"VM이 컨테이너보다 안전하다는 건 옛말"

IBM리서치, 컨테이너 보안성 정량평가 도구 공개

컴퓨팅입력 :2018/07/20 16:39    수정: 2018/07/20 21:33

컨테이너 기반 시스템 환경의 보안을 측정하는 테스트도구가 처음으로 등장했다. 실제 테스트 결과 컨테이너의 보안이 가상머신에 뒤지지 않는 것으로 나타났다.

최근 IBM리서치는 컨테이너 환경의 보안성을 테스트하는 '호라이즌탈어택프로파일(HAP)'을 발표했다.

HAP를 설계한 제임스 보톰리 IBM리서치 디스팅귀시드 엔지니어는 "컨테이너와 하이퍼바이저 간 보안 논쟁의 최대 문제점은 보안을 측정할 수단으로 개발된 어떤 도구도 없다는 것"이라며 "이 논쟁은 모두 컨테이너보다 하이퍼바이저 보안이 더 뛰어나다는 느낌에 따르는 정성적 평가이지 어느누구도 정량적 비교를 하지 않았다"고 지적했다.

톱 리눅스 커널 개발자이기도 한 제임스 보톰리는 객관적으로 측정할 수 있는 시스템 보안 평가툴을 고안했다. 먼저 버티컬어택프로파일(VAP)을 정의했다. 이 코드는 데이터베이스 입력부터 출력까지 모든 서비스를 검토해 시스템의 버그와 보안취약점을 찾아낸다. 여기서 발전된 HAP는 가상머신이나 물리적 서버 호스트까지 넘나들 수 있는 보안취약점도 찾아낼 수 있다.

일반적으로 컨테이너는 하이퍼바이저 기반 가상머신보다 덜 안전한 것으로 여겨진다. 컨테이너는 운영체제 커널을 공유하는데, 해커가 OS 커널을 장악하면 컨테이너까지 그대로 위협에 노출된다는 것이다. 하이퍼바이저 진영에서 이런 입장을 취했다. 하이퍼바이저 진영은 컨테이너를 하이퍼바이저 상에 구동하라고 조언해왔다. 이 때문에 컨테이너를 엔터프라이즈 시스템에 적용하는 움직임이 더디게 진행됐다.

제임스 보톰리는 HAP와 공개된 여러 벤치마크 툴을 이용해 테스트한 결과 컨테이너 보안이 가상머신과 비슷한 수준이라고 주장했다.

그는 도커 컨테이너를 위한 리눅스커널 기능인 '시큐어컴퓨팅모드(seccomp)'를 이용하면 하이퍼바이저와 동등한 수준의 보안을 구축할 수 있다고 설명했다.

IBM은 HAP와 함께 서버 격리성을 강화한 새로운 컨테이너 유형인 '내블라(Nabla)'도 공개했다. 내블라 컨테이너는 커널과 OS 라이브러리 요소 간 통신을 줄여서 취약점 발생 가능성을 제거했다.

보톰리는 "내블라 런타임은 카타 컨테이너 기술을 담은 하이퍼바이저보다 낫다"며 "이는 컨테이너 시스템이 하이퍼바이저보다 보안에서 더 뛰어나다는 의미"라고 강조했다.

그는 구글에서 개발한 KVM 기반 컨테이너 런타임 샌드박스 기술인 'gVisor'에 대해 박한 평가를 내렸다. 'gVisor'를 도커와 결합하면 우수한 보안성을 보이지만, 기본적으로 취약점을 갖고 있다는 것이다.

관련기사

그는 "gVisor는 고(Go)에서 리눅스 시스템 콜 인터페이스를 재작성함으로써 봉쇄력을 개선하려 한다"며 "그러나 고 런타임이 사용하는 시스템 콜의 수에 누구도 주목하지 않고 있다"고 지적했다. 그는 "미래의 버전에서 훨씬 더 안전해질 것으로 예상한다"고 밝혔다.

현재로선 컨테이너가 가상머신보다 안전하다고 단언하기 어렵다. 둘 다 비슷한 수준의 보안을 갖췄다는 게 드러났을 뿐이다. 보톰리는 "컨테이너가 하이퍼바이저보다 더 완벽하게 안전해지도록 할 수 있다"고 전망했다.