전체메뉴

[애플경제 엄정원 기자] 가상화는 클라우드 구축부터 재해 복구 전략에 이르기까지 모든 것을 뒷받침하는 현대 기업 IT의 중추로 자리 잡았다. 그럴수록 사이버공격의 위험도 따를 수 밖에 없다. 민첩성, 확장성, 비용 절감을 제공하지만, 적절한 제어 없이는 위협 노출 영역이 확대될 수 있다.

가상 머신(VM)은 물리적 하드웨어에서 워크로드를 추상화함으로써 유연성, 비용 효율성, 확장성 등에서 탁월한 이점을 제공한다. 이러한 추상화는 기존 베어 메탈 시스템과는 근본적으로 다른 고유한 보안 문제를 야기한다. 이에 가상 머신을 보호하는 것이 중요한 과제가 되고 있다. 특히 기업의 경우 사내 사이버 보안 팀과 IT 담당자가 배포 프로세스에서 이를 결코 간과해선 안 된다는 지적이다.

VM 자체가 아니라, 이를 구동하는 호스트가 위험

가상화 환경에서 가장 큰 위험 중 하나는 VM 자체가 아니라, 이를 구동하는 호스트에 있다. 실제로 이는 ‘포레스터’가 진작부터 경고해온 바 있다. ‘포레스터’는 “윈도우, 리눅스, 맥을 실행하는 물리적 서버와 달리, VM 호스트 자체를 위한 엔드포인트 보호/EDR 솔루션은 거의 없거나 아예 없다”고 했다. 또한 “관리 액세스를 재구성하거 제한함으로써 호스트 배포를 강화하고, 네트워크 기반 솔루션을 활용해 호스트에 대한 위협을 모니터링해야 한다”고 덧붙였다.

그러나 리소스 절약이나, 또는 사용자 활동이 적다는 이유로 게스트 서버에 로컬 보안 에이전트를 설치하지 않는 경우가 많다.

많은 전문가들은 특히 “테스트 환경이 문제가 많다”고 지적한다. 실제로 가상화는 항상 테스트와 관련되어 사용될 때가 많다. 데스크톱, 서버, 앱 등에서 앱이나, 구성, 충돌 등을 테스트하기 위해 가상 워크로드를 구축하곤 한다. 테스트가 완료되면 다시 VM을 삭제하는 경우도 흔하다.

문제는 테스트 환경이 보안을 염두에 두고 구축되는 경우가 드물다는 점이다. 테스트 서버가 보호되지 않은 상태로 운영되는 경우가 많다. 이에 공격 거점을 노린 범죄자들은 당연히 만만하고 ‘가성비’ 높은 테스트 환경을 공격하게 된다.

구성 오류로 인해 VM이 공격에 노출

VM과 관련된 가장 시급한 위험 중 하나는 구성 오류다. 이는 안전한 환경에도 취약점을 초래할 수 있다. “가상화된 환경에서의 구성 오류는 기본적인 보안 제어와 관련된 경우가 많기 때문에 특히 위험하다”는 경고다.

업계 전문가들에 의하면 잘못된 구성을 방지하기 위해선 여러 VM을 적절하게 관리하는 것이 필수적이다. 가상 인프라에 대한 무단 액세스는 심각한 위협을 초래한다. 흔히 잘못된 구성으로는 △VM 간 부적절한 네트워크 분할, △과도한 권한의 서비스 계정, △하이퍼바이저 관리 계층에 대한 취약한 액세스 제어 등이다.

이런 문제는 가상화가 운영되는 ‘규모’가 커질수록 더욱 심각해진다. 그래서 “자동화 스크립트에서 단 하나의 오류라도 수만 개의 VM 인스턴스에 취약점을 확산시킬 수 있다”는 전문가들이 경고다.

가상 환경의 엔드포인트 보안, ‘물리적 머신’과 유사

본래 엔드포인트 탐지 및 대응(EDR)과 엔드포인트 보호 플랫폼(EPP)은 물리적 머신과 동일한 방식으로 VM 내에서 작동한다. 다만 가상화는 성능 문제가 있다. 가장 큰 문제는 리소스 사용률이다. 그래서 “리소스 사용량을 급증시킬 수 있는 모든 검사를 인프라 내의 보조 서버로 돌림으로써 리소스를 낮게 유지할 수 있다.”는 조언도 새겨들을만 하다. 이런 방법은 특히 VDI 환경, 즉 기업이 수천 개의 VM을 여러 호스트에 분산 배치하는 경우에 유용하다.

