데이터센터 공개는 매우 대범한 행위... 그만큼 보안에 자신 있어
구글의 클라우드 플랫폼 고객 유치 위한 보고서일 수도
[보안뉴스 문가용 기자] 구글이 최근 자사 데이터센터의 인프라를 공개했다. 이 데이터센터는 구글이 온라인으로 제공하는 각종 서비스와 구글 클라우드 플랫폼(Google Cloud Platform, GCP)을 보호하는 곳이다. 데이터센터는 보통 외부인의 접근을 불허할뿐만 아니라 그 구조 역시 기밀 수준으로 숨겨져 있는 주요 부분으로 구글의 이런 행보는 매우 대담한 것으로 평가되고 있다.
.jpg)
구글이 이런 행동을 취한 것에는 크게 두 가지 이유가 있다. 1) GCP 고객 유치를 위해서, 그리고 2) 정보보안에 대한 구글의 자신감을 드러내가 위해서다. 구글이 공개한 바, 데이터센터의 인프라는 크게 여섯 개 층으로 구축되어 있다. 하드웨어 인프라, 서비스 부문, 사용자 데이터, 스토리지 서비스, 인터넷 통신, 사업 운영 보안이 바로 그것이다.
구글은 데이터센터를 직접 짓고 운영하고 있으며, 바이오메트릭 인증, 금속 센서, 감시 카메라, 차량 방호 시스템, 레이저 방어 시스템을 갖추고 있다고 구글은 밝혔다. 물론 구글이 다루는 모든 데이터가 구글 자사의 데이터센터에만 있는 건 아니다. 때에 따라 타사 데이터센터에 서버를 마련해둔 경우도 있다. 그런 경우도 구글은 독립으로 자사의 보안 장치를 덧댔다고 설명했다.
구글 데이터센터에는 수천 대의 서버가 있고, 이 서버들에는 구글이 직접 설계한 서버 보드가 있다. 구글은 “네트워크 중심부에 있는 서버와 외곽에 있는 시스템들에 이식되는 하드웨어 보안 칩의 경우도 저희가 직접 설계한다”며 “이 보안 칩은 구글이 합법적인 사용을 허락한 하드웨어들을 인증하는 기능을 가지고 있다”고 설명했다.
각종 구글 서비스들을 관장하는 서버들 사이에서는 ‘당연히 통과’되는 것이 없다. 같은 데이터센터 내에 있고, 바로 옆에 있는 서버끼리라도 철저하고 똑같은 인증 과정을 거쳐야만 통신을 시작한다. 서비스들 간 통신이 필요할 때도 암호화 기술 등으로 통제되고, 애플리케이션단에서의 인증 과정을 반드시 거친다. 민감한 서비스는 해당 서비스만을 위한 서버가 따로 마련되어 있다.
데이터센터에서 다른 데이터센터로 가는 WAN 트래픽은 전부 자동 암호화를 거친다. 이는 내부 트래픽 전체로 확대되고 있는 중이며, 데이터센터 내에는 하드웨어 암호화 가속기가 구축되고 있다. 사용자가 서비스 간 통신을 시작하면(예를 들어, 지메일 사용자가 연락처 정보를 접속하려고 할 때), 수명 주기가 매우 짧은 허가권이 발행되어 해당 지메일 사용자가 자기가 만든 연락처 목록에만 접속할 수 있도록 한다.
데이터 저장소의 경우 중앙 키 관리 서비스가 적용된다. 이 키 관리 서비스에서 발행하는 키를 사용해 저장된 데이터를 설정한 후 물리 저장소로 옮긴다. 보다 낮은 층위의 저장소에서는 애플리케이션 층위에서의 암호화 과정을 통해 악성 디스크 펌웨어 등의 공격을 막는다.
인터넷으로 제공되는 서비스들은 전부 구글 프론트 엔드(Google Front End, GFE)를 통해 밖으로 나간다. 모든 TLS 트래픽이 올바른 인증서를 사용하고, 동시에 완전 순방향 비밀(perfect forward secrecy)을 호환하도록 만들기 위해서다.
하드웨어와 소프트웨어 부하 분산 장치가 몇 겹으로 구성되어 있어 DoS 공격을 방어하는 게 가능해진다. 부하 분산 장치는 보고서를 중앙 DoS 서비스로 보내는데, 중앙 DoS 서비스가 DoS 공격을 탐지했을 경우, 부하 분산 장치는 관련 트래픽을 차단하거나 분산시킨다.
사용자 인증은 ‘사용자 이름’과 ‘암호’로만 이뤄져있지 않다. 여기에 다양한 정보들을 추가로 기입해야 한다. 2FA 즉 이중 인증이 가장 기본이다. 구글은 또한 FIDO 얼라이언스(FIDO)와의 협력으로 유니버설 세컨 팩터(Universal 2nd Factor)라는 오픈 표준을 개발하기도 했다.
