| 가상화, 이제는 보안에 초점을 맞춰라 | 2007.11.27 | |
가상화 기술은 안정성, 유연성, 보안성이 핵심
가상화가 무엇인가에 대해 여러 가지 방법으로 개념적 정의를 내릴 수 있지만, 간단히 요약하면 물리적으로 1개의 자원을 논리적으로 분할하여 효율적으로 사용하거나 물리적으로 다른 여러 개의 자원을 논리적으로 통합하는 기술로 볼 수 있다.
다르게 표현하자면 실제 존재하는 물리적 자원들을 논리적 자원들의 형태로 표시해 줌으로써 물리적 자원을 이용하는 사용자(또는 애플리케이션)에게는 논리적 형태로만 나타내 주는 기술로 설명할 수 있다. 가상화 기술이 이들 논리적 자원들과 실제 물리적 자원들에 대한 연결을 담당하기 때문에 가상화 자원을 이용하는 사용자는 더 이상 어떤 자원들이 사용되는지를 구체적으로 알 필요가 없어진다. 이처럼 가상화라는 중간 레이어(layer)를 이용하여 비즈니스 서비스와 애플리케이션을 서버와 소프트웨어 같은 물리적인 실제 자원들과 분리하는 형태는 사용자로 하여금 동일한 자원을 공유하게 하고 IT 자원들을 개별 자원이라기보다는 논리적인 자원 풀로서 사용하고 다룰 수 있게 해 준다. 요약하자면 가상화 기술은 실제로 존재하는 물리적 자원들에 대한 중재자 역할을 해 주는 기술로써 이와 같은 가상화 기술이 주목 받는 이유는 가상화 기술이 궁극적으로 자원의 비호환성을 극복할 수 있을 것으로 기대되기 때문이다. 가상화 레이어 그 동안 가상화는 일반적으로 서버, 스토리지 및 네트워크와 같은 전통적인 단위 하드웨어 자원에 많이 적용되어 왔다. 그러나 최근의 가상화는 단순히 하드웨어 차원의 IT 리소스에만 한정되지 않고 애플리케이션, 미들웨어, 분산 시스템 및 가상화 자원들 자체를 포함하여 비실체적인 자원들에 대해서도 확장되고 있다. 즉 미들웨어를 통한 워크로드의 가상화에는 업무 스케쥴러(job scheduler)가 이용될 수 있으며 애플리케이션 레벨의 가상화에는 애플리케이션 서버가 스스로 인스턴스를 제어하여 워크로드를 관리할 수도 있다. 이처럼 가상화는 하드웨어 자원뿐만 아니라 애플리케이션 및 관리 영역까지 IT와 관련된 모든 영역에 적용 가능하다. 향후 자원 가상화의 추세는 여전히 개별 하드웨어를 중심으로 발전해 나가겠지만 새로운 형태의 가상화 역량이 지속적으로 요구되고 있다. 가상화 레이어는 서비스 또는 애플리케이션이라는 사용자의 입장에서 바라볼 때 하위 계층에 있는 컴퓨팅 자원들을 추상화한다는 의미에서 붙여진 이름이며 하위 계층에 있는 컴퓨팅 자원들의 입장에서 바라볼 때에 가상화 레이어는 상위 계층에서 관리 감독을 하는 감독자(supervisor) 역할을 하는 셈이다. 결국 가상화는 top-down 방식에서 IT를 바라보면서 생겨난 용어라고 볼 수 있다. 가상화 기술의 우수성 판단 기준 : 안정성과 유연성 + 보안 수준 가상화 기술의 도입을 결정할 때 사용되는 기준으로 가상화 기술 자체의 높아진 유연성과 안정성과 유연성을 들 수 있다. 안정성이나 유연성 둘 중에서 어느 하나만 뛰어날 경우 우수한 가상화 기술이라고 볼 수 없다. 예를 들어 어떤 가상화 제품은 소프트웨어 방식을 채택하고 있어서 자원 공유의 유연성은 높지만, OS 상에서 또는 OS와 유사한 하이퍼바이저 상에서 구현되어서 안정성 면에서 상대적으로 취약한 면을 보이고 있다. 아무래도 하드웨어 방식의 파티셔닝이 안정성 면에서 좀 더 높은 우위를 나타낼 수 밖에 없다. 따라서 개별 기업들이 가상화 기술의 도입 여부를 판단할 때에는 안정성과 유연성 면에서 해당 기술이 높은 수준에 도달해 있는가를 먼저 살펴볼 필요가 있다. 여기에 추가적으로 검토되어야 하는 항목이 바로 보안 수준의 증대이다. 앞에서 언급한 프리젠터이션 가상화와 같이 가상화 기술 자체가 보안 수준을 향상시키는 데 적합하다면 더할 나위 없이 좋겠으나, 본래 추구하려는 1차적인 목적이 자원의 효율성 및 유연성 증대이라 하더라도 운영 과정 중에 발생할 수 있는 다양한 위험 요소들을 원천적으로 방지할 수 있는 굳건한(robust) 구조를 가질 필요가 있다. 