[지식재산변호사] 클라우드 컴퓨팅과 정보보안
1. 여러 가지 보안위협 요소들
1) 정보위탁 따른 정보유출
클라우드 컴퓨팅 서비스는 이용자의 정보를 모두 원격의 클라우드 서버에 제공하고 그 관리 또한 서비스 제공자가 담당하기 때문에 내부자 또는 악의적인 이용자에 의해 유출될 가능성이 있습니다.
이용자 정보관리를 서비스 제공자가 담당하기 때문에 내부자에 의해 정보 유출 가능성(관리자의 권한 남용, 이용자 몰래 게스트 OS의 자료 삭제/수정)이 있습니다. 더군다나 서버나 네트워크 장비가 논리적으로 구성되기 때문에 관리영역(네트워크 관리자, 서버관리자, 스토리지 관리자)이 모호해지게 된다(가령, 서버 안에 논리적으로 존재하는 vSwitch의 관리를 서버관리자가 할 것인가, 네트워크 관리자가 관리 할 것인가?). 이러한 문제는 정보의 유출∙손실 시 책임소재가 불분명해진다는 문제로 연결됩니다.
클라우드 컴퓨팅의 이용자의 정보는 모두 원격으로 저장되기 때문에 서버 내 다른 이용자가 타인의 정보를 비밀스럽게 복사∙이동∙수정하여도 본래 소유권이 있는 이용자는 알 수 없게 됩니다.
또한 클라우드 컴퓨팅은 IT자원 공유, 멀티테넌시 기술 등으로 대량 고객정보가 집적됨과 동시에 서로 다른 정보 주체의 정보들이 혼재되어 있습니다. 이에 설정오류, 취약한 패스워드 사용 등으로 권한이 없는 타인의 접근 위험성이 있습니다. 실제로 2010. 12.경 Microsoft의 BPOS(Business Productivity Online Suite)에서 환경설정 오류로 인해 클라우드 상의 기업 정보가 타인에게 열람되는 사고가 발생하였습니다.
2) 자원 공유 및 집중화에 따른 서비스 장애
물리적인 IT자원을 공유하는 클라우드 컴퓨팅의 특성상, 시스템 장애 시, 해당 자원을 공유하는 모든 사용자의 서비스가 중지되는 위협이 존재합니다.
물론 vMotion 기술로 일부 서버 장애는 극복할 수 있지만, vMotion 기술이 완벽한 솔루션은 아니다. 자연재해나 전쟁으로 인해 Server Farm 전체에 장애가 생긴 경우(가령 2011. 8. 벼락으로 인한 정전사고로 아마존 EC2 서비스 장애 발생, 유럽 수천 개의 기업이 최대 이틀간 접속 장애로 업무 차질)에는 커다란 서비스 장애가 생길 것이 명약관화합니다.
이 경우 서비스 장애 원인의 빠른 파악이 어려울 뿐만 아니라, 이용자에 의한 복구 및 패치도 불가능합니다. 2011. 2. 27. Gmail을 이용하는 50만 명의 이용자가 메시지 및 주소록이 사라지는 사고가 발생하였을 때, 기존의 백업 데이터로 24시간 내 복구되었지만 자세한 원인은 끝내 밝히지 못하였습니다.
또한 서비스 집중화로 중앙시스템 위치 노출 시 DDoS 등 사이버 공격 대상이 되기 쉽다는 위험도 있습니다. 반대로 IaaS를 공격수단으로 이용한 DDoS 공격의 위험도 배제할 수 없습니다. 요금이 저렴하고 쉽게 이용할 수 있는 클라우드 컴퓨팅의 특성을 활용하여 현재까지 대규모 예산으로 인하여 시도해보지 못했던 공격들이 이루어질 수 있는 것입니다. 지금의 PC 분산처리 컴퓨팅 환경에서는 DDoS 등과 같은 사이버 공격을 하려면 대규모 PC 환경 조성이 필수적인데, 이를 위하여 1차적으로 악성코드를 유포하여 좀비 PC(Zombie PC)를 만드는 등의 시간과 투자가 이루어져야 합니다. 이러한 좀비 PC가 생성된다고 하더라도 그 숫자는 언제나 한계를 가질 수 밖에 없습니다. 해커들에 의해서 악성코드가 클라우드 데이터센터에 침입한다면, 막대한 컴퓨팅 리소스가 순식간에 좀비 PC로 변해 DDoS와 같은 사이버 공격에 악용될 소지가 있습니다.
3) 분산 처리에 따른 보안적용의 어려움
대용량 데이터가 분산파일 시스템(자원공유와 가상머신의 동적 재배치)을 통해 많은 서버들에 분산 저장∙관리됨에 따라 데이터 암호화, 이용자 인증, 접근제어 등의 어려움이 증가합니다.
4) 사용단말의 다양화에 따른 정보유출
더군다나 클라우드 컴퓨팅은 PC, 스마트폰 등 다양한 형태의 단말(Device)의 접속을 허용하기 때문에 해당 단말이 갖는 보안위협(스마트폰과 같은 모바일 기기 분실 시 이용자 정보의 유출 또는 공공 Wi-Fi와 같은 보안성이 떨어지는 접속 환경에서 서비스 접속을 시도하는 경우 무선해킹의 위협 등)이 클라우드 서비스에 그대로 연결될 수 있습니다.