또한 안전한 소프트웨어 개발을 위해 구글은 라이브러리와 프레임워크를 사용해 XSS 취약점을 제거하고 자동화된 툴을 사용해 버그를 탐지하며, 수동으로 보안 검사를 실시하기도 한다. 여기에 공공 버그바운티 프로그램도 진행해 일반인들을 자사의 보안 강화에도 참여시킨다. 이런 보안에 관한 갖가지 노력들을 구글은 자랑스러워 한다. “오픈SSL이나 하트블리도 문제도 저희 구글이 제일 먼저 보고한 것이고요, 구글 만큼 CVE를 많이 제보하는 곳도 없습니다.”
정보보안의 가장 궁극적인 적이라고 일컬어지는 ‘내부자 위협’에 대해 구글은 관리자 권한에 대한 접근과 사용 현황을 매우 면밀하게 검토하고 모니터링 한다고 답한다. “일상적인 관리자 계정 활동을 자동화로 모니터링 합니다. 특정 행위를 위해선 두 사람 이상이 인증하도록 해놓기도 했고, API에도 제한을 줘서 디버깅 과정 중에 민감한 정보가 새나가지 않도록 합니다.” 침입 탐지 및 대응 시스템에는 머신 러닝이 적용되고 있다. “규칙과 인공지능을 활용해 발생 가능성이 높은 사건들을 탐지해 즉각 조치를 취할 수 있게 합니다.”
마지막으로는 구글의 클라우드 플랫폼에 대한 이야기가 나온다. 데이터센터와 같은 구조로 설계가 되어 있으며, 같은 수준의 보안 장치들로 보호받고 있다고 한다. 거기에 더해 클라우드 서비스만의 보안 장치가 추가되어 있다. 그 한 예가 구글 컴퓨트 엔진(Google Compute Engine, GCE)이다.
구글의 클라우드 사업은 2016년 의미있는 성과를 거둔 바 있다. 플레이 스토어를 통한 디지털 콘텐츠 판매 사업과 함께 구글 클라우드 사업은 2조 4천억 원의 수익을 올렸으며, 이는 구글이 2016년 3사분기에 올린 전체 수익의 10%에 해당한다. 구글의 정보보안 체계에 대한 더 상세한 내용은 여기서 다운로드가 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]
구글의 클라우드 플랫폼 고객 유치 위한 보고서일 수도
[보안뉴스 문가용 기자] 구글이 최근 자사 데이터센터의 인프라를 공개했다. 이 데이터센터는 구글이 온라인으로 제공하는 각종 서비스와 구글 클라우드 플랫폼(Google Cloud Platform, GCP)을 보호하는 곳이다. 데이터센터는 보통 외부인의 접근을 불허할뿐만 아니라 그 구조 역시 기밀 수준으로 숨겨져 있는 주요 부분으로 구글의 이런 행보는 매우 대담한 것으로 평가되고 있다.
구글이 이런 행동을 취한 것에는 크게 두 가지 이유가 있다. 1) GCP 고객 유치를 위해서, 그리고 2) 정보보안에 대한 구글의 자신감을 드러내가 위해서다. 구글이 공개한 바, 데이터센터의 인프라는 크게 여섯 개 층으로 구축되어 있다. 하드웨어 인프라, 서비스 부문, 사용자 데이터, 스토리지 서비스, 인터넷 통신, 사업 운영 보안이 바로 그것이다.
구글은 데이터센터를 직접 짓고 운영하고 있으며, 바이오메트릭 인증, 금속 센서, 감시 카메라, 차량 방호 시스템, 레이저 방어 시스템을 갖추고 있다고 구글은 밝혔다. 물론 구글이 다루는 모든 데이터가 구글 자사의 데이터센터에만 있는 건 아니다. 때에 따라 타사 데이터센터에 서버를 마련해둔 경우도 있다. 그런 경우도 구글은 독립으로 자사의 보안 장치를 덧댔다고 설명했다.
구글 데이터센터에는 수천 대의 서버가 있고, 이 서버들에는 구글이 직접 설계한 서버 보드가 있다. 구글은 “네트워크 중심부에 있는 서버와 외곽에 있는 시스템들에 이식되는 하드웨어 보안 칩의 경우도 저희가 직접 설계한다”며 “이 보안 칩은 구글이 합법적인 사용을 허락한 하드웨어들을 인증하는 기능을 가지고 있다”고 설명했다.
