가상화 기술과 데스크탑 보안 -안철수연구소 서비스개발팀 선임연구원 황용석 2008년 IT의 이슈는 단연 가상화 일 것이다. 가상화 기술을 소개하는 컬럼과 기사가 자주 눈에 띠기 시작하고, MS, 선, EMC 등과 같은 글로벌 업체들이 앞다투어 가상화 관련 기업을 사 모으고 있다. 전통적으로 가상화는 파티셔닝을 통하여 자원을 효과적으로 사용하고, 단일 하드웨어에 복수의 어플리케이션을 실행함으로써 관리비용을 줄이는 것이 목적이었다. 오늘날에는 이런 효율성을 넘어서 다양한 목적으로 가상화 기술을 사용하고 있다. 최근 몇 년간 가상화 기술을 보안에 적용하여 더 높은 수준의 보안을 구현하려는 시도가 계속되어 왔고 이를 기반으로 한 보안제품들이 하나 둘 선보이고 있다. 가상화는 1960년대에 시작된 생각보다 오래 묵은 기술이다. 오래된 기술이다 보니 기술적으로 성숙되어 있고, 가상화라는 개념이 적용된 기술 분야 또한 광범위하다. 게다가 최근에 가상화 붐이 일면서 마케팅을 목적으로 여기저기에 가상화라는 단어를 사용하다 보니 가상화 라고 만 언급해서는 어디에 쓰는 물건인지 정확히 알기 어려운 것이 사실이다. 가상화 솔루션과 기술 그리고 그 구현방법간의 상관관계를 한눈에 볼 수 있게 그려보면 다음과 같다. 그림 1 가상화 적용분야, 가상화 기술, 가상화 구현기법 이중 단말보안과 관련된 기술은 Server, Desktop PC, Storage, Network, Profile Virtualization이며 구현기법은 OS-Level Virtualization, Native Virtualization, VPN 등이다. 현재 상용제품에서 가장 많이 사용되고 있는 구현기법은 OS-Level Virtualization이다. 이는 운영체제에 파일시스템 등을 포함하는 가상머신을 만들고, Application-구체적으로는 User Mode의 Process를 가상머신에서 동작하게 한다. Application이 가상공간에서 동작시키고 Application의 동작을 적절히 통제하여 여러 가지 보안기능을 구현하게 된다.
그림 2 OS-Level Virtualization Architecture 그림2에서 보는 바와 같이 운영체제의 커널에 Virtualization Layer를 설치하여 가상머신을 생성하고 Application을 실행한다. 윈도우의 경우 File, Registry, 프로세스, 네트워크 등이 가상머신으로 제공되며, 가상머신에서 동작하는 어플리케이션은 물리적인 파일시스템에 직접 접근하지 못하고, 가상머신이 제공하는 자원으로 접근하게 된다. 이 과정은 어플리케이션에 Transparent하게 적용됨으로써 어플리케이션은 특별한 방법을 통하지 않고서는 가상머신에 들어있는지 아닌지를 알아챌 수 없게 된다. OS-Level Virtualization은 타 방법에 비해서 빠른 성능을 제공하며, 적당한 수준의 가상화 수준을 제공하기 때문에 Application Streaming, Desktop Streaming 등 다양한 가상화 솔루션에 사용되며, DLP(Data Loss Protection, VPN(Virtual Private Network) 등과 같은 보안 솔루션에도 응용된다. 가상화 기술간 성능 비교
그림 3 가상화 기술간 성능 비교 *ISA 가상화 ISA(Instruction Set Architecture) 즉 CPU명령어를 가상화하는 가상화 기법이다. 가상공간에서 실행시키고자 하는 실행파일을 로드하고, 실행코드를 호스트머신의 ISA로 변환하여 실행한다. 이 방법은 가상공간에 다양한 CPU를 제공할 수 있는 장점이 있는 반면, 실시간으로 ISA를 변환해야 하기 때문에 비효율 적이고 느리다. 이 유형의 제품으로 Bochs, PearPC, QEMU 등이 있다. *Native 가상화 CPU를 제외한 하드웨어를 가상화하여 가상머신을 제공한다. 가상머신에 Guest OS를 설치하여 운영하게 되며, 높은 가상화 정도와 ISA가상화에 보다 빠른 성능을 제공한다. 