세상에 공짜는 없다 가상화를 도입했을 때 얻을 수 있는 혜택으로는 IT 자원과 비즈니스와의 유기적 연결, 유연성의 증가를 얻을 수 있으며, 일반적으로 많이 이야기되는 TCO의 향상은 지속적으로 인하되는 자원(물리적 시스템 및 소프트웨어 모두 포함)의 가격으로 인해 그다지 큰 혜택이 되지 않고 있다. 오히려 최근에 가상화를 도입하였을 때 보안 수준의 증대가 TCO의 향상 효과를 대체하고 있는 실정이다. 아키텍처 관점에서 바라볼 때 가상화 레이어는 상위 사용자와 하위 자원에 대하여 중간에 위치하기 때문에 운영 관리 측면에서 전체 IT 인프라 운영의 단순화와 자원 효율의 극대화를 달성할 수 있다. 또한 보안 측면에서 관리 포인트가 가상화 레이어 계층으로 압축되므로 보안 상태를 유지하는 비용과 노력이 예전보다 줄어드는 장점이 있다. 반면에 악의적인 침입자에 의해 일단 관리 권한을 빼앗기면 모든 하위 자원들이 위험한 상태에 빠질 수 있다. 따라서 자원의 유연한 사용이라는 가상화의 일반적인 도입 목적 이외에도 해당 가상화 기술이 보안 측면을 충분히 고려하여 설계되었는지 함께 아울러 살펴볼 필요가 있다. 보안 침해는 주로 내부 사용자에 의한 것 그 동안 보안 기술 및 정책은 인터넷이라는 외부 네트워크와의 접점에서 주로 발생하는 문제로 많이 간주되어 왔다. 이에 따라 방화벽이나 기타 어플라이언스(appliance)를 이용해 네트워크상에서 흘러 다니는 바이러스, 웜, 스파이웨어 등의 악의적인 정보 수집 및 침탈을 방지하는 데에 초점을 맞추어 진행되어 왔다. 그러나 언론에 보도된 다수의 보안 사고들을 찬찬히 살펴보면 반도체 제조기술 유출, 선박 설계도면 유출 등 내부 사용자들에 의한 경우가 상당 부분을 차지하고 있음을 알 수 있다. 특히 핵심 기술 유출로 인한 경쟁력의 상실은 기업에게 치명적인 존재 위험을 야기할 수 있다. 따라서 IT 관리자는 플로우(flow) 중심의 네트워크 보안에만 치중할 것이 아니라, 내부 사용자의 다양한 접근 형태를 살펴보고 보안 수준을 높이기 위해서 상황별로 적합한 가상화 기술의 도입을 적극 검토할 필요가 있다. 먼저 외부 사용자에 대한 보안은 사용자 인증, 보안 취약점의 주기적인 패치 등 기존 보안 업무의 지속적인 강화에 주력할 필요가 있다. 공개 표준형 가상화 기술? 공개 소프트웨어의 경우 하나의 기술이 공개되면 이를 개선하려는 다양한 노력들이 결합되어 발전의 가속도가 붙는 것이 일반적 경향인 반면, 기술 공개로 인한 내부 구조의 결함들이 쉽게 발견되어 심각한 위험에 빠져들 수도 있다. 가상화 기술도 마찬가지로 공개 표준이라는 이슈에서 완전히 자유로울 수 없다. 가상화 기술 자체가 자원들간의 비호환성을 극복하려는 목적을 가지고 탄생되었기 있기 때문에 다양한 자원 요소들과 결합하기 위해서는 어느 정도 표준화되고 정형화된 연결 형태를 취할 수 밖에 없다. 그렇다고 해서 가상화 기술이 개방형 아키텍처로만 전적으로 나아가는 것은 여러 가지 보안상의 문제들을 발생시킬 수 있는 우려가 높다. 가상화 계층에 대한 외부 침입의 영향은 다른 IT 요소들에 비해 더 심각함을 고려할 때 가상화 기술은 어느 정도 폐쇄형 구조를 취할 수 밖에 없다. 다만 가상화 기술도 지속적으로 발전하는 유기적인 형태임을 고려할 때 어느 정도 오픈 소스와의 결합은 허용되는 방향으로 진행되어야 할 것이다. 인텔기반 서버 가상화 제품인 Xen이나 VMware가 리눅스 커널의 핵심 모듈을 채택한 것이 대표적인 사례이다. 아무튼 보안 이슈와 개발 가속화 사이에서 가상화 기술이 번창하려면 완전 폐쇄형 아키텍처와 공개 표준형 기술 사이에서 조화로운 균형이 이루어지는 중립적 아키텍처로 나아가야 할 것이다. <글: 신상용 한국IBM 시스템즈 테크놀로지 그룹, 전략 컴퓨팅 사업본부 과장>
[월간 정보보호21c 통권 제87호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
