얼마전에 뜨거웠던 log4j2 취약점과 관련해서
홈페이지에 어느, 어느 서버 취약점 패치를 진행한다고 게시를 해뒀네요.
일하고 있는거 보여주고, 해당 시간에 장애가 발생할 수 있으니 알려주는 것도 맞지만...
보안 측면에서 특정 시점에, 특정 취약점에 대해서 특정 서비스를 패치한다고 알리는 것이 맞는지 궁금하네요.
반대로 말하면 이 시간까지 여기에 이런 구멍이 있다고 알려주는 것과 같은 거 아닌가요?
다른 곳도 이렇게 홈페이지에 게시하시나요?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
12개의 답변이 있습니다.
상세하게 적어봤자 모르는 사람은 모르는 내용이고,
아는 사람은 질문의도에 따른 구멍이 발생할 가능성이 있으니
서비스 다운이 필요한 취약점 작업은 작업 직전에 공지하는게 좋을 듯 하네요
한 30분전? 여유롭게는 1시간 전에 공지하는게 좋아보이네요
저희는 log4j 를 안써서 해당 조치는 하진 않았지만,
XX한 취약점이 발생하여 ZZ라는 조치를 해야한다 - 라는 경우가 생기면
홈페이지에는 내부 취약점 이슈로 인하여 몇시 몇분에 작업을 진행하니 해당시간에 서비스 장애가 발생할 수 있습니다.. 로 올립니다
세세하게 올리는건, 약점 다 보여줄테니 패치전에 어서 찔러주세요~ 라는 꼴이 아닐까요 ;;
서버 별로 공지보다는
보안 패치에 대해 간단하게 내부 공지 하시면 될듯 합니다.
구체적으로 언급하는 것 보다는 내부 점검, 업그레이드 작업 등으로해서 추상적으로 명시하는게 좋지 않을까 싶어 보이네요.
네 동감합니다.
공지는 필요하지만 진짜 구체적인 서버까지 언급하는건 좀 그럴거 같습니다.
세부는 알릴 필요 없이 보통 대외 공지는 서버 점검 이렇게 합니다. 내부 공지는 서버 점검(보안패치) 이 정도? 알려도 모르니 굳이 알릴 필요가 없죠.
사용상 끊김이 있을 수도 있고, Down 발생이 있을 수 있다면 공지 하시는게 맞구요,
세부 내용까지 전체 공개를 하실 필요는 없을 듯 합니다.
홈페이지 서비스 보안패치이고 내부 공지 사항으로
알려주고 처리하는게 맞을것 같네요
홈페이지 게시에 올릴 필요 없는게 맞을 것 같아요
사용중인 보안 솔루션 브랜드도 숨기는데 취약점 공지를 구지 외부로 공개할 필요는 없죠
내부에도 단순하게 취약점 업데이트 정도로 두루뭉실 공지하면 충분하다고 봅니다.
빨간신발 | 2년 이상 전
저도 이렇게 생각해서 제가 올릴때는
"작업이 있으니 서비스 일부가 중지될 수 있다."
요정도 하는데.. 너무 디테일하게 올려서요..
보통은 내부 공지하지만
보안강화를 위해 패치한다 정도로만 공지합니다.
계시한적은 없습니다.
그러나 내부 공지는 맞다고 생각 합니다.
굿이 외부까지 공지 할필요는 없을 것 같내요
내부 공지로는 할수도 있을것 같아요.
외부 공지는 불필요 할수도 있지만요.