국가 차원의 지원을 받는 해커들이 기업 네트워크에서 숨바꼭질을 하려 할 때면 시스템 관리권한이 주요 표적이 된다. 능숙한 공격자들은 시스어드민(sysadmin)을 탈취함으로써 네트워크를 장악할 수 있음을 누구보다 잘 알고 있다.
에드워드 스노든(Edward Snowden)에 의해 유출된 정보 중에는 한 NSA 관계자가 “나는 시스어드민을 사냥한다”고 자랑하는 슬라이드가 있다. 스노든에 대한 개인적인 평가는 차치하고라도 NSA를 비롯한 국가 소속의 ‘맹수’들이 그들의 먹잇감을 어떻게 생각하는지 보여주는 사례이다. 왕국의 열쇠를 부여 받은 시스어드민은 공격하기 쉽고도 효율적인 대상이다.
그렇다면 이러한 위협으로부터 기업과 지적 재산권, 고객 데이터의 무결성, 시스템 통제권 등을 어떻게 지킬 것인가?
보안이 강화된 쿠베스(Qubes) 운영체제(OS)가 효과적인 심화 방어 솔루션의 일부가 될 수 있다. ‘침해를 가정하고 구획 시키는 것’이 네트워크를 위해서나 운영체제 설계를 위해서나 현명한 일이다. 쿠베스 OS는 지난 8년간 운영체제 보안 혁신을 조용히 주도해 오고 있다.
‘블루 필(Blue Pill)’로 유명한 보안 연구원 조안나 루트코스카가 만든 쿠베스는 하이퍼바이저(현재는 젠)를 기반으로 구축돼 있다. 여러 개의 보안 도메인에 해당하는 여러 개의 가상머신(VM)으로 작업 구획이 가능하며, 따라서 동일한 머신에 있는 높은 보안 작업과 낮은 보안 작업을 분리하는 것이 가능해진다. 쿠베스는 현재 리눅스 VM과 윈도우 VM을 지원한다.
쿠베스를 개발한 인비저블 씽스 랩(Invisible Things Lab)의 최고통신책임자 앤드류 데이빗 웡은 쿠베스에 대해 “민감한 데이터를 안전하게 구분해야 하는 금융, 의료 등의 업계에서 특히 가치가 높다”라고 전제하고 “귀중한 지적 재산을 만들어 내는 동안 신뢰할 수 없는 자원에 접근해야 하는 지식 노동자들에게 특히 적합하다”라고 말했다.
즉 쿠베스는 분리 개념을 취하고 있다. 심지어 네트워킹을 별도의 신뢰할 수 없는 VM으로 분할하기까지 한다. USB 드라이버 역시 자체 VM으로 추방시킨다. USB 기반 맬웨어의 위험을 줄이기 위해서다.
네트워크가 없는 ‘볼트’(vault) VM은 코드 서명 키, 암호 관리자, 암호 화폐 지갑 등 끈질긴 공격자가 관심을 가질만한 민감한 데이터를 저장하기에 이상적이다. 또 1회용 VM은 유해한 웹사이트를 보는 위험을 줄여 준다. 아울러 “신뢰할 수 있는 PDF로 변환”이라는 쿠베스의 선구적인 기능은 채용 담당자들이 맬웨어에 감염된 입사 지원 신청서에 의한 피해를 막기 위해 현재 활용 중이다.
그러나 지금까지 쿠베스는 기업에서 많이 채택되지 않았다. 그 이유 중에는 자동 배치 및 원격 관리 기능이 부족하다는 점이 있다. 그러나 사정은 달라질 것이다. 쿠베스 4.0 출시가 임박했기 때문이다. 본 기사 작성 시간 현재 쿠베스 4.0은 릴리즈 캔디데이트 4 단계다.
기업 분야에의 적합성
쿠베스 4.0은 방어 기능을 갖춘 다수의 쿠베스 노트북 컴퓨터을 배치하고 관리할 수 있게 해주는 유연성을 기업에게 제공한다. 그와 동시에 강력한 종점 보안 특성을 유지시켜 준다. 이를 통해 시스템 관리자는 기술에 능숙한 사용자들(예: 조직 내 컴퓨터를 잘 아는 임원, 소프트웨어 개발자, 보안 연구원 등)에게 더욱 강력한 종점 보안을 더욱 쉽게 제공할 수 있다.
