‘VM’ 보안 위한 AMD SEV, 큰 폭의 업그레이드 ‘SEV-SNP’ 추가
N2D 및 C2D보안 강화 ‘C3D 머신’으로 ‘기밀 VM’ 가용성 확장
인텔 TDX 기술도 접목, 게스트 계정과 하이퍼바이즈 분리 ‘데이터 보호’

구글 클라우드이 '기밀 VM'의 보안 기능을 한층 강화한 기능을 출시했다. (사진=게티 이미지)
구글 클라우드이 '기밀 VM'의 보안 기능을 한층 강화한 기능을 출시했다. (사진=게티 이미지)

[애플경제 전윤미 기자] 구글 클라우드가 가상 머신(Virtual Machine, VM)에 대한 보안 기능을 한층 강화하는 등 다양한 새로운 기능을 제공하기로 했다. 2일 구글은 “엔터프라이즈 클라우드를 위한 VM 서비스 포트폴리오에 여러 가지 새로운 기능을 추가했다”며 이같이 밝혔다.

이에 따라 구글 클라우드 VM 사용자들은 AMD SEV의 새 버전인 ‘SEV-SNP’가 포함된 기밀(Confidential, 機密) VM과 이를 위한 자격 증명 기능을 제공받는다. 제3자는 물론, 클라우드 업체라도 VM에 저장된 데이터에 접속하거나, 변경할 수가 없게 된다는 얘기다. AMD의 SEV는 ‘Secure Encrypted Virtualization’의 약자로서, 클라우드 제공업체가 VM을 확인하거나 조작할 수 없도록 암호화하는 VM 보안 기능이다. 특히 이번에 추가된 ‘SEV-SNP’는 SEV의 최신 버전으로 VM 내부의 저장된 데이터를 변경하는 것까지 방지하는 첨단 보안 기능이다.

그래서 “이번 업그레이드의 핵심은 역시 N2D VM 시리즈에서 AMD SEV-SNP의 가용성을 확대한 점”이란 설명이다. 이를 통해 데이터 기밀성을 제공했던 이전 AMD 제품에, 한층 강화된 데이터 무결성과 하드웨어 기반 증명이 추가되었다. SEV-SNP는 데이터 재생과 메모리 리매핑 등과 같은, 하이퍼바이저에서 발생하는 사이버 공격을 효과적으로 방지할 수 있다,

클라우드 VM 이미지. (출처=셔터스톡)
클라우드 VM 이미지. (출처=셔터스톡)

VM 내부 데이터 임의 변경도 방지

VM은 일종의 컴퓨팅 환경으로, 격리된 시스템으로 작동하며 하드웨어 리소스 풀에서 만들어진 자체 CPU, 메모리, 네트워크 인터페이스, 스토리지를 포함한다. VM을 사용하면 하나의 컴퓨터에서 여러 운영 체제를 동시에 실행할 수 있다. 이를 위해 하이퍼바이저 소프트웨어가 필수 컴퓨팅 리소스를 격리하고, VM의 생성과 관리를 지원한다. 하이퍼바이저는 CPU, 메모리, 스토리지 등의 컴퓨팅 리소스를 처리하는 리소스 풀이다. 기존 게스트 간 또는 새로운 가상 머신에 쉽게 재배치할 수 있다.

특히 이번에 추가된 구글의 ‘기밀 VM’은 하드웨어 기반 암호화를 사용함으로써 데이터와 애플리케이션을 보호하며, 변조가 불가능하게 한다. 구글은 이참에 다양한 ‘기밀 VM’ 제품과 서비스를 제공하기로 했다. 이 회사는 블로그와 보도자료를 통해 “어디서든 데이터를 암호화할 수 있는 기능은 타사의 데이터 액세스에 대한 우려를 덜고, 클라우드 도입 장벽을 제거하는 데 도움이 된다”며 “이러한 장벽을 제거함으로써 IT 팀과 개발자가 좀더 중요한 업무에 한층 주력할 수 있도록 한다”고 취지를 밝혔다.

특히 AMD의 보안 암호화 가상화 기술인 ‘기밀 머신’이 ‘C3D 머신’ 시리즈에 추가되었다는 점에서 의미가 있다. 기존 범용 N2D VM과 C2D 머신 시리즈의 보안 성능을 강화, C3D 머신 시리즈로 ‘기밀 VM’ 가용성을 확장한 것이다.

본래 C3D는 곡선, 점, 삼각형, 어셈블리 및 바디와 같은 3D 모델의 기하학적 객체 데이터를 포함한다. 이때 C3D 파일은 C3D Labs 소프트웨어를 사용, 3D 모델을 교환하기 위한 기본 파일이기도 하다. 이같은 C3D 기반의 머신 시리즈가 이번에 AMD SEV를 탑재한 것이다. 이는 특히 ‘게스트’ 계정과 ‘하이퍼바이저’를 서로 분리함으로써 사용 중인 데이터를 보호하는게 특징이다. 이때 C3D VM의 크기는 4~360개 vCPU이며, 최대 2,880GB의 메모리를 보유할 수 있다. “C3D 머신 시리즈를 지원하는 곳이면 어디에서든 구글 클라우드의 AMD SEV가 있는 ‘기밀 VM’에 액세스할 수 있다”는 구글의 설명이다.

인텔 TDX 기술로 ‘기밀 머신’ 기능 한층 강화

C3 머신 시리즈의 ‘기밀 머신’은 특히 인텔의 TDX 기술과 함께 사용할 수 있다는 점도 특기할 만한 점이다. 인텔 TDX는 VM 내의 하드웨어 수준 격리를 통해 공격 표면을 좁히는 기술이다. 특히 데이터 센터나 클라우드에서 데이터와 응용 프로그램을 보호하고, 기밀성을 높이는 데 도움이 되는 최신 ‘기밀 컴퓨팅’ 기술이다. 이는 “데이터 무결성, 기밀성 및 신뢰성을 위한 하드웨어 기반의 신뢰할 수 있는 실행 환경을 제공한다”는 것이다.

또한 모든 C3 VM에는 AI나 머신러닝 작업을 지원하는 확장된 명령어 집합 아키텍처인 인텔의 AME(Advanced Matrix Extensions)가 있다. C3 머신의 인텔 TDX는 구글 클라우드가 보급된 지구촌 각지에서 사용할 수 있다. 구글 클라우드는 또한 AMD SEV-SNP가 있는 기밀 VM에서 실행되는 펌웨어를 추가하기 위해 펌웨어의 일종인 UEFI 바이너리도 출시했다.

구글 클라우드는 “아직도 많은 기업들은 ​​애플리케이션과 달리, 데이터를 별도의 실체로 본다. 그러나 현실은 데이터가 AI 모델에 큰 영향을 미치므로, 데이터를 안전하고 비공개로 유지하는 것이 필수적”이라고 ‘기밀 VM’의 보안 기능의 중요성을 강조했다.

키워드

#VM #기밀 VM #컨피덴셜 VM #구글 #구글 클라우드 #클라우드 #보안 #사이버보안
저작권자 © 애플경제 무단전재 및 재배포 금지