가상화를 도입하는 기업이 가장 흔히 저지르는 실수 중 하나는 VM 보안을 뒷전으로 미루는 것이다. VM 전문기업 ‘인덱스 엔진’사에 의하면 흔히 기업들은 그저 가상화된 인프라 구축에만 급급해한다. 그로 인해 각종 보안 프로세스를 간과하고, 방어에 실패할 수 있다는 지적이다.

VM 확산 또한 문제가 된다. VM은 구축이 매우 쉽다. 그 때문에 IT 팀은 자칫 실행 중인 시스템에 대한 가시성을 확보하지 못하는 경우도 있다. 그렇게 관리되지 않는 ‘섀도우 워크로드’가 발생하는게 위험하다. 백업이나 복구 계획 또한 소홀히 하게 된다. 이 경우 기존 백업 방식으론 VM 환경의 상호 의존성이나, 빠른 변화에 대응하기 어렵다.

가상화 기능 자체가 또한 공격 벡터로 악용될 수 있다. 스냅샷, 복제, 라이브 마이그레이션과 같은 가상화 고유의 기능이 공격의 빌미를 제공할 수 있다.

IT기반 비즈니스 솔루션 업체인 ‘에스프리아’(Espria)는 ‘더 레지스터’에 “해커가 패치된 취약점을 되살리는 ‘타임머신’처럼 스냅샷을 활용할 수 있다”면서 “공격자가 제어권을 확보하면 이전의 취약한 상태로 롤백하거나, VM을 조용히 복제해서 데이터를 훔칠 수 있게된다”고 전했다.

특히 “라이브 마이그레이션은 가장 취약한 공격 대상이다. 암호화되거나 분할되지 않은 경우, 공격자는 트래픽을 탐지하고 이동 중인 전체 워크로드를 캡처할 수 있다.”고 경고했다. 이에 따르면 스냅샷은 탐지를 피하는 ‘휴면’ 상태로 맬웨어를 보관했다가, 나중에 복원하여 침해를 다시 활성화할 수도 있다는 우려다.

또한 공격자는 복제를 통해 여러 VM에 걸쳐 자신의 존재를 빠르게 확산시킨다. 가상화를 오히려 무기로 사용하는 셈이다. 특히 라이브 마이그레이션은 해커들에게 정교한 공격 기회를 제공한다. 마이그레이션 중에는 ‘소스 호스트’와 ‘대상 호스트’ 간의 보안 제어가 일치하지 않는, 짧은 시간이 발생할 수 있다. 고도의 기술을 지닌 공격자는 이런 허점을 절묘하게 이용해 공격에 나선다.

VM 확산과 섀도 VM의 위험

사전에 검증되지 않은 VM의 보급과 확산은 공격 표면을 빠르게 증가시킨다. 구매를 해야 하거나 랙 공간이 필요한 물리적 서버와 달리, VM은 액세스 권한이 있는 누구든 즉시 생성할 수 있다. 특히 IT 부서의 시야나 관리 동선 밖에서 실행되는 ‘섀도 VM’은 매우 위험하다. “섀도 VM은 보안 팀이 존재조차 모르기 때문에 방어할 수 없는 공격 벡터를 나타낼 수 있다”는 지적이다.

이에 새로운 기술들이 가상화의 보안 기반을 강화하기 시작했다. 기밀 컴퓨팅과 하드웨어 지원 격리는 하이퍼바이저와 소프트웨어 전용 제어에 대한 의존도를 줄임으로써 아키텍처상의 취약점을 해결할 수 있다. 암호화와 격리도 더 안전한 플랫폼을 제공한다. 이와 동시에 VM 관리자를 위한 최소 권한 액세스나, VM을 설정할 때 보안 관행을 준수하는 등의 노력도 필요하다는 주문이다.