열린 암호 감사 프로젝트(OCAP ; Open Crypto Audit Project) 책임자 켄 화이트는 “이는 쿠베스에게 중요한 사건이다. 조안나와 그의 팀은 지속적으로 해내고 있다”면서 “보안에 특효약은 없지만 하드웨어 기반의 마이크로 VM과 세그먼트화된 작업 영역 구조는 흔한 취약점 문제 일체를 해결한다”라고 설명했다.
그는 이어 “현대 업무 환경에서 피할 수 없는 이메일 첨부 파일, 신뢰할 수 없는 출처의 PDF 파일, 마이크로소프트 오피스 문서 등은 모두 공격자들이 선호하는 침해 경로”라고 덧붙였다.
쿠베스의 두 가지 주요 구성 요소는 기업 사용자를 구체적으로 염두에 두고 설계됐다. 쿠베스 3.2부터 포함되어 있는 쿠베스 솔트(Qubes Salt) 스택 통합은 사용자의 필요에 맞게 사전 구성된 새로운 노트북 컴퓨터를 스핀업(spin up)하기 쉽게 만들어 준다. 쿠베스 4.0-rc3에서 현재 이용 가능한 새로운 쿠베스 어드민(Qubes Admin) API은 전체적인 시스템 침해의 위험 없이 원격 관리가 가능하게 해 준다.
웡은 “대부분의 운영체제는 원격으로 관리 가능하지만 그러려면 보안과 개인 정보 보호 부분에서 손해를 감수해야 한다”라고 설명하며 “원격 관리자는 일반적으로 관리 시스템에 근본적인 통제권을 갖고 있다. 반면, 새로운 어드민 AIP는 쿠베스 설치판을 원격으로 관리하면서도 안전한 종점으로서의 설치 상태를 유지할 수 있다(즉, dom0에 접속하지 않아도 된다)”라고 말했다.
그 비결은 권한 없는(non-privileged) 관리자라는 새로운 개념에 있다. 즉, 사용자의 노트북 컴퓨터 상에서 가상머신을 관리하고 프로비저닝 할 수 있는 권한은 있지만 사용자의 데이터는 읽을 수 없는 관리자를 말한다. 쿠베스 설명서에 따르면 그러한 설계 방식을 선택하면 사용자 노트북에 대해 무한정의 권한을 갖고 있는 관리자들에 대한 우려와 관리자(또는 그들의 조직)에 대한 법적 책임 문제를 해소할 수 있다.
쿠베스는 특히 기업 환경에서 작업하는 소프트웨어 개발자들에게 유용하다고 웡은 소개했다. 그는 “소프트웨어 개발자들이 쿠베스를 특히 좋아하는 경향이 있다. 별도의 빌드 환경을 관리할 수 있고 신뢰할 수 없는 코드를 안전한 방식으로 쉽게 테스트할 수 있게 해주기 때문이다”라고 말했다.
웡은 이어 “회사들과 직원들은 신뢰할 수 있는 활동과 신뢰할 수 없는 활동을 효율성을 이유로 같은 머신에서 섞어버리는 경우가 너무 많다”라며 “쿠베스는 이 문제를 고상하게 해결한다. 무제한의 고립 컨테이너의 보안을 하나의 물리적 머신의 효율성으로 제공하는 방식이다”라고 덧붙였다.
보너스: 쿠베스는 특히 신규 출시된 4.0 버전에서 멜트다운(Meltdown) 대비와 관련해 (대부분) 효과적일 수 있다.
멜트다운 대비에 효과적인 쿠베스
쿠베스 팀이 보안 중심의 새로운 운영체제를 개발하면서 실감한 문제점 가운데 하나는 스택 하위에 있는 하드웨어와 소프트웨어를 기본적으로 신뢰할 수 없다는 것이었다. 만일 인텔(Intel) ME가 웹 서버를 포함한 완전한 미닉스(Minix) 운영체제를 링(Ring)-3에서 실행하거나 하드웨어 자체가 멜트다운(Meltdown) 및 2가지 스펙터(Spectre) 변종과 같은 공격에 취약하다면 하이퍼바이저를 링-1에 확보하는 것은 별로 소용이 없게 된다.
