'SW와 HW의 분리'··· 하이퍼바이저의 이해

하이퍼바이저(hypervisor)는 가상화라는 더 화려한 개념에 밀려 자주 간과된다. 그러나 가상화의 혜택을 제대로 누리려면 먼저 컴퓨팅 시스템 내에서 하이퍼바이저가 하는 일을 이해해야 한다.



가상화와 클라우드 컴퓨팅의 장점은 이제 구식처럼 느껴지지만 언제나 그런 것은 아니었다. 클라우드 컴퓨팅 세계에서 혁신을 주도한 일등공신이 바로 하이퍼바이저 기술이다.

하이퍼바이저란
하이퍼바이저란 컴퓨터의 운영 체제와 응용프로그램을 물리적 하드웨어에서 분리하는 프로세스를 말한다. 주로 소프트웨어처럼 실행되지만 임베디드된(embedded) 하이퍼바이저를 모바일 기기용으로 만들 수도 있다. 하이퍼바이저는 물리적인 호스트 시스템이 여러 대의 가상 머신을 게스트로 운영할 수 있게 해, 메모리, 네트워크 대역폭, CPU 등과 같은 컴퓨팅 자원을 더 효과적으로 사용할 수 있도록 도와준다.

하이퍼바이저 역사
하이퍼바이저는 1960년대 후반부터 1970년대 내내 IBM에서 개발한 메인프레임 컴퓨터에서 볼 수 있었다. 용도는 시간 공유 시스템 구축, 새로운 운영 체제 아이디어 실험, 심지어는 새로운 하드웨어 개념 검증에도 사용됐다. 가상화 덕분에 프로그래머는 배치와 버그 제거 작업을 하면서도 기본 생산 시스템의 안정성을 해치지 않을 수 있었고 비용이 많이 드는 개발 시스템을 추가로 배치하지 않아도 됐다. 2000년대 중반 들어 유닉스(Unix), 리눅스(Linux)를 비롯한 유닉스류 운영 체제가 가상화 기술을 활용하기 시작하면서 하이퍼바이저가 각광받기 시작했다.

하이퍼바이저와 가상화의 성장에는 하드웨어의 발전이 한몫했다. 즉, 하나의 시스템으로 더 많은 동시 작업을 할 수 있게 된 것이다. 예를 들면, 서버 통합으로 비용 절감을 할 수 있게 됐고, 하이퍼바이저 아키텍처가 개선되면서 보안과 안정성이 향상됐다. OS 독립적인 응용프로그램을 여러 가지 다양한 하드웨어 또는 OS 환경에서 실행할 수도 있게 됐다. 2005년에는 CPU 업체가 자사의 x86 기반 제품에 하드웨어 가상화를 추가하기 시작했다. 가상화의 가용성(그리고 장점)을 PC 기반과 서버 기반 사용자까지 확대한 것이다.

하이퍼바이저의 장점
가상 머신(VM)은 동일한 물리적 하드웨어에서 구동할 수 있지만 논리적으로는 서로 분리돼 있다. 즉, 한 VM에 오류가 발생하거나 작동이 멈추거나 악성코드 공격을 받아도 같은 시스템내 다른 VM 혹은 다른 시스템으로도 확장되지 않는다는 의미다. VM은 또한 이동성이 매우 강하다. 하드웨어와 독립적이기 때문에 로컬 또는 원격 가상화 서버 사이를 이동할 수 있다. 물리적 하드웨어에 묶여 있는 전통적인 응용 프로그램에 비해 훨씬 이전이 수월하다.

하이퍼바이저의 종류는 크게 제1형, 제2형으로 나눈다. 제1형 하이퍼바이저는 “네이티브(native)” 또는 “베어메탈(bare metal)” 하이퍼바이저라고 하는데, 호스트의 하드웨어에서 직접 구동돼 하드웨어를 제어하고 게스트 VM을 관리한다. 이를 지원하는 하이퍼바이저로는 젠(Xen), 스파크(SPARC)용 오라클(Oracle) VM 서버, x86용 오라클 VM 서버, 마이크로소프트 하이퍼(Hyper)-V, VM웨어(VMware)의 ESX/ESXi 등이 있다.

제2형 하이퍼바이저는 “호스트(hosted) 하이퍼바이저”라고 불린다. 시스템 상의 다른 응용프로그램과 마찬가지로 전통적인 OS에서 구동된다. 이 경우 게스트 OS는 호스트 상의 프로세스로 구동되는 반면, 하이퍼바이저는 게스트 OS를 호스트 OS에서 분리한다. 제2형 하이퍼바이저는 VM웨어 워크스테이션(Workstation), VM웨어 플레이어(Player), 버추얼박스(VirtualBox), 맥용 패럴랠스 데스크톱(Parallels Desktop for Mac) 등이 있다.