각종 구글 서비스들을 관장하는 서버들 사이에서는 ‘당연히 통과’되는 것이 없다. 같은 데이터센터 내에 있고, 바로 옆에 있는 서버끼리라도 철저하고 똑같은 인증 과정을 거쳐야만 통신을 시작한다. 서비스들 간 통신이 필요할 때도 암호화 기술 등으로 통제되고, 애플리케이션단에서의 인증 과정을 반드시 거친다. 민감한 서비스는 해당 서비스만을 위한 서버가 따로 마련되어 있다.
데이터센터에서 다른 데이터센터로 가는 WAN 트래픽은 전부 자동 암호화를 거친다. 이는 내부 트래픽 전체로 확대되고 있는 중이며, 데이터센터 내에는 하드웨어 암호화 가속기가 구축되고 있다. 사용자가 서비스 간 통신을 시작하면(예를 들어, 지메일 사용자가 연락처 정보를 접속하려고 할 때), 수명 주기가 매우 짧은 허가권이 발행되어 해당 지메일 사용자가 자기가 만든 연락처 목록에만 접속할 수 있도록 한다.
데이터 저장소의 경우 중앙 키 관리 서비스가 적용된다. 이 키 관리 서비스에서 발행하는 키를 사용해 저장된 데이터를 설정한 후 물리 저장소로 옮긴다. 보다 낮은 층위의 저장소에서는 애플리케이션 층위에서의 암호화 과정을 통해 악성 디스크 펌웨어 등의 공격을 막는다.
인터넷으로 제공되는 서비스들은 전부 구글 프론트 엔드(Google Front End, GFE)를 통해 밖으로 나간다. 모든 TLS 트래픽이 올바른 인증서를 사용하고, 동시에 완전 순방향 비밀(perfect forward secrecy)을 호환하도록 만들기 위해서다.
하드웨어와 소프트웨어 부하 분산 장치가 몇 겹으로 구성되어 있어 DoS 공격을 방어하는 게 가능해진다. 부하 분산 장치는 보고서를 중앙 DoS 서비스로 보내는데, 중앙 DoS 서비스가 DoS 공격을 탐지했을 경우, 부하 분산 장치는 관련 트래픽을 차단하거나 분산시킨다.
사용자 인증은 ‘사용자 이름’과 ‘암호’로만 이뤄져있지 않다. 여기에 다양한 정보들을 추가로 기입해야 한다. 2FA 즉 이중 인증이 가장 기본이다. 구글은 또한 FIDO 얼라이언스(FIDO)와의 협력으로 유니버설 세컨 팩터(Universal 2nd Factor)라는 오픈 표준을 개발하기도 했다.
또한 안전한 소프트웨어 개발을 위해 구글은 라이브러리와 프레임워크를 사용해 XSS 취약점을 제거하고 자동화된 툴을 사용해 버그를 탐지하며, 수동으로 보안 검사를 실시하기도 한다. 여기에 공공 버그바운티 프로그램도 진행해 일반인들을 자사의 보안 강화에도 참여시킨다. 이런 보안에 관한 갖가지 노력들을 구글은 자랑스러워 한다. “오픈SSL이나 하트블리도 문제도 저희 구글이 제일 먼저 보고한 것이고요, 구글 만큼 CVE를 많이 제보하는 곳도 없습니다.”
정보보안의 가장 궁극적인 적이라고 일컬어지는 ‘내부자 위협’에 대해 구글은 관리자 권한에 대한 접근과 사용 현황을 매우 면밀하게 검토하고 모니터링 한다고 답한다. “일상적인 관리자 계정 활동을 자동화로 모니터링 합니다. 특정 행위를 위해선 두 사람 이상이 인증하도록 해놓기도 했고, API에도 제한을 줘서 디버깅 과정 중에 민감한 정보가 새나가지 않도록 합니다.” 침입 탐지 및 대응 시스템에는 머신 러닝이 적용되고 있다. “규칙과 인공지능을 활용해 발생 가능성이 높은 사건들을 탐지해 즉각 조치를 취할 수 있게 합니다.”
마지막으로는 구글의 클라우드 플랫폼에 대한 이야기가 나온다. 데이터센터와 같은 구조로 설계가 되어 있으며, 같은 수준의 보안 장치들로 보호받고 있다고 한다. 거기에 더해 클라우드 서비스만의 보안 장치가 추가되어 있다. 그 한 예가 구글 컴퓨트 엔진(Google Compute Engine, GCE)이다.
구글의 클라우드 사업은 2016년 의미있는 성과를 거둔 바 있다. 플레이 스토어를 통한 디지털 콘텐츠 판매 사업과 함께 구글 클라우드 사업은 2조 4천억 원의 수익을 올렸으며, 이는 구글이 2016년 3사분기에 올린 전체 수익의 10%에 해당한다. 구글의 정보보안 체계에 대한 더 상세한 내용은 여기서 다운로드가 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