그러나 쿠베스 4.0의 완전히 가상화된 VM은 멜트다운 공격을 막아 주는 것으로 나타났다. 대부분의 최신 프로세서에 영향을 미치는 3가지 악용 프로그램이 이번 달 초 공개되었는데 그 중 가장 강력한 것이 바로 멜트다운 공격이다. 쿠베스 개발자들은 이러한 행운에 멈추지 않고 기본 하드웨어에 의존하지 않는 신뢰할 수 있는 종단을 만들 방법을 찾고 있다.
쿠베스 OS를 만든 조안나 루트코스카는 “하드웨어를 신뢰할 수 없는 문제가 바로 우리가 쿠베스 에어(Qubes Air)로 해결하고자 하는 문제들 가운데 하나”라고 강조했다.
쿠베스 에어: 안전한 분산 컴퓨팅의 미래인가?
‘클라우드로의 이동’ 트렌드가 널리 퍼짐에 따라 쿠베스 팀은 종점 보안에 대해 다시 생각하게 됐다. 데이터가 사용자의 기기에 머물러 있기 보다는 이동 중이거나 클라우드 인스턴스에 머물러 있을 가능성이 높은 시대에 종점 보안은 어떤 의미일까?
쿠베스 에어를 발표한 블로그 게시물에서 루트코스카는 다음과 같이 적었다. “(신뢰할 수 없는) 클라우드에서 개인적인 연산을 실행한다는 개념에 알레르기 반응을 보이는 독자들이라도 계속 읽어 주기 바란다. 쿠베스의 핵심은 젠 하이퍼바이저나 심지어는 ‘고립’이라는 간단한 개념에 있는 것이 아니라 안전하게 구획한 여러 컨테이너에 걸쳐 다양한 작업 흐름, 기기, 응용프로그램을 신중하게 분해하는 것에 있기 때문이다. 아마존 EC2, 마이크로소프트 애저, 구글 컴퓨트 엔진과 같은 클라우드나 심지어는 골렘(Golem)과 같은 탈중앙화된 컴퓨팅 네트워크에 호스트된 VM 위에 쿠베스가 실행되는 것을 쉽게 상상할 수 있다.”
지난주 발표된 쿠베스 에어는 아직 출시는 되지 않은 베이퍼웨어(vaporware) 상태다. 그러나 쿠베스 개발자들이 다년 간에 걸쳐 더 나은 종점 보안을 위한 혁신에 전념해 온 것을 감안하면 궁극적으로 성공 가능성이 높아 보인다.
루트코스카는 “이제 소유자들(또는 관리자들)은 여러 개의 플랫폼(PC, 클라우드 VM, 라스베리 파이(Raspberry Pi) 또는 USB 아모리(Armory) 등의 별도의 컴퓨터)에 걸쳐 페이로드(payload)를 거의 완벽하게 분산시킬 수 있을 것이다. 하나의 플랫폼을 하나의 실패 지점으로 다루는 문제를 피해갈 수 있다”라며, “그것이야말로 언제나 쿠베스의 핵심이었다”라고 말했다.
쿠베스 OS는 유명 전문가 다수가 추천하는 무료 소프트웨어이다. 현재 사용자 수는 약 3만 명으로 추산된다. 유의할 점은 하드웨어 지원이 까다로울 수 있으며 쿠베스의 보안 기능을 제대로 활용하려면 VT-x 및 VT-d가 필요하다는 점이다. 또 대부분의 사용자 환경에서는 RAM이 많이 필요할 것이다. 시스어드민, 소프트웨어 개발자, 컴퓨터를 잘 아는 사용자들은 쿠베스 OS를 쉽게 습득할 수 있을 것이다. 단, 사용자 인터페이스는 아직 일반 최종 사용자용이라고 보기 어렵다. dl-ciokorea@foundryco.com