엔터프라이즈 데이터센터로 범위를 좁히면 현재 VM웨어, 마이크로소프트, 시트릭스 시스템즈(Citrix Systems) 등 3개 업체가 제품을 내놓고 있다.


컨테이너와 하이퍼바이저 비교
최근 들어 컨테이너 기술은 하이퍼바이저의 잠재적인 대체재로 인기가 높다. 가상 머신보다 더 많은 응용프로그램을 하나의 물리적 서버에 넣을 수 있기 때문이다.

칼럼리스트 스티븐 제이 본-니콜스에 따르면, VM은 시스템 자원을 많이 잡아먹는다. 각 VM은 운영 체제의 전체 복제본 뿐만 아니라 운영 체제가 실행해야 하는 모든 하드웨어의 가상 복제본을 구동한다. 이로 인해 소모되는 RAM과 CPU가 빠른 속도로 늘어난다. 반면, 컨테이너에 필요한 것은 운영 체제, 지원 프로그램과 라이브러리, 특정 프로그램을 실행할 시스템 자원이면 충분하다.

그러나 이런 장단점에서도 불구하고 전문가들은 VM의 실용성과 보안 우려 때문에 컨테이너가 하이퍼바이저 혹은 VM을 대체하지는 않을 것으로 본다. 기업이 2가지를 병행해서 사용할 가능성을 높다는 것이다. 보안 문제에 있어 컨테이너가 하이퍼바이저에 비해 안전하지 않다고 느끼는 사람도 있다. 컨테이너는 하나의 OS를 응용프로그램이 공유하는 반면, VM은 응용프로그램 뿐만 아니라 OS 역시 격리돼 있기 때문이다.

만일 응용프로그램이 해킹을 당하면, 컨테이너의 단일 OS를 공격해 다른 응용프로그램에 영향을 미칠 수 있다. VM에서 응용프로그램이 해킹을 당하면 해당 서버에 있는 단 하나의 OS만 영향을 받고 VM 상의 다른 응용프로그램이나 OS는 영향을 받지 않는 것과 차이가 있다.

하이퍼바이저 보안 우려
어떤 측면에서는 하이퍼바이저가 컨테이너보다 더 안전하다고 여겨질 수 있지만 그렇다고 해서 하이퍼바이저와 관련된 보안 우려가 없는 것은 아니다. 예를 들면, 이론적으로는 해커가 OS 아래에 하이퍼바이저로 설치되는 루트키트(rootkit)와 악성코드를 만들 수 있다. 하이퍼재킹(hyperjacking)이라고 하는 이 프로세스는 탐지하기가 더 어렵다. 악성코드가 OS 밑에서 실행되기 때문에 악성코드 방지 소프트웨어에 탐지되지 않고 암호 입력 같은 OS 작업을 가로챌 수 있기 때문이다.

단, 하이퍼바이저 기반 루트키트의 존재를 탐지하는 것이 가능할지에 대한 논의가 현재 진행중이다. 이 개념이 실행되기도 했고(예: 서브버트(SubVirt) 및 블루 필(Blue Pill) 악성코드) 후크세이프(Hooksafe)라는 하이퍼바이저층 루트키트 방지 시스템이 시연되기도 했다. 후크세이프는 커널(kernel) 모드 루트키트에 대해 일반적인 보호를 제공한다.

하이퍼바이저 확장
하이퍼바이저의 개념은 서버 운영에만 한정되지 않았다. 예를 들어, 스토리지 하이퍼바이저는 똑같은 개념을 데이터 저장에 적용한다. 하이퍼바이저 OS 내부나 더 큰 스토리지 네트워크 내부의 물리적인 하드웨어 상에서 VM으로 구동할 수 있다. 일반 하이퍼바이저와 마찬가지로 스토리지 하이퍼바이저는 특정 하드웨어 상에서 구동하거나 하드웨어와 독립적일 수 있다. 스토리지 뿐만 아니라 하이퍼바이저는 다른 가상화 활동, 예를 들면 데스크톱 가상화, OS 가상화, 응용프로그램 가상화 등에 핵심적인 역할을 한다.

임베디드 하이퍼바이저란
임베디드 하이퍼바이저는 임베디드 시스템의 요건을 지원한다. 임베디드 하이퍼바이저는 서버 및 데스크톱 응용프로그램을 대상으로 하는 하이퍼바이저와 다르다. 기기 배치 이후에 탑재되는 것이 아니라 처음부터 임베디드 기기 내부에 설계돼 있다.

데스크톱과 엔터프라이즈 환경은 하이퍼바이저를 사용해 하드웨어를 통합하고 컴퓨팅 환경을 임베디드 환경에서 서로 분리하는 반면, 임베디드 하이퍼바이저는 다양한 구성요소를 통합해 기능을 제공하는 것이 일반적이다. 또한, 모바일 가상화는 임베디드 시스템 가상화와 매우 흡사한 개념이다. ciokr@idg.co.kr