[현장] 레드햇 "RHEL10, 소프트 리부트·이미지 모드로 다운타임 잡는다"

이나연 기자 2026. 3. 25. 17:07
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
제로 CVE 전략 공개…커널 패치 3일 내·컨테이너 이미지 즉시 교체로 OS-앱 이중 방어

(지디넷코리아=이나연 기자)사이버 위협이 고도화하면서 기업 정보기술(IT) 인프라의 보안 관리 부담이 커지는 가운데 레드햇이 공개 취약점(CVE) 제로(ZERO)를 목표로 운영체제(OS)부터 컨테이너 애플리케이션까지 아우르는 선제적 보안 전략을 공개했다. 매년 취약점 공세가 거세지는 상황에서 패치 적용을 미루게 만드는 운영 부담을 기술적으로 해소하겠다는 구상이다.

최원영 레드햇 전무는 25일 서울 영등포구에서 열린 제로 CVE를 위한 대응 전략 미디어 간담회에서 "기업이 보안 패치를 미루는 가장 큰 원인은 서비스 다운타임 부담"이라며 레드햇 엔터프라이즈 리눅스(RHEL) 10 신기능 중심의 CVE 대응 방안을 소개했다.

CVE는 시간이 갈수록 증가하는 추세다. 1999년 CVE 제도가 처음 도입된 해 894건이던 등록 건수는 2024년 4만297건으로 25년 새 45배 이상 늘었다. 현실 악용으로 이어지는 비율은 전체의 0.47% 수준이지만 절대 건수로는 188건에 달해 어느 취약점이 공격에 활용될지 사전에 가려내기 어렵다고 최 전무는 설명했다.

최원영 레드햇 전무가 25일 서울 영등포구에서 열린 제로 CVE를 위한 대응 전략 미디어 간담회에서 발표하고 있다. (사진=지디넷코리아)

최원영 레드햇 전무가 25일 서울 영등포구에서 열린 제로 CVE를 위한 대응 전략 미디어 간담회에서 발표하고 있다. (사진=지디넷코리아)

취약점이 늘어도 패치가 제때 적용되지 않는 데엔 기술 외적인 요인이 크다. 최 전무는 기업의 패치 기피 원인으로 ▲운영 서버는 건드리지 않는다는 조직 관행 ▲패치 작업이 자기 업무 부담으로 이어진다는 실무자의 저항 ▲서비스 장애 책임을 피하려는 임원의 현상 유지 선호를 제시했다. 기술적 해법 이전에 조직 전반의 보안 인식과 운영 문화가 선행돼야 하는 이유다.

레드햇은 커뮤니티 기반 무료 리눅스 배포판과의 차별점으로 선제적 취약점 대응 체계를 제시한다. 커뮤니티 리눅스는 CVE 발생 시 조직이 직접 취약점을 조사하고 패치를 검증해야 하지만, RHEL 10은 레드햇이 위협을 상시 모니터링하고 가능하면 3일 이내에 검증된 패치를 제공한다.

핵심은 재시작 방식의 전환에 있다. 베어메탈 환경에서 커널 업데이트 시 하드웨어 점검을 포함하는 기존 하드 리부트는 최소 15분에서 최대 30분의 서비스 중단을 수반한다. RHEL 10이 제공하는 소프트 리부트는 하드웨어 초기화 단계를 건너뛰고 소프트웨어 영역만 재시작해 중단 시간을 약 15초 수준으로 단축한다. 보안 패치 적용의 심리적·운영적 장벽을 낮춰 취약한 상태로 방치되는 기간 자체를 줄이겠다는 접근이다.

(사진=레드햇)

(사진=레드햇)

이미지 모드는 취약점 관리 방식을 바꾸는 또 다른 축이다. 기존엔 서버마다 개별 패키지를 업데이트하다 보니 패키지 간 버전 충돌이나 잘못된 패치 적용 등 오류가 생기기 쉬웠다. 이미지 모드는 보안 검증을 마친 단일 골든 이미지를 사전 제작하고 모든 시스템에 동일하게 배포하는 방식이다. 이미지를 부팅하는 것만으로 업데이트가 완료된다. 최 전무는 "레드햇 새틀라이트와 앤서블 오토메이션 플랫폼을 결합하면 대규모 환경에서도 자동화된 이미지 배포가 가능하다"며 "인터넷이 제한된 폐쇄망에서도 운용할 수 있다"고 설명했다.

다만 레드햇은 OS 보안만으로 충분하지 않다고 본다. 애플리케이션이 컨테이너 이미지 형태로 운영되는 환경에선 OS가 안전해도 이미지 내 CVE가 침해 경로가 될 수 있다. 레드햇이 준비 중인 '프로젝트 허밍버드'는 CVE가 해소되고 기능 테스트까지 완료된 컨테이너 이미지를 제공하는 저장소 서비스다. 정기 주기 업데이트가 아닌 취약점 확인 즉시 패치 이미지를 공급하는 방식으로, 기업은 직접 이미지를 빌드하거나 패치를 개발할 필요 없이 검증된 최신 이미지로 교체할 수 있다.

실제 운영 환경에서의 취약점 관리는 4단계 순환 구조로 이뤄진다. 먼저 레드햇 새틀라이트에 호스트를 등록하고 인공지능(AI) 어시스턴트 라이트스피드로 취약점을 분석한다. 이후 패치 적용을 위한 플레이북을 자동 생성해 실행하고 조치 결과를 리포트로 확인하는 방식이다. 이 과정은 반복 적용이 가능해 대규모 서버 환경에서도 일관된 보안 수준을 유지할 수 있다.

장기 보안 로드맵으로는 포스트 양자 암호화(PQC)도 제시됐다. RHEL 10.1에선 패키지 서명과 네트워크 보안에 PQC가 기본 적용될 예정이며 RHEL 9.7에서도 단계적으로 제공된다. 복잡하게 분화된 기존 지원 옵션들을 단일 모델로 통합해 최대 14년 라이프사이클을 제공하는 RHEL 포에버(4EVR) 정책도 함께 소개됐다. 최 전무는 "AI 시대에서 취약점이 없는 상태를 유지하려면 OS 인프라의 견고함과 최신성이 기반이 된다"고 피력했다.

이나연 기자(ny@zdnet.co.kr)

Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

지디넷코리아에서 직접 확인하세요. 해당 언론사로 이동합니다.