Q. 기존 네트워크 환경에서의 보안과 클라우드 환경에서의 보안위협과 대응방안에 있어서의 차이점은 무엇인가?

A-1. 기존 네트워크 환경에서는 상호 분리된 다수의 물리적 시스템들과 네트워크 장비가 연결되는 구조를 갖지만, 가상화 기술로 구축된 클라우드 환경에서는 1대의 물리적 가상화 시스템 내에 다수의 가상머신들과 가상스위치(vSwitch)를 가지는 구조적인 차이가 있다.

추가적으로, 가상화 기술의 주요 요소로는 하이퍼바이저(Hypervisor)와 라이브 마이그레이션(Live Migration)이 있다. 여기서, 하이퍼바이저는 한 시스템의 자원(CPU, Memory, Disk 등)을 논리적으로 분배하고 복수개의 논리적 가상머신에 다양한 OS를 상호 연결해 주는 역할을 한다.

가상스위치는 하나의 물리적 NIC를 다수의 가상머신이 가상 NIC를 부여받아 공유해주는 역할을 하고, 라이브 마이그레이션은 물리적 가상화 시스템의 장애 발생, 과부하, 이용률 저조시 중단 없이 서비스를 제공하기 위해 가상머신을 종료하지 않고 다른 물리적 가상화 시스템으로 이동시키는 역할을 한다.

기존 보안장비는 물리 시스템 외부에서 네트워크 패킷을 감시하여 공격을 탐지할 수 있지만, 가상화 시스템 내부의 구조적 특성을 인식하지 못하므로 가상머신들 간에 발생하는 네트워크 공격 패킷을 감시하거나 탐지하지 못하는 한계가 있다.

그리고 가상화 시스템에서 발생되는 취약점 공격은 기존 ICT 환경과 기법이 동일하나 하이퍼바이저, 자원공유, 멀티테넌시 등의 구조적 특성에 의해 신규취약점 경로가 존재한다. 예로, 기존 OS 구조와 비교하여 하이퍼바이저 계층이 추가되면서 루트킷이 하이퍼바이저 영역에 위치할 경우에는 가상머신의 유저영역에서 동작하는 백신으로 탐지가 어렵다.

클라우드 환경에서는 가상머신이 이미지 파일 형태로 빈번하게 동적으로 변화(생성-저장-이동-삭제)되어 가상머신의 보안관리가 복잡해지는 문제가 있고, 악성코드에 감염된 가상머신이 탐지 이전에 라이브 마이그레이션 기능에 의해 다른 가상화 시스템으로 이동될 경우에는 정보유출, DoS 공격수행 등의 보안위협이 발생할 수 있다.

또한, 정상 사용자로 가장하여 저렴한 비용으로 클라우드의 가상머신 임대 서비스를 받을 수 있기 때문에 기존 ICT 환경보다 손쉽게 다수의 좀비 시스템을 확보하여 공격에 악용할 수 있다.

이와 같은 클라우드 환경에서의 보안위협에 대응하기 위해서 기본적으로 하이퍼바이저, 가상스위치 등 가상화 기술의 구조적 특성을 인식하면서 가상화 시스템 내부의 가상머신 간 트래픽을 분석해야 한다.

또한 대응하기 위한 기술로 가상머신 간 DoS 공격 등을 탐지 및 차단하는 가상화 네트워크 침입방지 기술과 하이퍼바이저 레벨에서 악성행위 은닉 기능을 가진 하이퍼바이저 루트킷 등을 탐지하는 가상머신의 악성행위 분석 및 탐지 기술이 있다. 뿐만 아니라 다수 가상머신들의 동적 변화 및 보안 상태(악성코드 감염, 보안 미패치 등)를 관리하고, 악성 가상머신을 격리 및 치료할 수 있는 클라우드 통합보안관제 기술이 있다.
(정일안 한국인터넷진흥원 정보보호기술개발팀 책임연구원/qubcia@kisa.or.kr)

A-2. 클라우드 환경이라고 해서 새로운 이슈가 발생하는 것은 아니다. 단지 환경이 기존 네트워크에서 클라우드로 옮겨지는 것이다. 하지만 새로운 관리체계 적용을 통한 위협관리는 필수이다.

먼저, 클라우드 환경에서는 기존에 알려진 중요 정보 침해보다 알려지지 않은 위협에 대한 관리가 더욱 중요하다. 알려지지 않은 취약점을 타깃으로 발생하는 공격에 대비해 ‘비정상행위 탐지’가 필수이다.

비정상행위 탐지는 사용자의 정상행위 패턴이나 비정상행위 패턴을 정의한 행위 프로파일을 이용해 모니터링을 수행하는 방법을 말한다.


이를 위해서는 보안사고 분석전문가의 지속적인 모니터링도 이뤄져야 한다. 또한, 기업들의 정보 침해에 대한 한계점 극복을 위해서는 종합적인 관리체계 적용도 필수다.

클라우드 환경에서의 정보관리 프로세스, 관리체계, 시스템 및 법제도를 모두 아우를 수 있어야 한다는 것이다. 뿐만 아니라 보안기술을 적용할 때도 기존의 솔루션 중심이 아닌 행위기반의 보안이 필요하다.

솔루션 기반의 보안은 이미 알려진 공격 패턴 외 공격으로도 손쉽게 우회할 수 있기 때문이다. 그만큼 보안위협에 이미 많이 노출되어 있어 실제적인 보안기술의 적용이 필요하다.

이 밖에도 발생하는 이벤트에 대한 철저한 조사와 분석으로 상관관계를 발빠르게 파악해야 하며, IT컴플라이언스와의 연계를 통한 보안체계 관리가 적용되어야 한다.

클라우드 컴퓨팅은 웹기반 프로세싱으로 공유되는 자원, 소프트웨어, 정보를 사용자 요구에 따라 인터넷을 통해 제공되므로 클라우드 환경에서의 보안은 웹을 중심으로 애플리케이션 보안을 강화하는 것이 최우선돼야 할 것이다.
(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)

A-3. 네트워크 환경에서는 정보를 보관하는 서버 보안과 정보가 전달되는 과정의 네트워크 보안 대책이 필요하지만, 클라우드 환경에서는 multi-tenant 환경을 고려해야 하므로, 서비스 제공자가 여러 고객에게 제공되는 자원간의 상호 간섭의 차단이 매우 중요하다고 본다.

또한, 한 클라우드 사용자에게 지속적으로 종속되는 것도 큰 문제이므로, 데이터 형식의 이식성을 고려해 데이터 형식을 표준화된 형식으로 이용하는 서비스 제공자의 선택도 중요하다고 볼 수 있다.
(염흥열 순천향대학교 정보보호학과 교수/hyyoum@sch.ac.kr)

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>