2018.02.06

신개념 기업 보안··· '쿠베스' 운영체제를 아시나요?

J.M. Porup | CSO

국가 차원의 지원을 받는 해커들이 기업 네트워크에서 숨바꼭질을 하려 할 때면 시스템 관리권한이 주요 표적이 된다. 능숙한 공격자들은 시스어드민(sysadmin)을 탈취함으로써 네트워크를 장악할 수 있음을 누구보다 잘 알고 있다.

에드워드 스노든(Edward Snowden)에 의해 유출된 정보 중에는 한 NSA 관계자가 “나는 시스어드민을 사냥한다”고 자랑하는 슬라이드가 있다. 스노든에 대한 개인적인 평가는 차치하고라도 NSA를 비롯한 국가 소속의 ‘맹수’들이 그들의 먹잇감을 어떻게 생각하는지 보여주는 사례이다. 왕국의 열쇠를 부여 받은 시스어드민은 공격하기 쉽고도 효율적인 대상이다.

그렇다면 이러한 위협으로부터 기업과 지적 재산권, 고객 데이터의 무결성, 시스템 통제권 등을 어떻게 지킬 것인가?

보안이 강화된 쿠베스(Qubes) 운영체제(OS)가 효과적인 심화 방어 솔루션의 일부가 될 수 있다. ‘침해를 가정하고 구획 시키는 것’이 네트워크를 위해서나 운영체제 설계를 위해서나 현명한 일이다. 쿠베스 OS는 지난 8년간 운영체제 보안 혁신을 조용히 주도해 오고 있다.



블루 필(Blue Pill)’로 유명한 보안 연구원 조안나 루트코스카가 만든 쿠베스는 하이퍼바이저(현재는 젠)를 기반으로 구축돼 있다. 여러 개의 보안 도메인에 해당하는 여러 개의 가상머신(VM)으로 작업 구획이 가능하며, 따라서 동일한 머신에 있는 높은 보안 작업과 낮은 보안 작업을 분리하는 것이 가능해진다. 쿠베스는 현재 리눅스 VM과 윈도우 VM을 지원한다.

쿠베스를 개발한 인비저블 씽스 랩(Invisible Things Lab)의 최고통신책임자 앤드류 데이빗 웡은 쿠베스에 대해 “민감한 데이터를 안전하게 구분해야 하는 금융, 의료 등의 업계에서 특히 가치가 높다”라고 전제하고 “귀중한 지적 재산을 만들어 내는 동안 신뢰할 수 없는 자원에 접근해야 하는 지식 노동자들에게 특히 적합하다”라고 말했다.

즉 쿠베스는 분리 개념을 취하고 있다. 심지어 네트워킹을 별도의 신뢰할 수 없는 VM으로 분할하기까지 한다. USB 드라이버 역시 자체 VM으로 추방시킨다. USB 기반 맬웨어의 위험을 줄이기 위해서다.

네트워크가 없는 ‘볼트’(vault) VM은 코드 서명 키, 암호 관리자, 암호 화폐 지갑 등 끈질긴 공격자가 관심을 가질만한 민감한 데이터를 저장하기에 이상적이다. 또 1회용 VM은 유해한 웹사이트를 보는 위험을 줄여 준다. 아울러 “신뢰할 수 있는 PDF로 변환”이라는 쿠베스의 선구적인 기능은 채용 담당자들이 맬웨어에 감염된 입사 지원 신청서에 의한 피해를 막기 위해 현재 활용 중이다.

그러나 지금까지 쿠베스는 기업에서 많이 채택되지 않았다. 그 이유 중에는 자동 배치 및 원격 관리 기능이 부족하다는 점이 있다. 그러나 사정은 달라질 것이다. 쿠베스 4.0 출시가 임박했기 때문이다. 본 기사 작성 시간 현재 쿠베스 4.0은 릴리즈 캔디데이트 4 단계다.

기업 분야에의 적합성
쿠베스 4.0은 방어 기능을 갖춘 다수의 쿠베스 노트북 컴퓨터을 배치하고 관리할 수 있게 해주는 유연성을 기업에게 제공한다. 그와 동시에 강력한 종점 보안 특성을 유지시켜 준다. 이를 통해 시스템 관리자는 기술에 능숙한 사용자들(예: 조직 내 컴퓨터를 잘 아는 임원, 소프트웨어 개발자, 보안 연구원 등)에게 더욱 강력한 종점 보안을 더욱 쉽게 제공할 수 있다.

