가상화 보안 시장 열기 ‘후끈’
하이퍼바이저 취약성에 비상 … 최대의 적은 ‘사용자 의식 결여’
새로운 가상화 보안 어플라이언스 업체들은 분명 이해관계로 서로 얽혀 있다. 하지만 데이터 보호 정책에 미치는 영향을 고려하지 않고 가상화로 뛰어들고 있다는 사실을 깨닫고 있는 기업들이 늘어나고 있으며, 따라서 IT 전문가들은 성공적인 하이퍼바이저 공격에 의해 소모될 수 있는 실제 면적에 대해 당연히 고민을 하게 되었다.
만약 현재 머뭇거리고 있는 사람이라면 가장 큰 의문은 ‘지금 현재 위험에 얼마나 노출돼 있는가’일 것이다. 결국 가트너는 같은 보고서에서 2008년 말 이전에 주류 제품에서 패치를 할 필요가 있는 하이퍼바이저 취약성이 발견될 것이라고 예언했다. 이러한 잠재적 취약성들은 크게 두 가지로 나눌 수 있는데, 첫째는 클라이언트 OS를 벗어나서 호스트 OS로 이동할 경우 그 기계에 있는 다른 모든 클라이언트 운영 시스템의 데이터로 액세스를 갖게 된다. 그리고 가상화 기술의 혜택을 받을 수 있게 고안된 완전히 새로운 루트킷(rootkit) 영역들이 있다.
기상화 보안 안전 불감증 심각
네오햅시스(Neohapsis)의 보안 컨설팅 CTO이자 인포메이션위크紙의 필자인 그렉 시플리는 “사람들은 이제 VM웨어의 게스트 OS에서 벗어나려고 노력하고 있다”며, “그리고 하이퍼바이저 루트킷이 설치되게 하는 것은 어느 조직에게나 심각한 위협이 될 수 있다. 하지만 루트킷의 개발이 큰 도전이 되고 있다고는 생각지 않는다”고 말했다.
정작 시플리의 흥미를 자아내는 것은 이러한 루트킷을 배치하는 데 사용되는 프로세스다.
“무엇이 과연 더 큰 노력을 필요로 할까. 우리가 게스트 OS로부터 벗어나서 하이퍼바이저 레이어의 제어권을 확보할 수 있게 해주는 취약성을 연구하는 것일까, 아니면 다른 여느 애플리케이션과 마찬가지로 관리자를 쫓아가서 루트킷을 설치하는 데 필요한 증명서를 하이재킹하는 것일까? 내 소관의 일이라면 어떤 길을 갔을지 뻔하다.”
클라이언트 이미지를 벗어나는 데 있어 컨설팅 회사인 인텔가디언스(Intelguardians)는 최근 개최한 SANSFire 쇼에서 호스트 OS 침입 같은 것들을 시연했다. 취약성의 세부 사항들은 공표되지 않았기 때문에 어디에 대한 공격이 성공했는지를 알 수는 없지만, 이러한 연구들이 분명 이 분야에서 유일하게 진행되는 것들은 아닐 것이다.
여기서 얻을 수 있는 교훈은, 조직에서는 이제 충분히 동기부여가 된 공격자가 이런 악용 공격(exploit)을 할 수 있는 능력이 있다는 사실을 전제로 하고 이에 따라 계획을 세워야 한다는 것이다. 심층 방어(defense in depth)나, VM을 같은 호스트 시스템에 있는 다른 보안 상태나 필요조건과 혼합하지 않는 등과 같은 적절한 가상 기계 레이아웃과 디자인이 필수다.
독자들이 얼마나 잘 준비가 돼 있는지를 알아보기 위해 우리는 설문조사를 실시했으며, 그 결과 다소 놀라운 사실도 알게 됐다. 가상화된 기계가 전통적인 환경만큼이나 안전하고 보안이 된다고 믿고 있다는 43%의 독자들에게는 정말이지 위태로움을 느끼지 않을 수가 없다.