이 유형의 제품으로 Parallels, VirtualBox, Virtual PC, VMWare Workstation 등이 있다. 보안제품에서 OS레벨 가상화는 주로 웹브라우져를 가상공간에서 실행하여 웹브라우져를 통한 공격을 사전에 차단하기 위해서 사용된다. 웹브라우져를 통한 대표적인 공격유형은 Drive-bydownload로 웹서버에 존재하고 있다가 사용자가 홈페이지를 방문하면 사용자가 알아채지 못하도록 다운로드 되어 실행된다. 이런 유형의 악성코드는 웹브라우져에 존재하는 다양한 취약점을 사용하여 실행되기 때문에 자동 업데이트를 통해서 시스템을 최신상태로 유지하는 것이 중요하다. 그러나, 최신상태로 유지한다고 해서 안심할 수만은 없다. 왜냐하면 당신의 PC를 노리는 해커는 더 교활하기 때문이다. 최근에 이 유형의 악성코드를 제작하는 해커들은 MS에서 배포하는 업데이트를 자동분석하여 취약점을 공격하는 코드를 생성한다고 한다. MS가 업데이트를 배포해도 업데이트를 즉각 설치하지 않는 시스템이 상당수가 되기 때문에 해커가 노릴 수 있는 시스템이 상당수가 된다. 이런 공백은 OS레벨 가상화로 구현된 웹브라우져 보호를 통해서 해결 할 수 있다. 나도 모르게 당하는 Drive-by-download 공격 도대체 어떻게 웹 서핑 중 나도 모르게 공격 당한다는 것일까? 최근 Microsoft와 같은 OS벤더에서 보안성을 높이기 위하여 많은 노력을 하고, 각 기관에서 망을 구성할 때 방화벽과 같은 보안 장비를 기본적으로 설치함에 따라서 과거와 같이 외부에서 네트워크를 통해서 운영체제의 취약점을 검색을 통해서 내부망에 침투하는 것이 어려워졌다. 따라서, 해커들은 다른 공격방법을 찾게 되었는데 그것이 바로 웹어플리케이션을 공격하는 것이다. OS자체의 취약점이 많이 없어졌기 때문에 third 파티가 개발하는 어플리케이션을 공격하기 시작했다. 웹어플리케이션은 외부로 서비스를 제공하기 때문에 보안에 철저히 신경써서 개발되어야 하지만, 실제로는 개발일정이라던가 개발자의 교육수준 등의 이유로 보안은 무시되기 일쑤이다. 이렇게 보안의 우선순위가 뒷전으로 밀려있기 때문에 일부 해커들은 어떤 사이트든지
이틀 안에 해킹해 주겠다고 호언장담까지 하는 실정이다. 지난 LG전자 홈페이지의 이력서 유출사건이나 최근 청와대, 한나라당 홈페이지 해킹사건이 이 범주에 속한다고 할 수 있다. 과거의 해킹은 이와 같이 서버를 해킹한 이후에 홈페이지에 이상한 사진을 올리면서 장난을 치거나, 아니면 내부망으로 더 깊숙이 침투해 들어가서 정보를 빼내오는 것이 주류였다. 반면 오늘날에는 여기에서 그치지 않는다. 해킹한 웹서버를 숙주로 방문자를 무차별적으로 공격하기 위해서 서버를 해킹한 사실을 은폐하고, 해킹한 웹서버를 방문하는 방문자를 공격하는 코드를 업로드하여 몰래 심어두고 있다. 웹서버에 업로드된 공격코드는 홈페이지를 방문하는 사용자의 웹브라우저나 운영체제의 버전을 확인하고 해당 버전이 가진 취약점을 확인한다. 웹브라우저에서 취약점이 발견되면, 웹브라우저가 요청한 페이지와 함께 이를 공격하는 코드를 내려보내어 웹브라우져를 해킹한다. 일단 웹브라우져가 해킹되면 더욱 강력한 코드를 웹서버에서 추가적으로 다운로드하여 실행하여 시스템의 모든 권한을 획득하게 된다. 이와 같은 방식의 공격을 Drive-by-download한다. 모든 권한을 획득한 다음에는? 당연히 개인정보 나 기타 중요한 정보를 침탈하려는 시도를 할 것이다. 또한, 이 공격은 해킹된 웹서버를 방문하는 모든 사용자를 대상으로 눈치 못채게 진행되기 때문에 순식간에 퍼져나갈 수 있다. 방화벽으로 보호되고 있는 네트워크라 해도 이렇게 Drive-by-download로 공격당한 사용자를 제2, 제3의 숙주로 삼아서 내부망으로 침입해 갈 수 있기 때문에 그 파괴력 또한 엄청나다고 할 수 있다. 청와대나 국정원 등의 PC가 공격당했다라고 했을 때 일어날 일은 상상도 하기 싫다. 최근의 해커들은 한발 더 나아가서 깜찍한 짓을 벌이고 있는데, 바로 자동으로 취약한 웹서버를 찾아내고 공격코드를 심는 상용(??!!!) 해킹툴을 제작해서 팔고 있는 것이다. 애프터서비스와 업데이트까지 해준다고 하니 나름 서비스 정신까지 갖추고 있다. 심지어는 SLA(Service Level Agreement)까지 제공한다고 한다. 불법적인 도구를 팔면서 합법적인 계약을 하려고 하는 게 정말 깜찍하지 않은가? 그림 4 drive-by download 공격 시나리오