5) 법규 및 규제의 문제
클라우드 컴퓨팅 서비스는 정보의 소유와 관리 주체 분리, 서버의 분산 배치 등 다양한 환경적 특성 때문에 기존의 법규와 규제의 적용 시, 재판관할권 및 적용 법규의 확정 등의 문제가 발생할 수 있습니다. 특히 국외의 서버를 이용할 경우, 서버의 위치에 따라 국내 법규 및 규제의 적용이 어려울 수 있습니다.
2. 가상화 취약점
클라우드 컴퓨팅 환경의 핵심적인 장점인 IT자원의 대여는 가상화 기술을 통해 가능합니다. 하지만 시스템 자원을 통합∙재분배하여 제공하는 인프라 계층의 특징으로 인해 가상화 시스템의 취약점은 클라우드 컴퓨팅 환경에 그대로 연결이 됩니다.
1) 가상화 환경에서 보안 이슈
가상화 시스템 내부 영역에서 가상머신 간 통신에 대해서는 기존의 방화벽, IPS 등의 보안장비가 탐지를 수행할 수 없습니다. 기존의 네트워크 보안장비들은 물리적인 네트워크를 통해 전달되는 네트워크 패킷을 분석하여 침입 탐지를 수행하지만 가상화 시스템 내부 영역에서의 가상머신 간의 통신은 가상화 시스템 내의 가상 스위치를 통해서만 전달 됩니다. 물리스위치는 보안을 위해 와이어 샤크(Wire shark) 캡쳐를 통해 침입자를 모니터링하거나, 악성 패킷을 찾을 수 있지만, vSwitch에서는 이러한 기능을 수행할 수 없습니다.
다음으로 가상화 시스템 내부영역에서는 멀티테넌시(multi-tenancy)의 특성을 가진 이용자들의 가상머신이 상호 연결되어 다양한 해킹, 악성코드 전파 등 공격 경로가 가능합니다. 생성, 삭제 등이 동적으로 일어나며 서로 다른 사용자/기관에 임대될 수 있는 가상머신의 특성 상 가상 스위치 상에서 VLAN 등을 이용한 정적 가상 네트워크 분리가 어렵습니다. 이러한 특성으로 인해 동일한 네트워크 상에서 가능한 기존의 ARP 캐쉬 포이즈닝과 같은 스푸핑 공격이나 악성코드 전파와 같은 다양한 공격에 취약할 수 있습니다.
ARP
네트워크 환경에서 임의의 호스트가 다른 호스트에 데이터를 전송하려면 수신 호스트의 IP주소뿐만 아니라, MAC주소도 알아야 한다. 수신 호스트의 IP주소는 보통 응용 프로그램 사용자가 프로그램을 실행하는 과정에서 직접 입력하므로, IP주소로부터 수신 호스트 MAC주소를 얻는 작업이 추가로 필요하다.
주소로부터 주소를 얻는 기능은 ARP(Address Resolutin Protocol)를 통해 이루어진다. 예를 들어, 호스트 A가 호스트 B의 MAC주소를 얻으려면 ARP request라는 특수 패킷을 브로드캐스팅해야 한다. ARP request 패킷을 네트워크의 모든 호스트가 수신하지만, 관계없는 호스트는 패킷을 무시하고 호스트 B만 IP주소가 자신의 IP주소와 동일함을 인지한다. 따라서 호스트 B는 ARP reply 패킷을 사용해 자신의 MAC주소를 호스트 A에 회신한다. 데이터를 전송할 때마다 ARP를 사용하여 패킷을 브로드캐스팅하면 네트워크 트래픽이 증가한다. 따라서 ARP를 사용하는 호스트에서는 가장 최근에 얻은 IP주소와 MAC주소 매핑 값을 보관하는 캐시 정보를 이용한다.
또한 송신 호스트가 ARP request 패킷을 브로드캐스팅하는 과정에서 패킷을 수신한 모든 호스트는 송신 호스트 IP주소와 MAC주소 매핑 값을 자동으로 얻을 수 있다. 이와 같은 방식으로 ARP 트래픽에 의한 네트워크 부하를 최소화할 수 있다.
ARP 스푸핑(ARP spoofing)
ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법.
또한 Bare-Metal방식의 하이퍼바이저 구축모델에서, 하이퍼바이저에 대한 해킹이 성공할 경우 가상화 시스템 내 모든 가상머신들에 대한 통제권이 상실될 수 있으므로 다양한 공격이 수행될 수 있습니다.
마지막으로 가상머신의 물리적 호스트 간 이동이 용이함으로써 보안관리가 복잡해집니다. 가상머신은 vMotion 기능을 이용하여 서로 다른 물리적 호스트로의 실시간 이동이 가능하며, 또한 가상머신의 사용이 일시 중지된 후 재시작 될 때 시스템의 설정에 따라 다른 물리적 호스트에서의 재시작이 가능하므로, 보안패치가 적용되지 않아 보안에 취약하거나 이미 악성코드에 감염된 가상머신이 다른 물리적 호스트로 제한 없이 이동할 수 있는 위험성이 있습니다. 따라서 각 가상머신의 현재 상태 및 이동 경로 등 가상머신 라이프사이클에 따른 보안상태 추적/관리가 필요합니다.
