EoS(EoL) SW/OS 식별 및 조치 프로세스 수립

1. 기업 내부 보안담당자 입장에서 EoS(EoL) SW/OS 식별 및 조치 프로세스 수립


2. 전사 패치 관리 프로세스 수립 (ISO 27001, ISMS-P 기준 포함)


3. MSP(Managed Service Provider)와의 계약 시 EOS(EoS 상황 포함) 반영 방안




---

📑 1. 기업 보안담당자 입장에서의 EoS SW/OS 조치 프로세스

✅ 목표

EoS/EoL(End of Support / End of Life) 소프트웨어/운영체제는 보안 패치 미제공 → 심각한 보안 리스크.

운영자들이 무심코 사용하지 않도록 조기 인지 + 알림 + 강제 조치 체계 필요.


✅ 프로세스 제안

1. EoS 자산 식별

자산관리시스템(CMDB, Asset Inventory)와 SW 버전 DB 연동.

제조사(Arista, VMware, RedHat 등) EoS/EoL 발표 모니터링.

보안팀이 분기별 “EoS SW/OS 리스트” 공지.



2. 위험 알림 및 보고

식별된 장비/OS에 대해 CISO 명의 알림 메일 발송.

위험도(Risk Score) 부여: "즉시 교체 필요", "단기 예외 승인 가능" 등.



3. 조치 계획 수립

시스템 담당 부서에 대응계획 제출 요청 (교체/업그레이드 일정, 예산 반영).

단기 예외 시 보안 보완책 요구 (네트워크 격리, 접근 제한, 가상패치).



4. 이행 점검

보안팀이 월간/분기별로 조치 이행 상황 추적.

미조치 시 경영진 리스크 보고 (정보보호위원회, 감사팀 공유).



5. 사후 검증

패치 완료 후 보안 스캐닝 (Vulnerability Scan)으로 적용 여부 확인.





---

📑 2. 전사 패치 관리 프로세스 (ISO 27001 / ISMS-P 매핑)

📌 주요 단계

1. 패치 정보 수집

벤더 보안공지 (Arista, Microsoft, VMware, Linux 등).

보안 관제팀, CERT, KISA, NVD(NIST) 모니터링.



2. 패치 영향 분석

자산별 적용 가능 여부, 서비스 영향도 평가.

시험 환경에서 사전 테스트.



3. 패치 우선순위 분류

CVSS 기반 (Critical/High/Medium/Low).

규제 준수 반영 (예: 금융보안원 가이드라인은 Critical 패치는 7일 이내 적용).



4. 승인 및 배포

Change Management 프로세스 연계 (A.8.32 ISO27001 통제항목).

운영 부서 승인 후 점검 기간 내 적용.



5. 예외 관리

적용 불가 시 보안팀 예외 승인 절차 → 보완통제(방화벽 차단, 계정 접근 최소화 등) 적용.



6. 검증 및 리포팅

취약점 진단 도구, SIEM 로그로 패치 상태 검증.

분기별 패치 관리 보고서를 경영진에 제출.





---

📑 3. MSP 계약 시 EOS(EoS 포함) 반영 방안

MSP와 계약할 때는 EoS 장비/OS 관리 의무를 명확히 포함시켜야 합니다.

✅ 계약서 필수 조항 예시

1. EoS/EoL 관리 의무

MSP는 EOS 및 관련 SW의 EoS/EoL 일정을 모니터링하고 고객에게 통지해야 함.

EoS SW/OS를 식별 시 SLA 내(예: 30일) 보고.



2. 패치/업그레이드 의무

Critical 패치: 7일 내 적용, High 패치: 30일 내 적용 (서비스 영향 고려).

EoS 장비는 교체/업그레이드 계획 수립 및 고객 승인 절차 포함.



3. 예외 관리

고객 승인을 통한 예외 허용 가능 → 대신 보안 보완책 적용 의무화.



4. 보고 체계

분기별 패치 적용 현황, 미적용 자산, EoS 자산 현황 보고서 제출.

보안사고 발생 시 미패치 장비의 책임 소재를 계약서에 명시.



5. 벌칙/보상

패치 미이행으로 인한 보안사고 발생 시 MSP 책임 범위 규정.

SLA 위반 시 Penalty 조항.





---

📌 결론

보안담당자(CISO) → 전사 패치관리 프로세스를 표준화하고, 운영자들에게 “EoS/EoL 장비 사용 금지”를 강제할 수 있는 위험 보고 체계를 구축.

운영자 → 서비스 안정성을 고려해 단계적 패치/업그레이드 절차 마련.

MSP 계약 → “EoS/EoL 모니터링 + 패치 SLA + 보고체계 + 벌칙 조항”을 명문화.