384명의 IT 운영 및 보안 전문가들의 응답 가운데, 자신들의 VM을 보호하기 위한 공식적인 전략을 갖고 있다고 말한 사람은 12%에 불과했으며, 현재 기존의 IT 정책과 툴세트를 이용해 가상 서버를 관리하고 보호한다는 사람도 많았다. 이것도 물론 효과는 있다. 어느 정도까지는.
가상화된 환경은 전통적인 서버와 동일한 운영적 위협과 위험에 직면해 있지만, 호스트 내 위협들로부터 써드파티 하이퍼바이저 애드온 조사, 그리고 회사의 정보 보안 정책용의 새로운 체크리스트 항목들에 이르기까지, 전통적 보안에 추가되는 것들도 있다.
현실을 직시해 보자면, 전통적인 1U 서버가 손상됐을 경우 얼마간의 개인적인 수치심을 느끼고, 손해를 평가해 보고, 문제를 고치는 것으로 극복될 것이다. 대부분의 조직에는 내부의 손상을 로컬화하는 전략이 마련돼 있으며, 손상된 시스템의 캐스케이딩을 막기 위한 2단계, 3단계의 방어선이 있다. 반면, 게스트 VM을 보안하는 작업을 해낼 수 있는 네트워크 모니터링 및 관리 툴은 거의 없다.
전통적인 서버가 공격을 받아 에러나 수상쩍은 행동을 보이기 시작하면, 경보가 발생한다. 하지만 기계간의 모든 통신이 ‘어려움에 처한 데이터 센터’안의 VM들간에 발생하는 경우, 시험 후 확인(tried-and-true)식의 네트워크 모니터링 툴이 얼마나 효과적이겠는가. 당신이 무슨 일이 일어났는지 확인하기 전에 나쁜 녀석들이 호스트 내부의 약점을 탐색하고 테스트하고 악용하는 데 보낼 수 있는 시간은 얼마나 긴가?
그리고 VM 전용의 환경을 둘러싸고 소용돌이치고 있는 보안에 대한 기존의 높은 열망이 정당화가 되는가? 그렇게 되고 있는 중이라 하더라도 연기 냄새를 맡는다는 것은 좋은 일이다. 즉 이것은 위험을 앞서 경고해 준다.
굳건한 기반
이론적인 위험뿐만 아니라 오래된 공격 지점의 새로운 응용이 어디서 가능할지를 알기 위해서는 가상화된 호스트의 기반 디자인을 이해할 필요가 있다.
가상화는 기반 하드웨어로부터 게스트 운영 시스템을 분리하는 추상화 계층(abstraction layer)을 만듦으로써 다중 VM이 하나의 서버에서 호스팅될 수 있게 해준다. 가상 기계는 이러한 추상화에 대한 기반으로 작고, 특권이 주어진 코드 기반을 사용하는 멋진 하이퍼바이저에 의존할 것이다. 이런 방식의 강점은 호스티드 애플리케이션의 성능이 거의 네이티브 수준에 이를 수 있다는 것이다. VM웨어 ESX, 인텔 V프로, 버추얼아이언 및 젠엔터프라이즈 등 기업용 서버 시장을 타깃으로 하는 제품들은 하이퍼바이저 디자인을 선호하고 있다.
이에 대한 대안으로 데스크톱VM과 마이크로소프트의 가상 서버 제품들은 전통적인 ‘팻 OS’ 모델을 사용하는데, 여기서는 게스트 VM이 완전히 준비된 호스팅 운영시스템 위에 놓이게 된다.
하이퍼바이저는 최적화된 성능을 제공하고 공격 면적을 줄여주지만, 이들은 또한 새로운 취약성을 가져다 주기도 한다. 따라서 사후에 추가되는 게 아니라 처음부터 보안을 염두에 둘 필요가 있다. 여기서 반드시 빠뜨려서는 안 될 질문이 한 가지 있는데, 그것은 ‘젠을 검사 및 테스트하는 데 있어 개방형 소스 커뮤니티에 의존하는 게 더 안전한가, 아니면 VM웨어나 다른 전용 하이퍼바이저 업체들이 호스트 보안을 위한 최적의 길인가’ 하는 것이다.