열린 암호 감사 프로젝트(OCAP ; Open Crypto Audit Project) 책임자 켄 화이트는 “이는 쿠베스에게 중요한 사건이다. 조안나와 그의 팀은 지속적으로 해내고 있다”면서 “보안에 특효약은 없지만 하드웨어 기반의 마이크로 VM과 세그먼트화된 작업 영역 구조는 흔한 취약점 문제 일체를 해결한다”라고 설명했다.

그는 이어 “현대 업무 환경에서 피할 수 없는 이메일 첨부 파일, 신뢰할 수 없는 출처의 PDF 파일, 마이크로소프트 오피스 문서 등은 모두 공격자들이 선호하는 침해 경로”라고 덧붙였다.

쿠베스의 두 가지 주요 구성 요소는 기업 사용자를 구체적으로 염두에 두고 설계됐다. 쿠베스 3.2부터 포함되어 있는 쿠베스 솔트(Qubes Salt) 스택 통합은 사용자의 필요에 맞게 사전 구성된 새로운 노트북 컴퓨터를 스핀업(spin up)하기 쉽게 만들어 준다. 쿠베스 4.0-rc3에서 현재 이용 가능한 새로운 쿠베스 어드민(Qubes Admin) API은 전체적인 시스템 침해의 위험 없이 원격 관리가 가능하게 해 준다.

웡은 “대부분의 운영체제는 원격으로 관리 가능하지만 그러려면 보안과 개인 정보 보호 부분에서 손해를 감수해야 한다”라고 설명하며 “원격 관리자는 일반적으로 관리 시스템에 근본적인 통제권을 갖고 있다. 반면, 새로운 어드민 AIP는 쿠베스 설치판을 원격으로 관리하면서도 안전한 종점으로서의 설치 상태를 유지할 수 있다(즉, dom0에 접속하지 않아도 된다)”라고 말했다.

그 비결은 권한 없는(non-privileged) 관리자라는 새로운 개념에 있다. 즉, 사용자의 노트북 컴퓨터 상에서 가상머신을 관리하고 프로비저닝 할 수 있는 권한은 있지만 사용자의 데이터는 읽을 수 없는 관리자를 말한다. 쿠베스 설명서에 따르면 그러한 설계 방식을 선택하면 사용자 노트북에 대해 무한정의 권한을 갖고 있는 관리자들에 대한 우려와 관리자(또는 그들의 조직)에 대한 법적 책임 문제를 해소할 수 있다.

2018.02.06

신개념 기업 보안··· '쿠베스' 운영체제를 아시나요?

J.M. Porup | CSO

국가 차원의 지원을 받는 해커들이 기업 네트워크에서 숨바꼭질을 하려 할 때면 시스템 관리권한이 주요 표적이 된다. 능숙한 공격자들은 시스어드민(sysadmin)을 탈취함으로써 네트워크를 장악할 수 있음을 누구보다 잘 알고 있다.

에드워드 스노든(Edward Snowden)에 의해 유출된 정보 중에는 한 NSA 관계자가 “나는 시스어드민을 사냥한다”고 자랑하는 슬라이드가 있다. 스노든에 대한 개인적인 평가는 차치하고라도 NSA를 비롯한 국가 소속의 ‘맹수’들이 그들의 먹잇감을 어떻게 생각하는지 보여주는 사례이다. 왕국의 열쇠를 부여 받은 시스어드민은 공격하기 쉽고도 효율적인 대상이다.

그렇다면 이러한 위협으로부터 기업과 지적 재산권, 고객 데이터의 무결성, 시스템 통제권 등을 어떻게 지킬 것인가?

보안이 강화된 쿠베스(Qubes) 운영체제(OS)가 효과적인 심화 방어 솔루션의 일부가 될 수 있다. ‘침해를 가정하고 구획 시키는 것’이 네트워크를 위해서나 운영체제 설계를 위해서나 현명한 일이다. 쿠베스 OS는 지난 8년간 운영체제 보안 혁신을 조용히 주도해 오고 있다.



블루 필(Blue Pill)’로 유명한 보안 연구원 조안나 루트코스카가 만든 쿠베스는 하이퍼바이저(현재는 젠)를 기반으로 구축돼 있다. 여러 개의 보안 도메인에 해당하는 여러 개의 가상머신(VM)으로 작업 구획이 가능하며, 따라서 동일한 머신에 있는 높은 보안 작업과 낮은 보안 작업을 분리하는 것이 가능해진다. 쿠베스는 현재 리눅스 VM과 윈도우 VM을 지원한다.

