세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
구글, 개발과 보안 인력난 해결코자 새 SDK 어사일로 발표
  |  입력 : 2018-05-08 19:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
신뢰된 실행 환경(TEE) 누구나 이용할 수 있게 해주는 SDK
구글의 클라우드 플랫폼과의 연계 통해 어디서나 작업하면서도 가시성 확보


[보안뉴스 문가용 기자] 데이터 가시성은 클라우드로 이전하려는 기업들에 있어 가장 큰 문제 중 하나다. 이런 문제를 해결하는 데 도움이 되고자 구글은 최근 콘테이너와 애플리케이션 개발에서의 보안을 강화시킬 수 있는 새로운 업데이트를 발표했다.

[이미지 = iclickart]


구글 클라우드 제품 개발 부문 부사장인 샘 램지(Sam Ramji)는 지난 주 열린 인터롭ITX 행사의 기조 연설을 통해 데브옵스라고 불리는 개발 방법론에서의 보안이 왜 중요한지를 강조했다. “지금 시대에 우리가 목격하고 있는 연결성의 폭발로 인해 우리는 새롭게 누릴 수 있는 것들과 또 그만큼의 새로운 도전과제들을 경험하고 있습니다. 특히 소프트웨어 개발이라는 측면에서는 이 두 가지 면이 극명하게 존재합니다.”

또한 “분야를 막론하고 모든 기업들이 소비자들과 갑작스럽게 연결되어 있는 이 현상에 대처하기 위해 깊은 고민 중에 있다”고 말하기도 했다.

램지가 기조 연설을 통해 제안한 해결책은 “변화를 수용하라”는 것이었다. “연결성을 염두에 두지 않은 시스템이라면 노력의 대가를 얻지 못할 가능성이 크다는 걸 인정하라는 겁니다. 또한 어느 분야에 있건 고객들의 문제들 중 대부분은 소프트웨어 단위로 압축해 해결하는 게 가능해질 겁니다. 그렇다면 이런 연결된 세상 속에서 소프트웨어를 개발해야 하는 건 당연한 수순이고요.”

여기까지가 시대의 자연스러운 흐름이라면 “보안을 제품의 한 요소로서 추가해야 하는 것 역시 당연한 흐름”이라고 램지는 말을 이어갔다. “하지만 이것은 현실적인 문제로 이어집니다. 왜냐하면 지금 개발자와 보안 전문가 인력난이 심각하기 때문입니다.”

그런 맥락에서 구글은 어사일로(Asylo)라는 오픈소스 프레임워크를 공개했다. 어사일로는 애플리케이션 개발 키트라고 볼 수 있는데, 흔한 SDK들과 달리 신뢰된 실행 환경(TEE)을 약속해주는 것이라고 한다. 생산 단계를 간단히 함으로써 어떤 콘테이너라도 보안 모드에서 실행될 수 있게 해주는 것이다.

TEE는 엔클레이브(enclave)라고 불리는 특수 환경을 사용해 OS, 드라이버, 하이퍼바이저, 펌웨어 등 시스템의 밑바탕에 깔려 있는 층위에 대한 공격을 막아내는 것이다. 엔클레이브는 악성 내부자와 인증받지 못한 위협 행위자들을 막기도 한다. 여기에 어사일로는 민감한 정보를 암호화하기도 하며 코드의 무결성을 검사하는 기능도 가지고 있다. 이로서 애플리케이션과 데이터 모두를 보호하는 것이다.

“클라우드 내에서 실제로 실행되는 코드를 클라우드 제공 업체에게 보여줄 필요는 없죠. 그렇기에 실시간 암호화가 필요한 겁니다.” 램지의 설명이다.

이전에는 TEE 내에서 개발을 진행하고 애플리케이션을 실시하려면, 개발자가 특수한 개발 툴 킷과 관련 전문지식을 가지고 있어야만 했다. 어사일로는 이러한 장벽을 없앰으로서 보다 많은 개발자들이 TEE 환경을 사용할 수 있도록 해준다.

“어사일로를 통해 개발자들은 소스코드를 새롭게 작성하거나 기술적인 공부를 더 하지 않아도 TEE를 이용할 수 있습니다. 또한 구글 콘테이너 레지스트리(Google Container Registry)를 통해 도커 이미지를 제공하기 때문에 콘테이너를 장소에 구애받지 않고 실행시킬 수도 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)