시플리는 “내가 본 바에 의하면 VM웨어의 QA는 아주 좋은 편”이라며, “다른 여러 회사들에 비하면 이들은 록 스타같은 모습이다. 오라클이 올해 얼마나 많은 패치를 내놓았는가? 세 자리 수까지 가고 나니 더 이상 헤아리기도 힘들 지경”이라고 말했다.
한편 젠엔터프라이즈에서 곧 내놓을 4.0 하이퍼바이저는 6만 라인 가량의 깔끔한 코드로 이뤄어질 것이라고 젠소스 CTO인 사이몬 크로스비는 말했다. 코드 수가 적다는 것은 곧 버그의 가능성도 적다는 얘기다. 나아가 최근 시트릭스 시스템즈에 인수되는 데 동의한 젠소스는 IBM의 보안 하이퍼바이저 기술을 이용, 젠엔터프라이즈는 개방형 소스 커뮤니티의 공격을 견뎌내고 CC(Common Criteria) 레벨 5 등급을 따냈다.
칩 설계자와 VM 소프트웨어 업체들은 또한 보안 전투에서 우세를 유지하기 위해 노력 중이다. 인텔의 비즈니스 클라이언트 아키텍처 이사인 스티브 그로브맨은 인텔의 VT-X 서버와 데스크톱 가상화 제품들이 처음부터 보안 강화를 염두에 두고 설계됐다고 말했다. 예를 들어 인텔의 기존의 VT 인핸스드 서버 칩세트는 전통적인 3 레이어의 CPU 코드 특권위에다 가상화를 위한 새로운 3개의 코드 특권 레이어를 제공한다.
물론 VM웨어는 엔터프라이즈 가상화 시장을 점유하고 있으며, 이 회사는 매우 안전하다고 생각하고 있다.
VM웨어의 공동 창립자이자 수석 연구원인 멘델 로젠블럼은 “VM웨어 ESX 서버를 설계, 테스팅 및 이행하는 것은 규모가 보다 큰 전통적인 플랫폼 운영 시스템과는 대조적”이라며, “VM웨어는 코드 첫 라인부터 보안에 초점을 두고 있다. 설계상의 결함으로 인해 하이퍼바이저가 손상되지는 않을 것이라는 확신을 100% 갖고 있다”고 자신했다.
아무쪼록 그의 이러한 확신이 사실로 입증되기를 희망한다. 사실 지금까지 업체들은 이 점에서 성공적이었다. 우리로서는 앞으로도 이러한 행운이 계속되기를 바랄 뿐이다.
최악의 상황
하이퍼바이저 기반의 호스티드 환경에서 최악의 상황은 어떤 것일까? 바로 하이퍼재킹(hyperjacking)이다. 여기서는 악용으로 인해 플랫폼 손상이 발생하며, 범죄자가 주어진 기계에 있는 모든 호스티드 게스트로 풀 액세스를 할 수 있게 된다. 하이퍼바이저 파괴시에는 악성 소프트웨어가 호스티드 OS 파티션이나 하이퍼바이저 위에 있는 어떤 소프트웨어 레이어에 존재하는 전통적인 보안 툴로부터 자신의 존재를 쉽게 속일 수 있다.
이러한 악용 상황은 스탠드얼론 서버 OS를 손상하는 은폐된 루트킷의 위협과 유사하다. 하이퍼바이저를 소유하고 있는 사람이라면 하이퍼바이저를 가로지르는 모든 데이터를 모두 소유하고 있고, 원하는 어떤 것이든 샘플링, 방향조정, 혹은 스푸핑을 할 수 있는 위치에 있다.
어떤 형태의 안전 장치가 없다면 게스트 운영 시스템에서 자신들이 손상된 플랫폼을 돌리고 있다는 사실을 알 수 있는 방법이 없다. 이것은 10개, 50개, 심지어 수백 개의 호스티드 서버가 한 조각의 하드웨어에서 돌아가고 있는 대규모 가상화 플랫폼에서는 악몽같은 상황이며, 제어력과 매출 손실의 잠재적 위험은 실로 엄청나다.