OS레벨 가상화를 사용한 본격적인 데스크톱 보안제품으로는 구글에 인수된 GreenBorder가 있다. GreenBorder는 IE를 가상공간에 가둠으로써 IE에서 실행된 악성코드가 운영체제에 영향을 끼치지 못하도록 차단하는 제품이다. 아래 그림4와 같이 가상공간에 갇힌 IE는 녹색으로 테두리가 쳐진다. GreenBorder는 2007년 5월에 구글에 인수되고 나서 더 이상 판매되지 않고 있으며, 지금까지 구글을 통해서 후속 제품이나 서비스가 발표되지 않고 있어서 궁금증을 자아내고 있다. 그림 5 구글이 인수한 GreenBorder(GreenBorder 홈페이지에서 발췌) 유사한 개념의 제품으로 체크포인트의 ZoneAlarm ForceField가 있다. 이 제품 또한 GreenBorder와 같은 OS레벨가상화를 사용하여 IE를 가상공간에서 실행하다. 보안업체에서 본격적으로 발표한 제품답게, 가상화 기능에 위협사이트 차단이나 보호된 브라우저 등 보안 기능이 추가되었다.
그림 6 체크포인트의 ForceField(ForceField 홈페이지에서 발췌) ForceField는 아래 그림과 가상화 개념을 이해하기 쉽도록 플래시로 설명하고 있다. 왼쪽 사람은 공격받은 마네킹으로 가상공간에서 실행된 IE를 나타내며, 오른쪽 사람은 가상화된 마네킹 덕에 공격받지 않은 운영체제 본체를 나타낸다. 그림 7 ForceField의 가상화 개념 설명(ForceField 홈페이지에서 발췌) IE를 가상공간에서 실행하여 Drive-by-download유형의 공격으로부터 시스템을 보호하는 제품을 정리해 보면 다음과 같다. 이들 제품들은 대부분 작은 업체에서 이제 막 버전 1.0을 낸 상태여서 아직은 일반사용자가 사용하기에 좀 어렵지만, 개인방화벽 제품이 그랬듯 조만간 메이저업체의
통합보안제품에 기본 포함될 것으로 기대된다. (개인방화벽제품도 제품의 개념이 어려워 처음에는 독립제품 형태였다가 기능이 쉽게 다듬어진 뒤 통합보안제품에 포함되었다.) IE를 가상화하여 데스크탑을 보호하는 보안제품 들 ForceField, Check Point Software Technologies, Ltd. GreenBorder, Google Inc. SandBoxie, Ronen Tzur BufferZone, TrustWare, Ltd ShadowSurfer, StorageCraft Technology Corp. GeSWall, GentleSecurity S.a.r.l. VELite, SECUREOL Virtual Sandbox, Fortres Grand Corporation 이외에도 OS레벨 가상화 기법은 웹브라우저를 가상화하는 보안 제품뿐만 아니라 DLP(Data Loss Protection)이나 DRM(Digital Right Management)등의 제품에도 알게 모르게 사용되고 있다. 최근에 인텔과 AMD가 제조하는 CPU들은 가상화 기능을 하드웨어적으로 제공하고 있다. 인텔의 경우 Pentium4, Xeon, Pentium D의 일부 CPU들과 Core Duo와 Core 2 Duo의 대부분의 CPU에서 Intel-VT(Virtualization Technology)라는 가상화 기능을 제공하며, AMD의 경우에는 Athlon 64, Turion 64, Opteron의 일부와 Phenom 이후의 CPU에서 AMD-V란 이름으로 가상화 기능을 제공하고 있다. 