 이는 이전 달의 버그를 수정하고, 보안을 강화하기 위한 업데이트다.
최근 윈도우11 버그 사태 등 사이버보안의 중요성이 시급해지면서, 새삼 이같은 ‘패치 튜즈데이’가 부각되고 있다. 보안 전문가들 역시 “‘패치 튜즈데이’, 즉 월간 업데이트는 보안 기능과 애플리케이션을 최신 상태로 유지할 수 있는 중요한 기회”라고 이를 빠뜨리지 않도록 당부하고 있다.
MS는 자사 ‘보안 업데이트 가이드’에서도 ‘패치 튜즈데이’에 대해 자세히 안내하고 있다. ‘패치 튜즈데이’는 다수의 기업용 소프트웨어 업데이트를 동시에 수집, 릴리스하도록 설계되었다. 일부 업데이트는 한 달 내내 비상한 주의가 필요할 만큼 시급한 경우가 있다. 그런 경우을 제외한 수정 내지 보완 사항은 ‘Patch Tuesday’에 통합, 릴리스된다.
MS는 블로그 게시물에서 “IT 관리자든 일반 사용자든 간에 윈도우 월별 업데이트(‘패치 튜즈데이’)는 기기를 보호하는 데 도움이 되는 보안 수정 사항과 피드백을 기반으로 한 개선 사항을 제공한다”고 의미를 부여했다.
‘패치 튜즈데이’는 기술적으로 MS의 ‘B’ 릴리스로 불리기도 한다. 즉, 매월 3주차와 4주차에 제공하는 기술적 매뉴얼인 ‘C’나 ‘D’릴리스와는 다르다. 이에 어도비 등 다른 기술 기업 중에도 MS의 관례에 따라 매월 두 번째 화요일에 대량 패치를 출시하기도 한다.
지난 달에도 MS는 두 번 째 화요일인 12월 10일 최신 업데이트를 실시했다. 이를 통해 MS는 16개의 중요한 취약점을 비롯, 최소 70개의 취약점을 패치했다. 이러한 패치는 윈도우 10, 윈도우 11 기기에만 적용된다.
MS, 업데이트 액세스 위한 ‘도구’ 제공
‘패치 튜즈데이’는 관리자나 사용자를 불문, 모두 업데이트에 액세스할 수 있도록 하는 도구를 제공하고 있다. 즉, Windows Update, Windows Update for Business, Microsoft Intune, Microsoft Configuration Manager, Windows Server Update Services(WSUS), Microsoft Update Catalog 등이다.
기업에선 사내에 패치를 배포하기 전에 관리자가 격리된 환경과 소규모 테스트 그룹에서 패치를 먼저 테스트할 필요가 있다. 또한 문제가 발생할 경우 ‘롤백’ 계획을 수립해야 한다. 이 경우 지난달의 익스플로잇(사이버공격 시도)이 ‘패치 튜즈데이’에 자세히 설명되어 있다. 이에 패치되지 않은 시스템을 대상으로 하는 모방 공격이 급증하는 경우가 많다.
그러므로 “이러한 위험을 완화하기 위해 중요한 보안 업데이트를 적용하는 것을 우선시해야 한다”는 조언이다.
지난 2023년 2월 상업용 제어 업데이트부터는 관리자가 즉시 적용할 패치를 어느 정도 제어할 수 있게 되었다. 이를 통해 새로운 기능을 도입하거나, 기존 기능을 제거할 수 있다. 또 ‘시작’ 메뉴와 같은 사용자 중심 기능을 크게 변경하는 업데이트도 유연하게 관리할 수 있다.
이같은 패치 업데이트 과정에선 ‘패치 튜즈데이’와 같은 정기적인 패치가 아닌, ‘대역 외 릴리스’도 있다. 이는 계획된 월별 패치와는 달리 수시로 필요할 경우 전송되는 패치다. 매번 필요한 보안 패치나, 품질 문제를 해결하기 위해 수시로 비정형 업데이트가 전송되곤 하는 것이다.
‘패치 튜즈데이’ 업데이트를 위해선 나름의 준비 사항 내지 조건이 따른다. 특히 기업체의 경우 관리자는 ‘패치 튜즈데이’ 업데이트를 적용하기 위한 프로세스가 있어야 한다. 물론 이러한 프로세스는 조직의 규모와 요구 사항에 따라 다르다. 일부 패치는 즉시 적용해야 한다. 특히 적극적으로 악용되고 있는 백도어에 대한 보안 수정 사항이 있는 경우 특히 서둘러야 한다. 관리자는 또 MS에서 개정판을 발행할 경우를 대비, 당장은 필수적이지 않은 패치도 배포하는게 좋다는게 전문가들의 의견이다.