해결책은 하이퍼바이저의 무결성을 유지하면서 호스티드 운영 시스템이 기반 하드웨어나 외부 접속에 대한 하나의 브리지로서 감염되지 않은 하이퍼바이저와 통신할 수 있도록 다중 안전장치를 구축하는 것이다. 링 0 밖에서 변경되지 않은 OS를 돌리기 위해서는 게스트 OS에서 무슨 일이 일어나고 있는지를 인식할 필요없이 하이퍼바이저가 ‘금지된(forbidden)’ 링 0 명령어를 가로채 이들을 다른 어딘가에서 에뮬레이팅해야 한다.
여기서는 실리콘 제조업체들이 도움이 될 수 있을 것이다. 예를 들어 가상화 시장을 타깃으로 해서 새로 나오고 있는 인텔과 AMD 칩들은 링 0 아래에 새로운 권한 레벨을 삽입할 수 있다. 이들은 둘 다 하이퍼바이저에서 관리될 수 있게 만들어진 링 -1에서만 작동하는 새로운 기계 코드 명령어를 제공한다. 이런 식이면 게스트 OS는 변경될 필요가 없으며, 에뮬레이션으로 인한 성능 패널티도 줄어든다.
각각의 호스트에게 이것이, 그리고 그것만이 호스트 서버의 물리적 자원으로 액세스를 갖고 있다고 확신시키는 동시에, 프로그램과 데이터가 운영 시스템들간에 누출이 되지 않도록 보장하기 위해 액세스를 조작하는 것도 하이퍼바이저의 일이다. 최신 칩세트에 추가된 가상화 플랫폼용 코드 특권 레이어는 업체들이 보안 침입이나 잘못된 애플리케이션이 있을 때 오작동하는 게스트 OS의 영향을 줄일 수 있게 해준다.
기반 하드웨어와의 게스트 통신을 인터셉팅하는 손상된 플랫폼의 위험을 한층 더 줄이기 위해서는 일종의 트랜잭션 확인(transaction confirmation)이 이행될 필요가 있다.
TPM(Trusted Platform Module) 표준
가장 널리 채택되고 있는 TCG(Trusted Computing Group) 표준은 TPM(Trusted Platform Module)이다. TPM은 트러스티드 하이퍼바이저에 있어 없어서는 안될 구성요소며, 하드웨어 기반의 신뢰할 수 있는 루트 인증, 측정 수행을 위한 트러스티드 로케이션, 그리고 트러스트 측정이 저장될 수 있는 몇몇 레지스트리들을 제공한다. 그리고 TPM 하드웨어 암호화는 게스트 운영 시스템용으로 하이퍼바이저와의 통신을 조사할 수 있는 보장된 방안을 제공한다.
TPM의 목표는 탬퍼(tamper) 탐지 및 방지 기능을 제공한다는 것이다. 예를 들어 인텔 이행안에서는 호스티드 플랫폼에서 트러스티드 VM 모니터 화이트리스트를 제공한다. TPM은 어떠한 소프트웨어든 로딩되기 이전에 실행이 되며, 부트 시퀀스에 대해 소유자에게 자신감을 주고, 각 시스템 구성요소가 로딩이 될 때 그 신빙성을 확인해 준다. 간단히 말하자면 TPM은 하이퍼바이저가 알려진, 트러스티드 상태로 로딩이 되고 나서야 하이퍼바이저에게 플랫폼의 제어권을 넘긴다.
