마이크로소프트사(이하 Microsoft)는 주요 보안 패치에 대하여 2004년부터 매월 둘째주 화요일(미국시간) 발표하며 긴급 보안 패치의 경우에는 상시 제공을 기본으로 하고 있다. 1998년 이후 보안 패치가 릴리즈 된 개수는 현재 [표1]과 같다.
| 연도 | 갯수 |
| 1998 | 20 |
| 1999 | 61 |
| 2000 | 100 |
| 2001 | 60 |
| 2002 | 72 |
| 2003 | 51 |
| 2004 | 7 |
| 누계 | 371 |
매년 50개 이상의 보안 패치가 릴리즈 되고 있으며 이 모든 보안 패치는 모든 제품에 적용되는 것이 아닌 각 제품별 버전별 언어별로 각기 다른 패치이며 이 모든 패치들을 각 사용자의 제품에 알맞게 적용 및 관리는 매우 힘든 것이 현실이다.
대부분의 보안 패치는 일반 유저가 사용하는 윈도우 98, 2000, XP OS의 패치와 Office, IE 등의 어플리케이션 패치, 서버에서 사용되는 IIS, Exchange, SQL Server등의 서버군 제품에 한 패치가 모두 포함 되어 있다.
이러한 모든 패치는 윈도우의 Windows Updates기능을 통해 커스터마이징된 패치를 적용 할 수 있으나 이에 대하여 보안 감사 관점에서 패치 적용 유무의 확인은 현재 발표된 300여개가 넘는 패치중 설치된 OS, 어플리케이션과 의존성 관계에 의해서 수동으로 점검하기는 매우 힘들다.
Microsoft에서 공식적으로 제공하고 있는 MBSA(Microsoft Base Security Analyzer)를 사용하여 패치 적용 유무를 확인 하는 것을 알아 보도록 한다.
MBSA란
MBSA는 Shavlik Technologies LLC (http://www.shavlik.com/)에서 개발한 HFNetChk툴을 전신으로 개발되었다.
HFNetChk는 패치 점검 툴로써 무료 배포 버전과 HFNetCHK Pro의 상용 배포버전이 있으며 Microsoft에서는 HFNetChk를 기반으로 GUI버전으로 MBSA를 개발하여 무료 배포하고 있다.
MBSA는 HFNetChk의 기능인 패치 적용유무 점검 기능 외에 추가적으로 기본 보안 설정 유무 점검등의 기능이 포함되어 있으며 GUI를 통해 제공된다.
v1.2의 버전까지 개발 되었으며 현재는 영문 UI만을 제공하며 CLI(Command Line Interface)방식으로 사용 할 수 있도록 MBSA안에 mbsacli.exe파일을 통해 HFNetChk과 비슷한 환경 역시 제공 해 준다.
기본적인 동작 원리는 보안 패치의 상세 정보, 파일 정보, 레지스트리 정보 등이 담긴 XML파일을 Microsoft 홈페이지에서 다운로드 받아 이를 기초로 시스템의 보안 패치 적용 유무를 검사하게 된다.
MBSA의 검사 내용은 다음과 같다.
XML(mssecure.xml)파일은 현재 영어, 일본어, 프랑스어, 독일어 4가지 버전이 제공되며 아직 한국어 버전은 제공되지 않는다.
언어 차이는 실제 파일 무결성(Integrity) 검사시에 언어별로 체크섬이 다른 파일이 존재하기 때문에 필요한 것으로, 이로 인해 위의 4가지 언어가 아닌 제품에서 MBSA를 사용할 경우 File Integrity Check 기능이 제공되지 않는다.
MBSA에 관한 상세 자료는 다음 URL에서 확인 할 수 있다.
MBSA 메인 페이지(영문)
→ http://www.microsoft.com/mbsa
MSBA 1.2 Q&A(영문)
→ http://www.microsoft.com/technet/security/tools/mbsaqa.mspx
MBSA 사용법
MBSA는 http://www.microsoft.com/mbsa 를 통해 무료로 다운로드가 가능하며 일반적인 MSI 설치 프로그램과 설치 방법이 같다.
기본적으로 자신의 시스템과 Administrator연결이 가능한 다른 시스템에 대하여 검사가 가능하다. 다른 시스템을 검사할 경우 Administrators권한이 있어야 하므로 직접 admin$ 연결을 통한 인증을 먼저 설정하거나 Domain 으로 Domain Admins 연결이 되어 있어야 가능하다.
[그림2] 다른 시스템을 검사하는 화면
해당되는 시스템을 지정 후 "Start Scan"을 선택하면 해당 시스템에 대하여 보안 패치 적용 유무 분석 및 기본 보안 설정 체크를 실행하게 된다. 결과물은 다음과 같이 출력되며 각 항목을 클릭하면 상세한 정보를 확인 할 수 있다.
[그림3] 다른 시스템 검사 결과화면
[그림4] 검사 결과 5가지 패치가 적용되지 않았다는 경고 화면
위의 시스템은 실제 PC한대에 대해서 테스트를 한 결과이며 위의 PC는 모든 Windows Updates사이트를 통해 패치를 적용한 상태이나 Office 제품군에 대하여 5가지의 패치가 적용되지 않았음을 경고하고 있다.
이는 Windows Updates에서는 직접적으로 위험한 보안 취약점만을 제공하며 위험도가 높지 않은 Office 제품군의 패치는 Office Updates를 통해 (http://office.microsoft.com/officeupdate/default.aspx) 제공되어 해당 패치를 적용하지 않았기 때문이다.
이와 같이 사용자가 쉽게 놓칠 수 있는 Office 제품군 패치 부분까지 확인이 가능하여 통합적인 패치 확인이 용이하다.
모든 검사 결과는 시스템 내부에 저장되어 날짜별, 시스템별로 Report 관리가 가능하다