시스템을 해커 공격에 더욱 취약하게 만드는 가상화 분석
저자:Eve Cole
업데이트 시간:2009-07-24 15:45:41
가상화 기술은 여러 운영 체제가 동일한 컴퓨터에서 응용 프로그램 소프트웨어를 실행할 수 있게 함으로써 IT 자원을 더 잘 관리하고 활용할 수 있기 때문에 IT 관리자의 관심을 끌었습니다.
그러나 일부 IT 관리자와 보안 연구원들은 가상화 도입으로 인해 기업 시스템이 해커에게 더욱 취약해질 수 있는 기술적 문제가 발생한다고 기업에 경고하고 있습니다.
가상 머신을 위한 IT 보안 및 규정 준수 프로그램은 단일 운영 체제와 애플리케이션 소프트웨어를 실행하는 서버보다 훨씬 더 복잡하다고 금융 서비스 회사의 기술 보안 책임자인 Chad Lorenc는 말했습니다.
"현재 가상 환경의 보안 문제를 해결할 수 있는 단일 솔루션을 찾는 것은 불가능합니다. 대신 고객, 프로세스, 기술 등 다양한 관점에서 고려해야 합니다."
가상화 기술을 통해 기업은 여러 시스템에서 실행되는 응용 프로그램 소프트웨어를 단일 서버에 통합할 수 있으므로 관리 요구 사항이 단순화되고 IT 하드웨어 리소스의 활용도가 향상됩니다. 그러나 이 기술이 나온 지 수년이 지났음에도 불구하고 IT 기업들은 최근에야 이 기술에 진지한 관심을 가지게 되었습니다. 동시에 Intel, AMD, VMware, Microsoft 및 IBM과 같은 회사에서도 많은 제품을 개발했습니다.
보안 회사의 기술 분석가인 George Gerchow는 IT 아키텍처가 가상화 도구로 전환하기 전에 여러 서버를 하나로 통합해도 보안 요구 사항이 바뀌지 않는다는 점을 이해해야 한다고 말했습니다.
실제로 그는 각 가상 서버가 기존 서버와 동일한 위협에 직면해 있다고 지적했습니다. "호스트 하나가 취약하면 해당 가상 머신의 모든 가상 게스트 머신과 엔터프라이즈 애플리케이션도 위험에 처하게 됩니다."라고 George는 말했습니다.
따라서 가상 머신을 실행하는 서버는 물리적 서버보다 더 많은 위험에 직면합니다.
그는 가상화 소프트웨어를 사용하면 개발자, 품질 보증 그룹 및 기타 기업 사용자가 가상 머신을 더 쉽게 생성할 수 있으며 기술적 취약점에 덜 취약하다고 지적했습니다. IT 관리자가 제어하지 않으면 이러한 가상 머신이 갑자기 나타나거나, 시스템 간에 이동하거나, 완전히 사라질 수 있습니다.
"IT 부서는 가상 머신이 어느 서버에 있는지, 어느 서버가 실행 중이고 어느 서버가 실행되지 않는지 이해하지 못하기 때문에 이 복잡한 시스템을 처리할 준비가 되어 있지 않은 경우가 많습니다." 기업에서는 필요할 때 시스템을 패치하거나 업그레이드할 수 없는 경우가 많습니다.
패치 시스템의 복잡성
IT 직원이 가상 머신에 무슨 일이 일어나고 있는지 이해하더라도 정기적인 보안 업그레이드를 수행하기 위해 패치를 설치하거나 시스템을 오프라인으로 전환하는 문제에 여전히 직면합니다. 가상 머신 수가 증가함에 따라 시스템 패치 및 애플리케이션 소프트웨어 업그레이드와 관련된 위험도 하나씩 증가합니다.
