4. 가상화 보안 제품을 비판적으로 주의 깊게 숙고하라

가상화 보안 제품 시장은 지속적으로 주의 깊게 지켜보아야 할 최신 업계다.

네트워크 보안 업체 소스파이어(Sourcefire)의 CTO이자 스노트(Snort) 침입 감지 프로젝트의 고안자인 마티 로쉬(Marty Roesch)는 “이것은 보안의 화려한 분야”라며 “사람들은 우리에게 우리가 무엇을 할 수 있는지 묻고 있다”고 말했다. 그러나 그는 그것이 기업들이 싸울만한 전투인지 의문을 표했다. 로쉬는 동일한 하드웨어에서 게스트 운영 시스템 사이에서 구동되는 인트라 VM(intra-VM) 트래픽이 “스위칭과 액세스 레이어에서의 트래픽보다 왜 그렇게 훨씬 더 중요”한지 물었다.

수년 동안 기업들은 내부 네트워크에 보안 정책을 적절히 갖추기 위해 고군분투해왔다. 모든 버추얼 스위치에 보안을 도입하기 위한 열정적인 노력이 실제 네트워크의 보안 문제를 해결하는 것 보다 우선시 되어서는 안 될 것이다.

로쉬는 “나는 200 서버 블레이드에 보안을 도입하는 것이 더 나은지, 또는 당신의 위협이 밖에서 오는 것인지를 물어야겠다. 모든 블레이드를 개별적으로 감시하는 센서를 갖는 것이 업링크에서 하나를 감시하는 것과 비교해 어떻게 더 나은가?”라고 말했다.

가상화 네트워크 보안 회사 리플렉스 시큐리티(Reflex Security)의 엔지니어링 부사장 애론 보컴(Aaron Bawcom)은 “우리는 다수의 판매점 단말 시스템(point-of-sale systems)을 해당 지역의 IT 인프라스트럭처를 처리하는 몇몇 서버들에 모아놓은 수백 개 지역의 고객들을 보아왔다. 천 개의 사이트에 그저 하나의 방화벽을 도입하는 비용을 조사해 본 적이 있는가?”라며 이런 식으로 도입하는 비용이 너무 크기 때문에 단지 신용카드 업계로부터의 벌금을 내는 회사들은 네트워크를 재설계하느니 위반을 감사하고자 한다고 설명했다.

보컴은 기업들이 지점의 서버들을 통합하기 위해 모든 지사마다 하드웨어를 도입하기보다 가상화를 익스플로이트 하는 것을 고려하기를 바란다. 단 하나의 물리적 서버와 세 개의 가상화 게스트를 관리하기만 하면 그것에 단지 버추얼 스위치를 추가하는 것만으로 네트워크 보안을 구현할 수 있다. 그는 “하드웨어 어플라이언스로는 ROI의 벽을 넘을 수 없다. 그러나 보안을 가상화하면 당신은 그것을 더욱 많이, 더 적은 비용과 더 많은 가치로 도입할 수 있다”고 주장했다.

로쉬와 보컴이 동의하는 분야는 보안 모니터링이다. 로쉬는 “네트워크 가시성은 그것을 가상화 어플라이언스로 하이퍼바이저 레벨에 도입할 때 성공적”이라며 “그 이유는 추출할 수 있는 툴이 있을 때 더 많은, 더 나은 정보를 얻을 수 있기 때문”이라고 말했다. 또한 보컴은 가상화는 기업들이 자신들의 시스템의 하향식 맵 뷰를 확보할 수 있게 해주며 적절한 시기에 변경된 것이 무엇인지 확인할 수 있게 해주어 관리에 관한 새로운 기회를 창출한다고 주장했다.

그러나 이러한 모든 장점에는 대가가 따른다. 호프는 “가상화는 보안 비용을 줄여주지 않는다”고 주장하며 “우리는 여전히 모든 곳에 똑같은 침입 감지, 똑같은 안티바이러스 등 동일한 에이전트를 도입하고 있다”고 말했다. 이것은 가상화 환경의 유연성이 오히려 약점이 될 수 있음을 의미한다. 그는 “가상화 보안 어플라이언스는 모든 싱글 트래픽 플로우를 차단할 것이 요구된다. 그것이 작동할 수 있을 만큼의 메모리와 CPU 제한을 갖고 있다고 생각될 때 비로소 10개 이상의 VM이 그 서버로 이동된다. 작업 처리량이 얼마나 필요할지 예상하기는 매우 어렵다”고 말했다.

