자동차 전자제품 개발 회사인 지멘스 VDO 오토모티브(Automotive)의 정보보안 담당자인 조엘 다이얼은 보안 패치 관리에 필요한 대응이 “고통스러운” 수준이라고 말했다. 패치를 최신으로 업데이트하는 작업이 그의 업무에서 차지하는 비중이 매우 높아, 회사의 인터넷 접속이나 기타 네트워킹 프로젝트가 2순위로 밀릴 정도이다.
패치 관리를 위해서는 기업들이 벤더를 신뢰해야 하는데, 벤더들의 경우 지적재산권(IP)을 보호하기 위해 취약점을 수정하는 방법에 대해 밝히지 않는 경우가 많다. 마이크로소프트가 대표적으로, 매달 두 번째 화요일에 자신들의 소프트웨어에 대한 보안 업데이트를 공개하고 있다.
다이얼은 마이크로소프트가 패치를 신속히 발행하고 있는데 대해서는 신뢰를 보내고 있다. 반면에, 오라클은 분기별로 패치를 제공하고 있기 때문에, 지멘스 VDO 오토모티브 시스템이 다운되는 경우가 있다. 마이크로소프트의 윈도우 메타 파일 취약점에 대한 패치 제공이 늦어지자 상대적으로 활성화되고 있는 써드 파티 패치도 지멘스 VDO 오토모티브에는 효과가 없다. 다이얼은 “네트워크에 대한 모든 위협으로부터 벗어나기 위해 해커나 크래커의 웹 사이트를 방문해 그들과 협력할 생각은 추호도 없다”고 말했다.
제너럴 모터스(GM)의 IT 운영은 모두 아웃소싱에 의존하고 있지만 시스템과 데이터 보안에 대한 책임과 권한은 최고보안책임자인 에릭 리트가 맡고 있다. GM은 모든 IT 관련 의사결정을 스스로 진행하지만 다양한 벤더들의 의견도 수렴하고 있다. 리트는 새로운 취약점에 관해 충분한 정보를 제공해 패치가 제공되기 전에 GM이 스스로 보호할 수 있게 해주는 벤더들을 좋아한다. 하지만 그러한 벤더들은 아직 없다. 그는 “보다 안전한 제품을 판매하는 벤더들이 현실적인 솔루션이 되고 있다”고 말했다.