가상화ㆍ컨테이너 / 보안

구글 클라우드, 별도 에이전트 필요 없는 VM 위협 탐지 시스템 도입

Lucian Constantin | CSO 2022.02.09
점점 더 많은 기업이 컴퓨팅 작업을 클라우드로 마이그레이션하고 있다. 사이버 공격자도 마찬가지다. 지난 몇 년간 가상 서버는 크립토마이닝과 랜섬웨어의 공격 목표가 됐다. 하지만 가상 서버는 일반적으로 엔드포인트와 동일한 수준의 보호 혜택을 받지 못하는 경우가 많다. 구글이 자사 클라우드 컴퓨팅 플랫폼을 위한 VM(Virtual Machine) 기반 위협 탐지 기능을 개발한 이유도 여기에 있다.
 
ⓒ Getty Images Bank
 
클라우드 컴퓨팅에서 효율성과 유연성은 매우 중요하다. 서버의 크기는 실행할 것으로 예상되는 워크로드에 따라 조정된다. VM에서 실행되는 소프트웨어 에이전트에 필요한 보안 검색 및 모니터링 작업을 추가하면 VM에 오버헤드가 추가돼 CPU 사이클과 메모리를 소비하게 된다.

구글은 VMTD(Virtual Machine Threat Detection)로 이런 문제를 해결하고자 했다. VMTD는 구글 컴퓨트 엔진(Compute Engine)의 SCC(Security Command Center)에서 제공되는 기능이다. 

구글 클라우드 프로덕트 매니저 티모시 피콕은 블로그에서 "컴퓨트 엔진에서 고객 사용자가 추가 소프트웨어를 실행하지 않고 위협 탐지 신호를 수집할 수 있을지 살펴보고자 한다. 인스턴트 내에서 에이전트를 실행하지 않으면 성능에 미치는 영향과 에이전트 배치 및 관리에 대한 운영 부담도 줄며, 공격 표면이 노출되는 일도 줄어든다"라고 설명했다. 

VMTD는 하이퍼바이저 수준에서 실행되며, 해당 하이퍼바이저에서 VM 메모리에 직접 액세스할 수 있다. VMTD의 장점은 악성 프로그램이 관리 권한을 보유하고 있더라도 VM 내부에서 실행되는 악성코드가 시스템에 간섭할 수 없다는 것이다. 많은 악성 프로그램은 탐지를 피하기 위해 동일 시스템에서 실행되는 잘 알려진 보안 스캐너를 비활성화하는 루틴이 내장돼 있다.

VMTD는 구글의 위협 탐지 규칙을 사용해 컴퓨트 엔진 프로젝트 및 VM 인스턴스의 실시간 메모리를 주기적으로 검색하는 매니지스 서비스 역할을 한다. 프리뷰 단계에서는 주로 손상된 서버에 공격자가 배포하는 가장 일반적인 악성 프로그램인 크립토마이닝에 대한 위협을 탐지하는 것이 목표다. 구글 사이버보안 액션 팀(Cybersecurity Action Team)이 지난 11월 발행한 위협 보고서에 따르면, 손상된 클라우드 인스턴트의 86%에서 크립토마이닝 프로그램이 발견된 것으로 조사됐다.

VMTD는 애플리케이션 이름 목록, 프로세스당 CPU 사용량, 메모리 페이지의 해시, CPU 하드웨어 성능 카운터 및 실행된 기계어에 대한 정보를 사용해 VM에서 작동하는 소프트웨어를 분석해 알려진 크립토마이닝 서명과 일치하는 내용을 찾는다. 향후 VMTD가 상용화 버전에 가까워지면 랜섬웨어 및 데이터 유출 트로이 목마 같은 다른 유형의 위협에 대한 탐지 기능이 추가돼 구글 클라우드의 다른 부분과 통합될 예정이다.

현재까지는 SCC 프리미엄 사용자만 옵트인(opt-in) 선택사항으로 VMTD를 사용할 수 있다. 사용자는 스캔 범위를 직접 정의할 수 있다. 하지만 VMTD는 민감한 워크로드를 보호하기 위해 메모리를 암호화하는 컨피덴셜 컴퓨팅(Confidential Computing) 노드의 메모리는 처리하지 않는다.

피콕은 "VMTD는 SCC의 프리미엄 기능인 이벤트 위협 탐지(Event Threat Detection)컨테이너 위협 탐지(Container Threat Detection)가 제공하는 기존의 위협 탐지 기능을 보완한다. VMTD를 포함한 3가지 고급 방어 계층으로 사용자는 구글 클라우드에서 실행하는 워크로드를 전체적으로 보호할 수 있다"라고 설명했다. 

이벤트 위협 탐지 기능은 구글 클라우드와 구글 워크스페이스 로그를 모니터링하며 악의적인 위협을 탐지하는 서비스이며, 컨테이너 위협 탐지 기능은 실행된 셸 스크립트의 내용, 리버스 셸 지표, 새로운 바이너리, 새로 로드된 라이브러리 등 VM 대신 컨테이너 내부의 실시간 공격을 탐지한다.

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.