2) 기존 보안기술의 가상화 환경 적용 시 한계점
(1) 네트워크 보안 기술의 한계점
기존의 IPS/IDS 및 방화벽과 같은 네트워크 보안 기술은 물리적인 네트워크를 통과하는 패킷 만을 대상으로 탐지를 수행합니다. 즉, 네트워크 경계(perimeter)를 설정하고 네트워크를 통해 경계를 통과하는 네트워크 패킷을 캡쳐하여 침입 탐지 및 접근 제어를 수행하는 것입니다. 따라서 가상화 시스템 외부와의 네트워크 트래픽에 대해서만 탐지 및 차단을 수행할 수 있습니다.
가상화 시스템의 내부 영역에서는 vSwitch를 통해 네트워크 패킷의 스위칭이 일어납니다. 가상머신 간의 네트워크 통신시에는 가상 네트워크 패킷이 가상화 서버의 외부로 나가지 않고 가상화 시스템 내부 영역에서 스위칭 되어 전달되므로, 가상화 서버 내에 구축된 가상화 네트워크는 기존의 IPS/IDS 및 방화벽에게는 보안 사각지대(security blind zone)가 됩니다. 이러한 보안 사각지대로 이하여 기존의 보안 장비로는 가상 네트워크 상의 네트워크 트래픽에 대해서는 침입 탐지가 불가능합니다.
(2) 안티바이러스의 한계점
기존의 안티바이러스는 각 호스트에 에어전트[1] 형태로 설치되며 각 에이전트가 독립적으로 악성코드의 시그니처를 관리합니다. 이러한 기존의 안티 바이러스를 가상화 환경에 적용할 경우 다음과 같은 문제점이 발생할 수 있습니다.
첫째, 안티바이러스 스톰(A/V storm)의 발생 문제입니다. 가상화 환경에서 기존의 안티바이러스 기술을 적용하면, 각 가상머신에 안티바이러스 에이전트가 설치됩니다. 일반적으로 기업환경에서는 안티바이러스들이 동일한 시각에 악성코드 검사를 실시하도록 세팅되어 있으므로 각 가상머신에 설치된 안티바이러스들이 동시에 동작할 가능성이 높습니다.
이 경우 각 안티바이이러스 에이전트들이 동시에 공유 디스크에 있는 파일들을 스캔하며 악성코드 검사를 하므로 시스템 전체의 부하가 매우 높아지는데, 이를 안티바이러스 스톰이라고 합니다. A/V storm은 해당 가상화 시스템에서 동작하는 전체 가상머신들의 성능을 현저히 저하시키는 문제를 유발합니다.
둘째, 각 가상머신에 설치된 에이전트의 악성코드 시그니처를 모두 최신 데이터로 유지/관리해야 합니다. 가상화 시스템 내에 운용되는 모든 가상머신들의 보안수준을 동일하게 유지하기 위해서는 각 가상머신에 설치된 안티바이러스의 악성코드 시그니처도 동일하게 최신 상태를 유지해야 합니다. 이러한 최신의 악성코드 시그니처 유지 요구사항은 동적인 생성, 중단, 재시작, 이동 등이 용이한 가상머신의 특성상 보안 관리를 복잡하게 만드는 문제가 있습니다.
셋째, 가상머신 상에 동작하는 안티바이러스 에이전트는 하이퍼바이저에 존재 가능한 악성코드를 탐지할 수 없습니다. 하이퍼바이저 보다 낮은 특권 레벨(privilege level)에서 동작하는 가상머신은 하이퍼바이저 내에 직접 접근할 수 있는 권한이 없습니다. 따라서 가상머신 내에서 동작하는 안티바이러스 에이전트에게는 하이퍼바이저 영역이 보안 사각지대가 됩니다.
이로 인해 안티바이러스는 하이퍼바이저에 접근하여 하이퍼바이저 루트킷 등 하이퍼바이저에 침입한 악성코드를 탐지할 수 없는 한계가 있습니다. 하이퍼바이저가 악성코드에 감염되어 통제권을 상실하게 되면, 해당 하이퍼바이저 상에 동작하는 모든 가상머신의 제어권 또한 상실하게 되므로 하이퍼바이저의 보안은 매우 중요합니다.
https://brunch.co.kr/@jdglaw1/392
클라우드컴퓨팅에 대해 더 궁금하신 점이 있으시거나 관련 소송을 진행하고자 하신다면 정동근 변호사에게 문의해 주시기 바랍니다.
법무법인 조율 정동근 변호사
지식재산권법 전문변호사 (대한변호사협회)
(06606)서울시 서초구 서초대로 301, 19층(서초동, 동익성봉빌딩)
직통전화 : 02-533-5558, 팩스 : 02-597-9810
E-Mail: jdglaw1@hanmail.net
