[U-64] 주기적 보안 패치 및 벤더 권고사항 적용 (중요도 : 상)

주요정보통신기반시설 가이드 [U-64] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (보안 패치 및 시스템 무결성 유지)

1. 항목 개요 및 보안 위협
2. OS별 패치 확인 및 업데이트 실습 (상세 출력 예시)
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : 시스템 OS 및 커널, 주요 패키지에 대해 제조사가 배포한 최신 보안 패치가 주기적으로 적용되고 있는지 점검합니다.

[ 보안 위협 ] : 패치되지 않은 시스템은 이미 알려진 취약점(CVE) 공격에 무방비로 노출됩니다. 공격자는 패치 미적용 서버를 대상으로 원격 코드 실행(RCE)이나 권한 상승 공격을 수행하여 시스템 전체를 장악할 수 있습니다.

 

2. OS별 패치 확인 및 업데이트 실습

SOLARIS 환경 (pkg 관리)

Step 1) 설치된 패키지 및 IFO 상태 확인

# pkg list -af entire | head -5
NAME (PUBLISHER)                 VERSION                     IFO
entire                           11.4-11.4.42.0.0.11.0       i--
entire                           11.4-11.4.0.0.1.15.0        ---

※ IFO 필드 의미: i(Installed), f(Frozen), o(Obsolete). 설치된 버전은 반드시 'i'가 표시되어야 합니다.

Step 2) 업데이트 프리뷰 및 실행

# [프리뷰] pkg update -nv entire
# [실제 업데이트] pkg update --accept

AIX 환경 (oslevel & smitty)

Step 1) OS 레벨 및 패치 리스트 확인

# oslevel -s
7200-05-01-2038 (7.2 TL05 SP01 의미)

# instfix -i | grep ML
All items in 7200-05-00-2015_AIX_ML were found.

Step 2) smitty를 이용한 최신 패치(all-latest) 적용

1. # smitty installp
2. Install Software 선택
3. SOFTWARE to install -> [all-latest] 선택
4. ACCEPT new license agreements? -> [yes]

HP-UX 환경 (swinstall)

# [설치 리스트] swlist -l product
# [패치 압축 해제] sh PHNE_12345 (depot 파일 생성)
# [패치 설치] swinstall -x autoreboot=true -s /tmp/patch.depot

[취약 결과 예시]

# pkg list -af entire@latest
(현재 버전보다 최신 버전이 존재함에도 업데이트되지 않은 상태)

[양호 결과 예시]

# pkg list -af entire@latest
(설치된 버전이 최신 버전과 일치하며 SRU/Critical Patch가 모두 적용된 상태)

 

3. 법적 근거 및 관련 지침

1. 정보통신기반보호법 제9조 : 관리적/기술적 보호대책 강구 및 패치 관리 체계 점검
2. 정보통신기반시설 보호지침 제16조 : 최신 보안 패치 적용을 통한 시스템 취약점 상시 제거

 

4. 오늘 공부하며 정리한 핵심 포인트

■ 지원 종료(EOL) 확인 : 벤더사의 지원이 끝난 OS는 즉시 업그레이드 계획 수립
■ 분기/SRU 업데이트 : 정기적인 업데이트 주기를 설정하고 Critical Patch 우선 적용
■ 검증 후 배포 : 패치 적용 시 서비스 장애 방지를 위해 사전 백업 및 테스트 환경 검증 필수
■ 재부팅 일정 조율 : 커널 패치 등은 시스템 재시작이 동반되므로 운영 부서와 사전 협의

다음 공부 기록 예고 : [U-65] 로그 기록 설정 및 보관 (중요도 : 상)