[지식재산변호사] 클라우드 컴퓨팅과 하이퍼바이저
1. Agentless 방식의 가상 보안 어플라이언스(appliance)
(1) 가상머신/하이퍼바이저 내부정보 분석(VMI, Virtual Machine Introspection) 기반 공격 탐지
VMI 기반 공격 탐지 기술은 하이퍼바이저를 통해서 하이퍼바이저 내부 상태 및 각 가상머신의 내부 상태를 분석하여 외부로부터의 침입을 탐지하는 기법입니다.
VMI에서 분석해야 할 내부정보는 하이퍼바이저, 가상머신, 가상네트워크의 트랙픽 3가지로 나눌 수 있습니다.
첫 번째 대상인 하이퍼바이저의 내부 상태 정보를 접근하여 분석합니다. 하이퍼바이저의 내부정보 접근을 통해 하이퍼바이저의 무결성 모니터링, 하이퍼바이저 루트킷(rootkit) 등 은닉된 악성코드 탐지 등을 수행할 수 있는 수단을 제공합니다.
두 번째는 하이퍼바이저를 통해 운영되는 각 가상머신의 내부 상태 정보를 접근하고 분석합니다. 각 가상머신의 가상 CPU 레지스터, 가상 메모리의 내용, 파일 I/O 활동 등의 내부 정보에 대한 접근 및 분석을 통하여 가상머신의 악성행위를 탐지합니다.
마지막으로 가상 스위치를 통과하는 가상 네트워크 트래픽에 대한 분석을 제공합니다.
(2) Agentless 가상 보안 어플라이언스
Agentless 방식의 가상 보안 어플라이언스는 각 가상머신에서 에이전트 방식으로 동작하지 않고 별도의 특별한 권한을 가진 보안 전용의 가상머신 상에서 동작하는 보안 어플라이언스를 뜻합니다.
Agentless 가상 보안 어플라이언스는 일반 가상머신과는 달리 하이퍼바이저를 통해 다른 가상머신들의 내부 상태에 접근하여 침입 탐지 혹은 악성코드 탐지를 수행할 수 있는 권한을 가집니다. VMI 기반 침입 탐지 기술은 일반적으로 이와 같은 agentless 방식의 가상 보안 어플라이언스의 형태로 구현됩니다.
Agentless 방식으로 동작하는 가상 보안 어플라이언스의 장점은 다음과 같습니다. 첫째, Out-of-box 방식의 침입탐지를 실시함으로써 각 가상머신을 타겟으로 하는 침입 공격은 공격시 agentless 방식의 가상 보안 어플라이언스의 존재를 파악하지 못하기 때문에 보안 어플라이언스 자체에 대한 공격을 시도하지 않습니다.
둘째, 각 가상머신에 에이전트를 설치하지 않기 때문에 각 가상머신에서 에이전트들이 동시에 구동됨으로써 발생하는 안티바이러스 스톰과 같은 성능 저하를 일으키지 않습니다.
셋째, 안티바이러스 대한 중복 악성코드 시그니처 업데이트/관리 복잡성을 제거할 수 있습니다. 안티바이러스를 위한 agentless 가상 보안 어플라이언스의 경우 각 가상머신에 에이전트를 설치할 필요가 없으므로 각 에이전트들에 중복된 악성코드 시그니처를 업데이트/관리할 필요가 없는 것입니다.
(3) 솔루션
트랜드 마이크로社에서는 “Trend Micro Core Protection for Virtual Machines” 솔루션을 제공하고 있는데, 이 솔루션은 VMware에서 제공하는 SVM(Secured Virtual Machine) 아키텍처를 이용하여 VM 외부에서 바이러스를 검사합니다. 이 API는 VM의 동작과는 상관 없이 동작하므로 VM에 별도의 Agent 프로그램이 설치될 필요가 없습니다.
2. 하이브리드(Hybrid) 방식
(1) Agentless 방식의 단점 보완
Agentless 방식과 같은 out-of-box 방식의 침입탐지 기법에서는 가상머신 내의 루트킷 탐지 등을 위해 필요한 MS OS의 윈도우 레지스트리와 같은 특정 운영체제의 시스템 정보 접근에 어려움이 있습니다. 따라서, 최근에는 이에 대한 효율적인 해결책으로 각 가상머신에 경량의 에이전트를 설치해서 agentless 가상 보안 어플라이언스와 함께 협동하여 침입 탐지를 수행하는 하이브리드 방식이 새로이 논의되고 있습니다.
(2) 솔루션
맥아피(McAfee)는 데스크톱(Desktop) 가상화 보안과 관련하여 시트릭의 젠 데스크톱을 지원하는 MOVE(McAfee Management for Optimized Virtual Environments) 플랫폼을 제공합니다. 기존 각각의 VM(Virtual Machine)에서 동작하는 구조에서 VM외부 또는 별도의 보안 VM 상에서 동작하여 VM 내부를 검사하는 효율적인 방법으로 발전하고 있습니다.
3. 클라우드 컴퓨팅과 정보보안
클라우드 컴퓨팅 기술은 시간이 흐르면서 USER들이 사용하기 편리한 방식으로 발전하고 있습니다. 하지만 그에 못지 않게 보안을 위협하는 취약점도 적지 않게 보고되고 있습니다. 정보위탁에 따른 정보유출, 자원 공유 및 집중화에 따른 서비스 장애, 분산 처리에 따른 보안적용의 어려움, 사용단말의 다양화에 따른 정보유출, 법규 및 규제의 문제 등이 그것입니다.
특히 클라우드 컴퓨팅을 가능하게 하는 핵심 기술인 가상화 기술과 관련하여 여러 보안 이슈들이 제기되고 있습니다. 가상화 시스템 내부 영역에서 가상머신 간 통신에 대해서는 기존의 방화벽, IPS 등의 보안장비가 탐지를 수행할 수 없습니다. 또한 가상화 시스템 내부영역에서는 멀티테넌시(multi-tenancy)의 특성을 가진 이용자들의 가상머신이 상호 연결되어 다양한 해킹, 악성코드 전파 등 공격 경로가 가능합니다. 생성, 삭제 등이 동적으로 일어나며 서로 다른 사용자/기관에 임대될 수 있는 가상머신의 특성 상 가상 스위치 상에서 VLAN 등을 이용한 정적 가상 네트워크 분리가 어렵습니다.
그리고 Bare-Metal방식의 하이퍼바이저 구축모델에서, 하이퍼바이저에 대한 해킹이 성공할 경우 가상화 시스템 내 모든 가상머신들에 대한 통제권이 상실될 수 있으므로 다양한 공격이 수행될 수 있고 물리적 호스트로의 실시간 이동에 따른 보안관리의 복잡성 문제가 있습니다. 이에 Agentless 방식의 가상 보안 어플라이언스, Agentless 방식의 단점을 보완한 하이브리드 방식의 보안 솔루션이 새롭게 논의되고 있습니다.
https://brunch.co.kr/@jdglaw1/4
클라우드컴퓨팅에 대해 더 궁금하신 점이 있으시거나 관련 소송을 진행하고자 하신다면 정동근 변호사에게 문의해 주시기 바랍니다.
법무법인 조율 정동근 변호사
지식재산권법 전문변호사 (대한변호사협회)
(06606)서울시 서초구 서초대로 301, 19층(서초동, 동익성봉빌딩)
직통전화 : 02-533-5558, 팩스 : 02-597-9810
E-Mail: jdglaw1@hanmail.net
