본문 바로가기

OSS on Azure/보안

Azure confidential 컴퓨팅 - TEE 기반 데이터 보호, 인텔 SGX도 지원.. 이 정도면 뭐 엄청 안전한 클라우드 환경!

*글 최초 발행일자: 2018.03.29

 

클라우드 컴퓨팅, 몇 년 전만 해도 다들 '보안' 걱정 때문에 ~ 라며 말꼬리를 흐리는 이들이 많았습니다. 
이런 우려는 해가 갈수록 쓸데없는 걱정이 되는 분위기입니다. 
오늘 소개할 컴퓨팅 모델을 알면 온프레미스 보다 신뢰성이 더 높다는 느낌이 팍팍 듭니다. 

클라우드 보안성을 신뢰 못 하면 뭘 믿을 수 있다는 소리?

이런 말 ~ 잘 쓰지 않지만! 오늘 소개할 내용은 중요한 소식이라 업계 최초란 표현을 좀 쓰겠습니다. 
마이크로소프트 애저(Azure) 이용 기업은 2018년 보안에 대해 기대 좀 해도 되겠습니다. 애저가 업체 최초의 데이터 보호 기능을 제공합니다. 정식 명칭은 'Azure Confidential Computing(이하 애저 컨피덴셜 컴퓨팅)' 입니다. 

이게 뭔 기능이냐 하면 클라우드 환경에 있는 데이터에 대한 통제력을 더욱 강화하는 것입니다. 온프레미스이건 클라우드이건 해커가 노리는 것은 '데이터'입니다. 원하는 정보를 빼내기 위해 해커가 하는 것은 보안 체계에서 가장 취약한 엔드포인트 장치(사용자나 관리자의 기기)를 통해 초기 침투를 한 다음 권한 상승을 통해 내부 이동을 하면서 중요 시스템에 접근하는 것입니다. 즉, 데이터 유출이란 결국 중요 데이터에 접근할 수 있는 권한을 손에 넣는 것에서부터 출발하는 것입니다. 

애저 컨피덴셜 컴퓨팅은 맬웨어를 통한 감염과 함께 운영체제나 하이퍼바이저, 비즈니스 애플리케이션의 보안 취약점을 이용해 해커가 중요 데이터에 접근하는 것을 차단하는 것이 핵심입니다. 개념은 간단합니다. 클라우드에 있는 데이터는 TEE(Trusted Execution Environment)를 통해 보호됩니다. TEE에 있는 데이터는 외부에서 접근이 어렵습니다. 디버거를 동원해도 볼 수 없죠. 

TEE에 있는 데이터는 오직 인가된 코드만 접근할 수 있습니다. 만약 코드가 악의적 내외부인에 의해 수정되면, 접근이 거부되죠. 다음 그림을 보면 이해가 빠를 것입니다. 서버 관리자, 클라우드 관리자 어떤 이의 권한을 탈취해도 TEE에 있는 데이터는 맘대로 가져가기 어렵습니다. 오직 인가된 코드만 가능한데요. 물론 해킹이란 것이 모든 방어책을 우회하는 기법이 존재하기 마련이지만, 더 강한 안전장치가 있다는 것만으로도 얻을 수 있는 효과는 크다고 봅니다 .

애저는 두 가지 모드로 TEE를 지원합니다. 하나는 가상 보안 모드(Virtual Secure Mode, 이하 VSM)에서 돌아가는 TEE이고, 다른 하나는 물리적으로 인텔 프로세서에 내장된 인텔 SGX 기능를 이용하는 것입니다. VSM은 소프트웨어 기반에서 동작하며 윈도우 서버 2016과 윈도우 10의 하이퍼-V 환경에 구현할 수 있습니다.  

그럼 리눅스는 뭐냐? 걱정할 필요 없습니다. 애저가 제공하는 하드웨어 기반 인텔 SGX를 쓰면 됩니다. 뭔가 필요한데 싶으면 오픈 소스는 찾아 보면 됩니다. 그러면 누군가 작업을 하고 있습니다. 인텔 SGX 지원 역시 GitHub에 관련 프로젝트가 올라와 있으니 참조 바랍니다. 만약 어렵다 느껴진다면, 주저 말고 오픈 소스 전문가이자 애저 스페셜리스트인 락플레이스에 문의하면 됩니다. 

https://github.com/oscarlab/graphene

참고로 소프트웨어와 인텔 SGX 기반  TEE 제공은 애저가 업체 최초입니다. 

현재 마이크로소프트는 애저 컨피덴셜 컴퓨팅을 미리 맛볼 수 있는 프로그램을 진행 중입니다. 클라우드 보안 관련 로드맵을 수립 중이라면, 이 프로그램을 통해 TEE를 먼저 체험해 보길 추천합니다. 참고로 본 포스팅은 애저 블로그를 참조해 작성한 것입니다. 원문은 이 링크를 통해 확인할 수 있습니다. 

Azure Confidential Computing Early Access Program 

 

 

*이 외에도 락플레이스의(2021~) 최신 뉴스레터 소식을 받아보고 싶으시다면? *

락플레이스 뉴스레터 구독하기 click

 

 

*락플레이스 1:1 문의 바로가기*

 1:1 문의 바로가기 click

 

 락플레이스는 2005년에 출범하여 대한민국 리눅스의 역사와 성장을 함께 해온 오픈소스 전문 기업으로 국내 최다 엔지니어, 국내 최고 기술력, 국내외 유수기업 컨설팅의 풍부한 경험과 탄탄한 기술력으로 고객의 성공적인 오픈소스 플랫폼 구축과 응용 프로그램 전체 범위의 서비스를 제공하고 있습니다. 락플레이스는 레드햇코리아로부터 Elite Business Associate/Advanced Business Parter/채널 어워드 한국  파트너/FY15 champion 등을 수상 파트너며, Microsoft Microsoft Cloud Solution Partner(CSP)로서 함께하고 있습니다