가장 유명한 엔터프라이즈 가상화의 공급자는 단연 VMware이며 VMware는 여전히 보안에 만족하지 않는다. VMware는 가상화 보안을 제품이 아니라 하나의 기능으로 만들 수 있는 위치에 있다. 그러나 현재 이 회사는 애매한 태도를 보이고 있다. 최근 발표된 이 업체의 VMsafe는 제 3자 업체가 VMware 하이퍼바이저에 더욱 쉽게 접근할 수 있도록 해준다고 약속한다. 그러나 지난 해 이 회사는 주목받는 호스트 보안 회사 디터미나(Determina)를 인수했다. VMware는 자체적으로 알렉스 소티로프(Alex Sotirov), 오데드 호로비츠(Oded Horovitz)와 같은 연구자들로 구성된 최고 수준의 보안 연구팀을 지원하고 있다. 소티로프와 호로비츠는 모두 유명한 취약성 사냥꾼이며 아무 것도 안하고 앉아있기만 하는 사람들이 아니다.

궁극적으로 기업들은 가상화 보안 제품에 관해 적정량의 회의론적인 태도를 지닐 필요가 있다. 이에 관해 오먼디는 “사람들은 여전히 가상화가 보안의 묘약이 될 수 있다고 믿지만 그것은 현재의 실상을 반영하지 않고 있다”고 간단히 설명했다.

가상화 보안 제품들은 더 많은 보편적인 네트워크 보안 적용의 기회를 제공할 수 있지만 그러한 기회는 명백하고 경쟁력 있어야 하며 즉시 실행 가능해야만 한다.

5. 가상화 맬웨어 때문에 밤잠을 설치지 말라

명백하지 않고 경쟁력이 없으며 즉각 실행할 수도 없는 것이 있다. 바로 가상화된 맬웨어의 위협이다. 가상화 맬웨어(virtualized malware)는 무엇인가? 그것은 감염된 운영 시스템을 넘어 스스로를 숨기기 위해 하이퍼바이저 기술을 익스플로이트하는 트로이 목마 루트킷 소프트웨어다.

그렇다면 왜 가상화 성능의 이점을 이용하는 맬웨어의 새로운 물결이 나타나지 않는가? 컨셉이  증명된 루트킷을 개발하는 연구자들은 이것이 우리가 그것을 찾고 있지 않기 때문에, 혹은 우리의 현재 툴로 그것을 찾을 수 없기 때문이라고 주장할 수도 있다. 그러나 그것은 사실이 아니다.

지난 해 필자는 가상화 루트킷 감지를 위한 기술을 개발하기 위해 루트 랩(Root Labs)의 네이트 로손(Nate Lawson)과 시만텍(Symantec)의 피터 페리에(Peter Ferrie)와 함께 작업했다. 우리는 ‘감지할 수 없는’ 가상화 루트킷을 추적하는 것이 좋은 전략인지 의심하게 될 만큼 가상화 루트킷 감지의 다양한 방법을 발견했다. 우리 팀의 핵심적인 발견은 가상화는 그것을 찾지 않는 애플리케이션으로부터 스스로를 훌륭하게 감출 수 있다는 점과 그것으로 하드 드라이브를 계속 돌리게 할 수 있다는 점이다. 그러나 면밀히 살펴보면 비인가된 하이퍼바이저는 유난히 감추기 어려운 신호를 남긴다.

그러나 좋은 소식만 있는 것은 아니다. 루트킷 위협은 매우 현실적인 문제다. 이것은 애플리케이션 레이어를 괴롭히는 것 이상일 것이다. 숨어드는 루트킷에 대한 가상화 플랫폼이 고작 몇 개 있을 뿐이다. 우리는 그 플랫폼들을 감사할 수 있다. 그러나 백도어와 루트킷이 숨어들 수 있는 장소가 있는 수만 개의 애플리케이션이 있다. 의심할 바 없이 가상화 시대의 기업들은 경계 태세를 유지할 필요가 있을 것이다.

<글·토마스 파섹(Thomas Ptacek)>

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 95호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>