N-12 주기적 보안 패치 및 벤더 권고사항 적용

가이드라인 원문

항목	내용
항목코드	N-12
점검내용	패치 적용 정책에 따라 주기적인 패치를 하고 있는지 점검
점검대상	공통
양호기준	주기적으로 보안 패치 및 벤더 권고사항을 적용하는 경우
취약기준	주기적으로 보안 패치 및 벤더 권고사항을 적용하지 않는 경우
조치방법	장비별 제공하는 최신 취약점 정보를 파악 후 최신 패치 및 업그레이드를 수행

상세 설명

1. 판단 기준

기본 판단 기준

양호

주기적으로 보안 패치 및 벤더 권고사항을 적용하는 경우
패치 적용 현황이 문서화되어 있는 경우

취약

주기적으로 보안 패치 및 벤더 권고사항을 적용하지 않는 경우
장비의 현재 버전과 최신 버전의 차이가 큰 경우

경계 케이스 (Edge Case) 처리 방법

24시간 운영 시스템
- 문제: 패치 적용 시 서비스 중단
- 대책: 이중화 구성 후 순차적 패치 적용
- 유지보수 창: 업무 영향 최소화 시간대 선택
호환성 문제
- 위험: 패치 적용 후 기능 불일치
- 해결: 테스트 환경에서 검증 후 운영 적용
- 롤백 계획: 문제 발생 시 즉시 복구 절차 준비
EOL/EOS 장비
- 위험: 지원 종료된 장비는 보안 패치 제공 안 됨
- 대책: 장비 교체 계획 수립 및 예산 확보

권장 설정값

패치 주기:

보안 패치 점검: 월 1회 이상
중요 보안 패치(CVSS 7.0 이상): 발견 즉시 적용 검토
장비별 EOL 관리: 연 1회 이상 점검

패치 우선순위:

Critical: 즉시 (24시간 이내)
High: 1주 이내
Medium: 1개월 이내
Low: 정기 점검 시 (분기/반기)

2. 점검 방법

Cisco IOS 장비:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
# Step 1) 버전 정보 확인
Router> enable
Router# show version

# 다음 정보를 확인합니다:
# - IOS 버전
# - 시스템 부트 이미지
# - ROM: System Bootstrap
# - Last reset reason
# - Configuration register

# 예시 출력:
# Cisco IOS Software, 7200 Software (C7200P-ADVENTERPRISEK9-M), Version 15.2(4)M11, RELEASE SOFTWARE (fc1)

Juniper Junos 장비:

1
2
3
4
5
6
7
8
# Step 1) 버전 정보 확인
user@host> show version

# Junos OS 버전과 호스트 이름을 확인합니다.
# 예시 출력:
# Hostname: router1
# Model: mx960
# Junos: 20.4R3-S3.8

공통:

1
2
3
4
5
6
# Step 2) 주기적 보안 패치 검토

# 다음 사이트를 정기적으로 확인하여 최신 보안 패치 및 권고사항을 확인합니다.
# - KRCERT: https://www.krcert.or.kr
# - CVE: https://cve.mitre.org/
# - NVD: https://nvd.nist.gov/

3. 조치 방법

공통 패치 절차:

Step 1) 패치 식별

현황 문서화: 각 네트워크 장비의 하드웨어, 소프트웨어, EOL(End of Life), 패치 적용 현황을 문서화하여 관리합니다.
보안 패치 입수: 운영 중인 네트워크 장비의 보안 패치 및 벤더 권고사항을 입수합니다.

Step 2) 패치 분석

취약점 분석: 취약점의 영향도와 발생 가능성을 분석하여 패치 적용 여부와 우선순위를 결정합니다.
대체 조치 검토: 패치 없이 네트워크 장비 설정 변경 등으로 해결이 가능한 경우 대체 조치를 수행합니다.

Step 3) 패치 테스트

테스트 환경 구축: 테스트베드 또는 시뮬레이션에서 운영 환경과 최대한 유사하게 테스트 환경을 구축합니다.
도구 예시:
- GNS3: 오픈 소스 네트워크 시뮬레이션 소프트웨어
- EVE-NG: 네트워크 에뮬레이션 플랫폼
패치 검증: 패치가 식별한 문제를 해결하고 정상 동작하는지 체크리스트를 구성하여 검증합니다.

Step 4) 패치 적용

백업: 패치 적용 전에 네트워크 장비의 이미지와 설정을 백업하여 복구지점을 생성합니다.

1
2
3
# Cisco IOS 백업 예시
Router# copy running-config startup-config
Router# copy startup-config tftp://192.168.1.100/backup-config.txt

예비장비 활용: 예비장비를 보유한 경우 운영 장비 설정과 패치를 예비장비에 적용한 후 운영 장비와 교체하고, 운영 장비는 비상상황에 대비하여 일정 기간 유지합니다.
정상 동작 확인: 패치 적용 후 모든 인터페이스와 중요 호스트로의 통신이 정상 동작하는지 확인합니다.

4. 참고 자료

보안 패치 및 권고정보 제공 사이트:

구분	보안패치 및 보안권고정보 제공사이트
공통	https://www.krcert.or.kr
Cisco	https://software.cisco.com https://tools.cisco.com/security/center
Radware	https://portals.radware.com
Passport/Avaya	https://support.avaya.com/downloads https://support.avaya.com/security
Juniper	https://support.juniper.net/support/downloads https://advisory.juniper.net
Piolink	파트너사를 통해 지원

주의사항:

서비스 영향 고려: 패치 적용 시 서비스 중단 가능성 있으므로 벤더사와 협의 후 적용
테스트 필수: 운영 환경 적용 전 반드시 테스트 환경에서 검증
점진적 적용: 중요한 장비부터 순차적으로 적용하여 문제 발생 시 대응
롤백 계획: 패치 적용 후 문제 발생 시를 대비한 롤백 계획 수립
유지보수 기간 확인: 장비의 EOL(EOS) 정보 확인 및 지원 종료 장비 교체 계획
정기적 점검: 최소 분기별로 보안 패치 현황 점검, 중요 보안 패치는 즉시 적용 검토
문서화: 패치 적용 현황, 테스트 결과, 롤백 절차 등 문서화

5. 스크립트

취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
- 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.