‘컨피덴셜 컴퓨팅’, 클라우드 보안에 필수

[중소기업투데이 이상영 기자] 중소기업들에게도 클라우드 컴퓨팅이 대세로 자리잡고 있다. 클라우드가 보편화되면서 클라우드 제공업체(CSP) 등 외부 서버나 사이버공격자들로부터의 보안의 중요성이 새삼 강조되고 있다.

이에 최근엔 클라우드 보안의 가장 유용한 수단으로 ‘컨피덴셜 컴퓨팅’(Confidential Computing)이 확산되고 있다. 이는 클라우드에 자사의 데이터를 저장한 경우, CSP 등 외부에서 이에 접금할 수 없도록 하며, 데이터를 안전하게 보호할 수 있게 한다.

컨피덴셜 컴퓨팅은 데이터 보안 분야에서 새로운 패러다임을 제시하고 있으며 클라우드 시대에 있어 선택이 아닌 필수 요소로 자리매김할 것이란 전망이다.

컨피덴셜 컴퓨팅은 처리 중인 사용 중 데이터(Data-in-Use)를 암호화해 클라우드에 있는 데이터의 기밀성을 보호할 수 있다. 보통 클라우드를 도입한 기업들은 AMD, Intel 등의 최신 CPU에서 제공하는 컨피덴셜 컴퓨팅 보안 기술을 활용한다. 이를 통해 처리 중인 데이터가 비공개로 유지되고, 암호화하는 것이다.

좀더 구체적으론 하드웨어 기반의 안전성이 증명된 TEE(Trusted Execution Environment)에서 계산을 수행해 사용 중인 데이터를 보호하는 기술이다. 사용 중인 데이터를 메모리에서 암호화하고, 컴퓨팅 소스에 대한 액세스를 차단하는 TEE에서 컴퓨팅을 수행해 데이터를 보호한다는 뜻이다. 즉 클라우드 환경에서 미 사용 데이터(Data-at-Rest), 전송 중 데이터(Data-in-Transit), 사용 중 데이터(Dain-in-Use) 등의 데이터 보안이다.

사이버보안업체 이글루코퍼레이션은 특히 ‘TEE’와 ‘Data-in-Use’의 중요성을 강조했다. 이에 따르면 컨피덴셜 컴퓨팅의 ‘TEE’로는 인텔 SGX(Software Guard Extension)와 AMD SEV(Secure Encrypted Virtualization)가 대표적이다. 인텔의 SGX는 하드웨어 칩에 암호화 저장소인 ‘엔클레이브’를 사용해 보호된 코드 실행을 위한 보안 환경을 제공한다. IBM은 ‘엔클레이브’를 “일을 하는 사람이나 실제 권한을 가진 사람만 무엇이 있는지를 알 수 있도록 하는 기술”로 풀이했다.

이때 애플리케이션은 운영체제에서 조작하거나 유출할 수 없는 자체 암호화된 메모리를 사용한다. 이는 해당 엔클레이브에서 자체 코드를 실행하는 구조다. 즉 AMD의 SEV는 가상 머신 수준에서 안전한 실행환경을 제공, 운영체제와 애플리케이션이 작동할 수 있도록 함으로써 하이퍼바이저로부터 운영 체제와 애플케이션을 보호하는 구조다.

클라우드 제공업체들도 ‘컨피덴셜 컴퓨팅’ 도입

MS 애저(Azure)는 이런 컨피덴셜 컴퓨팅 기술을 내재화했다고 밝힌 바 있다. “오픈 엔클레이브 SDK(SW개발키트)를 제공하며, 기존 애플리케이션을 보안 엔클레이브에 적용시켜 애플리케이션 수준에서 데이터 기밀성을 보장할 수 있다”는 것이다.

구글 클라우드를 예로 들면, 컨피덴셜 컴퓨팅으로 인해 사용 중 데이터를 처리하면서 동시에 암호화 상태로 유지, 안전하게 보호할 수 있다. 성능 저하를 일으키지 않는 간단하고 사용하기 쉬운 배포도 가능하고, 데이터 소유권을 가지면서 기밀을 유지, 공동작업을 수행할 수 있다.

컨피덴셜 컴퓨팅은 데이터 보안을 위한 몇 가지 차별화된 특징을 갖고 있다. 우선 획기적인 데이터의 기밀성, 즉 고객 기업이 클라우드에서 데이터 처리와 암호화를 동시에 할 수 있다. 또 구글 클라우드에서 고객기업은 애플리케이션 코드를 변경하거나 성능 저하를 겪지 않고도 사용 중인 데이터를 암호화할 수 있다.

또한 처리 중인 ‘사용 중 데이터’를 암호화, 클라우드에 있는 데이터의 기밀성을 보호할 수 있다. 이를 위해 클라우드 서비스와 함께 AMD, Intel 등의 최신 CPU에서 제공하는 보안 기술을 활용, ‘처리 중인 데이터’를 비공개로 유지하고 암호화한다. 또 프로세서를 생성하고 관리하는 노드별 전용 키를 사용, 메모리에서 데이터를 암호화된 상태로 유지할 수 있다. “이 경우 키는 노드 생성 중에 하드웨어에서 생성되고 프로세서 내에만 있기 때문에 구글 또는 호스트에서 실행되는 다른 노드에서는 사용할 수 없다”는 구글의 설명이다.

덕분에 기업이나 조직은 민감한 정보의 집계 및 분석 과정에서도 데이터의 기밀성을 유지할 수 있다. 신뢰를 기반으로 공동 데이터를 분석하고, 머신러닝(ML) 모델 학습과 같은 작업을 수행할 수 있다. 또한 클라우드 서비스 제공업체(CSP)가 액세스할 수 없고, 모든 외부 세력에 대해 소유한 데이터를 보호할 수 있다.