이러한 개념이 친숙하게 들리는가? 비스타의 고성능 버전에서 마이크로소프트는 로컬 드라이브에 저장된 데이터를 암호화하기 위해 칩세트 기반의 TPM에 의존해 비트록커 기능을 제공하고 있다. 미래의 인텔 및 AMD 하드웨어 플랫폼도 또한 TPM을 이용해 연결된 주변기기로의 트러스티드 경로를 만들고, 여기에 의존해 데이터 경로의 하드웨어 레벨 암호화를 위한 고유 키들을 만들고 저장할 것이다. 이러한 암호화는 가상화 컴포넌트의 검증(validation)과 함께 사용돼 TPM/하이퍼바이저 핸드오프(handoff)를 방해하는 것을 보다 어렵게 만듦으로써, 하이퍼바이저와 OS의 통신이 오염되지 않았다는 IT의 확신을 높여 준다.
일상의 위험들
안전벨트 없이 운전을 하면서 번개에 맞지 않을까 전전긍긍하는 사람과 마찬가지로, 당신을 괴롭힐 가능성이 가장 많은 것은 가상화와 연관된 일상의 위험이다. 예를 들어 팻 호스트와 하이퍼바이저 호스트에서는 둘 다 게스트 OS가 전통적인 위협 벡터와 악용을 통해 손상될 수 있는 위험이 있다. 패칭이 되지 않았거나 제대로 보호되지 않는 공중 접촉 서버는 위험에 처해 있으며, 스탠드얼론 박스에서 돌아가든, 아니면 대형 호스티드 플랫폼에 있는 많은 VM들 가운데 하나로 돌아가든 마찬가지다.
하지만 상식적으로 조직의 노출은 가상화와 서버 통합에 대한 의존도가 클수록 증가한다. 즉 플랫폼당 VM 수가 많아지면 탐지되지 않는 호스트내 문제가 확산될 위험도 커진다. 실질적인 모든 목적에 있어 호스트간 위협은 전통적인 오프박스 안전장치들의 눈에는 보이지 않는다. 외장 방화벽이나 기타 보안 툴들은 호스트내 트래픽을 점검, 혹은 제어할 수 없으며, 여기서는 패킷이 결코 소프트를 떠나 유선 인프라를 가로질러 가지 않는다.
복합적인 호스티드 환경에서 잡기 힘든 실세계의 일상적인 문제들로는 무관한, 혹은 수상쩍은 호스트내 혼선(cross talk)이 포함되는데, 이것은 포트 스캔이나 바이러스 행동, 혹은 기타 멀웨어를 알리는 신호이기도 하다. 그리고 CPU 사이클이나 입/출력 자원, 혹은 가상화된 네트워크 대역폭의 소모로 인해 다른 게스트 VM에 영향을 미치는 직접적, 혹은 우발적 서비스 거부 공격도 또한 포함이 된다.
네오햅시스의 시플리는 “달걀을 모두 한 바구니에 담는 데 따르는 위험은 순수한 운영적 관점에서 볼 때 단순히 말도 안 되는 IT가 되는 것보다 위협이 발전될 가능성이 적다”며, IT 집단에서는 초창기의 스토리지 영역 네트워크에서와 같은 역동성을 보고 있다고 덧붙였다. “대부분의 조직들은 별도의 용량을 설계하고, 가상 서버 마이그레이션 훈련을 실시하고, 패칭을 유지함으로써 이러한 위험을 관리할 수 있다.”
마지막 항목은 반복해서 익힐 만한 가치가 있는 것이다.
그는 “VM웨어가 공격 면적을 줄이는 일은 잘 해냈다고 생각하지만, ESX/VI3 역시 리눅스에서 비롯된 운영 시스템이며, 따라서 패칭돼야 할 필요가 있다”며, “문제는 ESX 서버 패칭이 더 위험하고 방해가 될 수 있다는 것인데, 그 이유는 하나의 OS만 다운시키면 되는 게 아니라 이것이 호스팅하는 모든 OS들을 다운시켜야 하기 때문”이라고 말했다.
좋은 소식은 지금까지 우리가 본 필수 VM웨어 패치들이 비교적 얼마 되지 않는다는 것이다.