현재 이들 CPU 들은 CPU와 메모리를 가상화하는 명령어를 제공하고 있으며, 차후 I/O까지 가상화 할 수 있도록 기능을 확장할 계획을 진행하고 있다. 이 기술은 Native Virtualization을 제공하는 S/W가 보다 빠르고 완전하게 가상화를 제공할 수 있도록 지원하기 위하여 도입된 기술로 VMWare나 Virtual PC 등 Native Virtualization을 제공하는 많은 가상화 어플리케이션에서 이 기술을 적용하고 있다. 그림 8 Hardware-supported Virtualization Architecture CPU는 위 그림8과 같은 형태로 가상화 기능을 제공한다. 그림에서 Guest 0와 Guest 1은 CPU가 생성한 가상머신을 나타내며 VM Monitor는 가상머신을 관리하는 프로그램으로 보통 Hypervisor라고 불린다. VMWare와 같은 가상머신 관리자는 Hypervisor로 실행되게 되며, 가상머신 내에서 동작하는 운영체제는 본인이 가상머신에서 동작하는지 아닌지를 더욱 더 구별할 수 없게 되어 보다 높은 수준의 가상화를 제공하게 된다. 그런데, 재미있는 일이 있어났다. 2006년 8월 국제 보안 컨퍼런스인 Black Hat에서 Joanna Rutkowska란 폴란드 여성 보안전문가가 위의 하드웨어 가상화 기술을 활용하여 현존하는 기술로
탐지할 수 없는 악성코드(루트킷)를 발표한 것이다. 그 동작원리는 다음과 같다. 그림 9 하드웨어 가상화로 실행되는 루트킷 시스템에 침입한 악성코드가 CPU의 도움을 받아서 Hypervisor로 실행되면, 원래의 OS는 Guest로 동작하게 된다. Hypervisor로 실행되는 악성코드는 시스템을 주무를 수 있는 모든 권한을 가지게 되고, 원래의 OS에 보안제품이 탐지할 수 없는 상태가 된다. 이를 거꾸로 응용하면 Hypervisor로 실행되면서 루트킷을 찾는 루트킷 디텍터 프로그램도 개발 가능하다. 루트킷은 처음 실행될 때 자신을 탐지할 수 있는 보안제품이나 어떤 장치가 되어 있는지를 검사하곤 한다. 그런데, 루트킷 디텍터가 Hypervisor로 동작하면 운영체제에는 어떠한 조작도 가하지 않기 때문에 루트킷은 루트킷 디텍터를 탐지하지 못하고 원래의 행동을 실행한다. 이 때, Hypervisor로 실행중인 디텍터가 루르킷의 덜미를 잡을 수 있다. 아래 그림10은 하드웨어 가상화를 사용하여 루트킷을 찾아내는 프로그램인 Hypesight Rootkit Detector이다. 평화적 목적인 발전소로도 또 대량 살상 무기인 핵폭탄으로도 사용되는 원자력기술처럼 가상화 기술도 평화적인 목적으로도 해킹 기술로도 활용되는 것이 재미있다.
그림 10 하드웨어 가상화를 사용하는 루트킷 디텍터(NorthSecurityLabs홈페이지에서 발췌) 하드웨어 가상화는 Trusted Computing과 인텔의 vpro 기술 등에서 보안을 목적으로 사용된다. 하드웨어 가상화를 사용하여 Native Virtualization을 구현하고 가상머신에 윈도우 등의 운영체제를 올린다. 여기서 가상머신을 관리하는 Hypervisor는 네트워크 필터링, 악성코드 탐지, 애플리케이션과 데이터의 격리 및 통제 등의 보안 기능을 제공한다. Hypervisor에 보안기능을 구현하면 가상머신에서 동작하는 악성코드는 보안기능의 존재 유무를 알 수 없기 때문에 유리한 위치에 서며, 가상머신 전체에 대해서 무소불위의 권한을 갖기 때문에 강력하게 통제할 수 있다. 그림 11 가상화로 보호되는 OS환경(인텔 vpro 백서에서 발췌) 지금까지 보안 도메인에서 논의되고 있는 가상화에 대해서 개략적으로 살펴보았다. 가상화로 더욱 견고한 보안을 제공하는 제품들이 하나 둘 출시되고 있다. 앞으로 가상화를 활용한 보다 다양한 아이디어의 제품이 쏟아져 나올 것으로 기대 된다. 이들이 어떤 아이디어로 구현했는지를 살펴보며 제품을 선택하는 것도 재미있는 일이 될 것 같다.