Lorenc은 기업이 가상 서버를 생성할 때 가상 머신을 빠르게 검사하고 발견할 수 있는 도구를 설치할 것을 권장합니다. 그는 또한 기업이 가상 머신 수의 확장을 제어하기 위해 엄격한 정책을 도입할 것을 제안했습니다. 동시에, IT 관리자가 가상 환경에서 기업의 각 응용 프로그램 소프트웨어의 작동을 명확하게 이해하는 것이 매우 중요합니다. 기업은 가상 머신에 대한 별도의 패치 프로세스를 수립하고 엄격한 개선 관리 정책을 수립하는 동시에 가상 환경에 대한 액세스를 제한해야 합니다.
우리는 여전히 향상된 관리 및 기술을 통해 이 분야의 일부 운영 프로세스를 스스로 성숙시켜야 하는 단계에 있습니다.
BT Radianzd의 최고 보안 책임자인 Lloyd Hession은 가상화를 통해 잠재적인 네트워크 액세스 경로 제어 문제도 드러났다고 말했습니다. 그는 이 기술을 사용하면 여러 액세스 요구 사항을 가진 다양한 애플리케이션 서버를 단일 IP 주소를 사용하는 단일 호스트에서 실행할 수 있다고 언급했습니다. 따라서 IT 관리자는 적절한 액세스 경로 제어 방법을 사용하여 네트워크 라이센스가 호스트의 가상 서버에 해당하는지 확인해야 합니다.
현재 대부분의 네트워크는 가상화되지 않습니다. 많은 네트워크 승인 제어 기술은 서버가 가상 머신인지 여부에 관계없이 "들어가기"와 "들어가지 않기" 결정을 알 수 없게 만듭니다.
또한 보안 전문가들은 주요 공급업체의 가상화 도구 기능 확장으로 인해 해커와 보안 연구원들이 보안 취약점과 시스템 공격 방법을 발견할 수 있는 미개척 코드를 대량으로 확보했다는 점에 주목했습니다.
이번 달 Microsoft는 사용자에게 운영 체제 및 응용 프로그램에 대한 통제되지 않은 액세스를 제공할 수 있는 가상화 소프트웨어의 결함을 해결하기 위한 패치를 출시했습니다. 이 결함은 중요하지만 치명적이지는 않은 것으로 평가되었습니다.
보안 전문가들은 가상화 기술이 대중화되면서 소프트웨어 패키지에 이러한 취약점이 더 많이 나타날 것이라고 말합니다.
가능한 결함
IBM 네트워크 시스템 부서의 X-Force 그룹 이사인 Kris Lamb은 가상 머신 제어 도구(관리 시스템의 가상화 기능)를 해커가 가상 머신을 공격할 수 있는 강력한 플랫폼으로 사용합니다.
하드웨어와 호스트의 다른 가상 머신 간의 경계로서 가상 머신 관리자는 콘솔을 사용하여 호스트 리소스를 관리합니다.
보안 전문가에 따르면 제어 소프트웨어는 종종 특정 하드웨어 수준에만 상주하며 운영 체제 및 애플리케이션 소프트웨어에 대해 감지할 수 없는 공격을 실행하는 데 사용됩니다. 실제로 보안 연구원들은 제어 소프트웨어가 어떻게 가상 머신 공격을 수행할 수 있는지 입증했다고 말합니다. 예를 들어, Microsoft와 University of Michigan의 연구원들은 올해 초 SubVirt를 발견했습니다. 이는 운영 체제에 가상 머신 컨트롤러를 설치하는 데 사용할 수 있는 "루트 파일"입니다. 이 동작을 통해 연구원들은 가상 머신을 완벽하게 제어할 수 있었습니다. .
Blue Pill이라는 유사한 공격 방법은 Joanne Rutkowska에 의해 개발되었습니다. Rutkowska의 "루트 파일" 공격 방법은 AMD의 보안 가상 머신인 코드명 Pacifica를 기반으로 합니다. SubVirt 공격 방법과 유사한 방법을 사용하여 가상 시스템을 공격하지만 IT 담당자가 발견한 적이 없습니다.
해커에게 이러한 소프트웨어는 표적을 제공합니다.