가상 세계에서 안전하게 살기
현재로서 우리는 모두 생산 하이퍼바이저나 VM 모니터의 손상이 최초로 성공하는 때가 오기를 기다리고 있다. 네트워크가 단순히 전시적인 목적이 되지 않게 하려면, 잠재적인 공격 면적이 가능한 작게 유지되도록 호스트 이행을 설계해야 한다. 써드파티 장비 드라이버를 어디에 둘지 결정하라. 하이퍼바이저 안에 있으면 성능이 나아질 것이고, 보다 높은 레이어에 있으면 성능은 다소 떨어지겠지만 보안 위험이 줄 것이다.
불필요하게 에뮬레이팅된 장비의 기능을 중단시키고, 호스트 플랫폼과 게스트 모두에서 무관한 기능과 사용되지 않는 서비스를 잠그라. 확실해 보일지 모르지만 IT는 전통적인 서버에서와 같은 주의와 노력을 기울여서 VM에 접근할 필요가 있으며, 여기에는 보안 정책과 가이드라인 지키기가 모두 포함된다.
본지 설문 응답자들 가운데 36%는 어떠한 IT 보안 및 보호책도 마련돼 있지 않다고 시인했으며, 23%는 현재 정책을 마련 중이라고 자백했다. 70% 이상의 응답자가 최소한 하나의 호스트 플랫폼을 배치했다는 점을 감안한다면 악용되기만을 기다리면서 패칭되지 않았거나 보호되지 않는 가상화 서버들의 취약성을 쉽게 짐작할 수 있다.
VM이 새 호스트를 따를 수 있도록 보안 문제, 허가 및 환경 설정이 적절히 구성됐는지 확인하라. 환경적인 유연성이야말로 VM웨어 ESX 같은 기업 등급의 제품에서 찾아볼 수 있는 핵심적인 이점이며, 적절한 계획이 없이 진행 중에 VM을 이동시킬 수 있는 능력은 재앙이 될 수 있다.
시플리는 “공격 면적과 전반적인 노출을 줄이는 것과 마찬가지로, VM웨어 관리 영역을 네트워크의 나머지 영역에서 분리시키고, 액세스를 얻을 수 있는 사람과 대상을 제한하는 조직이 늘어나고 있다”며, “분명 데이터 센터 내의 방화벽이 보다 새로운 추세긴 하지만, 이것은 VM웨어에 의해서만 주도되고 있는 것은 아니다. 보다 진취적인 IT 팀에서는 실제로 네트워크 세그먼테이션에 있어 ‘최소 특권(least privilege)’ 모델이라는 개념을 생각하기 시작했으며, 조직들은 VM웨어 관리 인프라로의 액세스를 제한하는 데 공을 들임으로써 위험 프로파일을 줄일 수 있다”고 말했다.
시플리는 또한 IT에서 예를 들어 ESX 부모 호스트 게스트 VM을 DMZ의 안팎에 두는 등, 네트워크 존(zone)을 시행해야 하는 지점에 가상화 호스트 기계를 두어서는 안 된다고 강조했다.
안전하게 얻을 수 있는가
레플렉스의 VSA나 블루 레인의 버추얼실드 등, 가상화된 보안 전용 어플라이언스를 내놓고 있는 혁신적인 업체들은 단순히 다른 하나의 공격 벡터가 아니라 보안 문제에 대한 하나의 솔루션으로 가상화에 초점을 두고 있다. ‘어플라이언스’라는 별칭은 뾰족한 끝이 세 개가 달린 플러그에 쓰기 위해 아껴두고 싶지만, 그것은 이미 승산없는 전쟁이라는 사실을 우리는 잘 알고 있다.
VM웨어는 특수 용도로 제작되고 특정 보안이나 관리 필요를 해결하도록 사전에 구성이 된 ‘드롭 인(drop-in)’ 전용 VM 개념을 밀고 있으며, 다른 많은 업체에서도 이 미성숙한 영역으로 뛰어들고 있다. 아직 공식적으로 통고를 한 대형 참가자는 없긴 하지만, 시만텍 같은 전통적인 보안 업체들도 곧 맞춤화된 제품을 이용해 이 시장에 실세로 등장할 것으로 우리는 예측하고 있다.