쿠베스를 개발한 인비저블 씽스 랩(Invisible Things Lab)의 최고통신책임자 앤드류 데이빗 웡은 쿠베스에 대해 “민감한 데이터를 안전하게 구분해야 하는 금융, 의료 등의 업계에서 특히 가치가 높다”라고 전제하고 “귀중한 지적 재산을 만들어 내는 동안 신뢰할 수 없는 자원에 접근해야 하는 지식 노동자들에게 특히 적합하다”라고 말했다.

즉 쿠베스는 분리 개념을 취하고 있다. 심지어 네트워킹을 별도의 신뢰할 수 없는 VM으로 분할하기까지 한다. USB 드라이버 역시 자체 VM으로 추방시킨다. USB 기반 맬웨어의 위험을 줄이기 위해서다.

네트워크가 없는 ‘볼트’(vault) VM은 코드 서명 키, 암호 관리자, 암호 화폐 지갑 등 끈질긴 공격자가 관심을 가질만한 민감한 데이터를 저장하기에 이상적이다. 또 1회용 VM은 유해한 웹사이트를 보는 위험을 줄여 준다. 아울러 “신뢰할 수 있는 PDF로 변환”이라는 쿠베스의 선구적인 기능은 채용 담당자들이 맬웨어에 감염된 입사 지원 신청서에 의한 피해를 막기 위해 현재 활용 중이다.

그러나 지금까지 쿠베스는 기업에서 많이 채택되지 않았다. 그 이유 중에는 자동 배치 및 원격 관리 기능이 부족하다는 점이 있다. 그러나 사정은 달라질 것이다. 쿠베스 4.0 출시가 임박했기 때문이다. 본 기사 작성 시간 현재 쿠베스 4.0은 릴리즈 캔디데이트 4 단계다.

기업 분야에의 적합성
쿠베스 4.0은 방어 기능을 갖춘 다수의 쿠베스 노트북 컴퓨터을 배치하고 관리할 수 있게 해주는 유연성을 기업에게 제공한다. 그와 동시에 강력한 종점 보안 특성을 유지시켜 준다. 이를 통해 시스템 관리자는 기술에 능숙한 사용자들(예: 조직 내 컴퓨터를 잘 아는 임원, 소프트웨어 개발자, 보안 연구원 등)에게 더욱 강력한 종점 보안을 더욱 쉽게 제공할 수 있다.

열린 암호 감사 프로젝트(OCAP ; Open Crypto Audit Project) 책임자 켄 화이트는 “이는 쿠베스에게 중요한 사건이다. 조안나와 그의 팀은 지속적으로 해내고 있다”면서 “보안에 특효약은 없지만 하드웨어 기반의 마이크로 VM과 세그먼트화된 작업 영역 구조는 흔한 취약점 문제 일체를 해결한다”라고 설명했다.

그는 이어 “현대 업무 환경에서 피할 수 없는 이메일 첨부 파일, 신뢰할 수 없는 출처의 PDF 파일, 마이크로소프트 오피스 문서 등은 모두 공격자들이 선호하는 침해 경로”라고 덧붙였다.

쿠베스의 두 가지 주요 구성 요소는 기업 사용자를 구체적으로 염두에 두고 설계됐다. 쿠베스 3.2부터 포함되어 있는 쿠베스 솔트(Qubes Salt) 스택 통합은 사용자의 필요에 맞게 사전 구성된 새로운 노트북 컴퓨터를 스핀업(spin up)하기 쉽게 만들어 준다. 쿠베스 4.0-rc3에서 현재 이용 가능한 새로운 쿠베스 어드민(Qubes Admin) API은 전체적인 시스템 침해의 위험 없이 원격 관리가 가능하게 해 준다.

웡은 “대부분의 운영체제는 원격으로 관리 가능하지만 그러려면 보안과 개인 정보 보호 부분에서 손해를 감수해야 한다”라고 설명하며 “원격 관리자는 일반적으로 관리 시스템에 근본적인 통제권을 갖고 있다. 반면, 새로운 어드민 AIP는 쿠베스 설치판을 원격으로 관리하면서도 안전한 종점으로서의 설치 상태를 유지할 수 있다(즉, dom0에 접속하지 않아도 된다)”라고 말했다.

그 비결은 권한 없는(non-privileged) 관리자라는 새로운 개념에 있다. 즉, 사용자의 노트북 컴퓨터 상에서 가상머신을 관리하고 프로비저닝 할 수 있는 권한은 있지만 사용자의 데이터는 읽을 수 없는 관리자를 말한다. 쿠베스 설명서에 따르면 그러한 설계 방식을 선택하면 사용자 노트북에 대해 무한정의 권한을 갖고 있는 관리자들에 대한 우려와 관리자(또는 그들의 조직)에 대한 법적 책임 문제를 해소할 수 있다.

X