그렇다면 과연 이런 현상이 IT에게는 좋은 것일까?
시플리는 “일부 업체들이 단순히 진행되고 있는 모든 가상화를 지켜보면서 ‘이 모든 VM웨어 조직들에게 보안을 어떻게 팔면 될까’라고 이야기한다면 걱정이 되지 않을 수 없다”며, “사용자/소비자에게 주어지는 부담에는 자신들의 네트워크에서 진정한 위협의 벡터가 무엇인지를 논의하고, 그런 다음 툴을 찾는 일이 포함된다”고 경고했다.
하지만 조직이 다음번 티제이엑스(TJX)가 되지 않도록 해주는 제품을 구입했다고 해서 해고당한 사람은 없었다. VM웨어의 똑똑한 사람들은 이 사실을 잘 알고 있으며, 최근에는 범람 악용이 쌓이는 것을 박을 수 있는 메모리 방화벽을 판매하는 회사인 디터미나(Determina)를 인수하기도 했다. 이것은 분명 아주 협소한 보호 목표지만 중요한 것이기도 하다. 문제는 일부 애플리케이션에서 디터미나 메모리 방화벽이 전체 성능에 상당한 영향을 줄 수도 있다는 것이다.
VM웨어는 또한 디터미나의 라이브실드(LiveShield)를 흡수했는데, 이것은 진행 중에 패치를 적용시킬 수 있으며, 서버를 재부팅할 필요 없이 메모리에 패치를 적용시키기만 하면 된다. 물론 이것은 로딩이 될 때 실행 카능한 코드 부분들을 다시 쓰기 해주는 그 자체의 바이너리 에뮬레이션 시스템과 많이 떨어진 기술이 아니기 때문에, 분명 VM웨어의 전문 분야라고 할 수도 있다.
실행 중인 OS나 애플리케이션을 패칭한다는 생각은 흥미로와 보이긴 하지만, 그렇다고 해서 이들이 적용되기 이전에 패치를 테스트할 필요가 줄어드는 것은 아니다. 보통 프로세스를 느리게 하는 것은 서버를 탄력성 있게 만들어야 하는 필요 때문이 아니라 테스팅 때문이다.
이것이 바로 블루레인(Blue Lane)에서 패치 에뮬레이션 제품을 내놓게 된 배경이며, 이 제품은 물리적 어플라이언스 버전뿐만 아니라 VM웨어용의 가상 어플라이언스 버전도 있다. 이 제품의 원리는 들어오는 공격을 잡아 내고, 위반 패킷이 서버 근처에 도달하기도 전에 실제 패치가 하는 것처럼 픽스를 만든다는 것이다.
부정적인 시선들도 없진 않지만, 우리가 플로리다 리얼월드 랩에서 테스트했을 때 버추얼실드는 주장한 바 대로 수행이 됐다. 그리고 최근에는 마이크로소프트로부터 물리적 어플라이언스를 테스트한 결과 완전히 상호운용이 가능하다는 확실한 승인을 받기도 했다.
가상화, 데스크톱에서 역할 늘어날 것
가상의 세상에서는 이러한 세 가지 제품 조합이 매우 안전한 네트워크를 만들 수 있다. 메모리 방화벽은 범람 악용을 막아줄 것이며, 블루레인의 기술은 IT에게 패치를 적절히 테스트하는 데 필요한 시간을 벌어줄 것이다. 그리고 일단 테스트가 되고 나면 라이브실드가 이들을 진행 중에 적용할 수 있게 해준다.
마지막으로, VM은 데스크톱에서 그 역할이 늘어날 것으로 전망되는데, 이는 노트북이나 PC들이 애초부터 실행되는 모든 영역을 계속 모니터링하는 관리자 잠금 VM 파티션을 지원하도록 디자인되거나, 사용자가 설치한 멀웨어나 인간의 실수로 발생하는 손상이 안전히 제거되고 있기 때문이다.
한 가지 여러분에게 남기고 싶은 충고는 의식을 높이기 위해 노력해 달라는 것이다. 본지 설문 조사에서 마지막 질문은 독자들이 가상화 보안에 대해 다른 추가적인 염려나 의견이 있는지를 묻는 것이었다. 물론 예상했던 대로 특정 업체에 대한 비방이나 옹호의 말들이 쏟아졌지만, 반복적으로 나온 말은 “아무런 걱정이 없었다…최소한 이 설문을 마치기 전까지는”이었다.
아는 것이 힘이라는 말을 믿는다면 여러분 스스로도 지식으로 무장할 필요가 있다.
태비스 오만디의 연구
가상화된 환경에서의 보안 문제에 대해 연구 중이던 구글의 인턴 사원, 태비스 오만디는 지난 봄 브리티시 콜롬비아 주 뱅쿠버에서 열린 캔섹웨스트(CanSecWest)에서 문제를 제기했다. ‘적대적 가상화 환경에서의 호스트에 대한 보안 노출에 관한 경험적 고찰’이라는 흥미로운 제목이 달린 그의 논문에서, 오만디는 상용 및 개방형 소스 가상화 제품들에 대한 많은 성공적 악용사례들을 상세하게 밝혔다. 이들은 ‘ 안에서 밖으로’ 식의 취약성이긴 했지만(공격이 VM 호스트에 대해 게스트 OS 안에서 시작되는 식), 그는 테스트한 모든 플랫폼에서 결함을 발견했으며, 그의 연구의 실제 성과들 가운데 하나로 두 가지 잠재적인 서비스 거부 결함을 해결하고, 다른 고려 사항들을 참작하여 만든 VM웨어의 ESX 서버 생산 패치가 있었다. - Joe Henrick
데스크톱에서도 유효한가
서버 가상화는 데이터 센터를 성가시게 하는 문제를 해결해 준다. 그렇다면 서버 가상화의 인기가 데스크톱 가상화에도 도움을 줄 수 있을까? 그리고 만약 그렇게 된다면 종단지점 보안에는 도움이 될까, 방해가 될까?
업체들은 이제 자신들의 VDI(Virtual Desktop Infrastructure) 제품들이 서버 통합의 파도를 타고 주류로 직행할 수 있기를 희망하고 있다. 이들은 VDI가 대부분의 엔터프라이즈 데스크톱 인프라를 보다 간결하고, 보다 안전하며, 배치와 관리 비용을 줄여줄 수 있다고 주장하고 있다. VM웨어, HP, IBM 등은 데스크톱 가상화에 참여하고 있으며, 특히 젠소스를 인수할 계획임을 발표한 시트릭스도 마찬가지다. 마이크로소프트는 놀랍게도 이 게임에 전혀 참여하지 않고 있는데, 롱혼의 가상화 기능에서 경로를 바꾸지 않는 한 앞으로도 그럴 것 같다.
속을 들여다 보면 VDI는 서버 가상화와 그리 많이 다르지 않으며, 주요 이점은 자원 풀이나 접속 브로커 같은 기능과 관리 기술에 있다. VDI는 사용자의 데스크톱 경험을 모방하여, 보다 쉬운 관리와 보안 향상을 위해 자원을 봉입한다.
예를 들어 민감한 애플리케이션이나 데이터는 사용자를 선택하기 위해 알 필요에 기초해 배치될 수 있으며,가상화된 데스크톱은 디폴트로 고립이 되기 때문에 공격자가 액세스를 확보할 수 있는 위험이 줄어든다. VDI로 인한 표준화도 또한 패칭을 보다 수월하게 만들어 준다.
이 모든 것들은 IT에게 좋은 소식이긴 하지만 그렇다고 VDI를 대부분의 조직에서 쉽게 설득할 수 있을 것 같지는 않다. 제대로 하려면 확실한 정당화와 제어되는 배치 방법론, 그리고 사용자를 교육시킬 수 있도록 이점 대 한계요소에 대한 현실적 그림이 필요할 것이다.
