일본산업뉴스요약

'컨피덴셜 컴퓨팅(Confidential Computing)'에 주목 -- 퍼블릭 클라우드에서 ‘제로 트러스트’ 실현
  • 카테고리사물인터넷/ ICT/ 제조·4.0
  • 기사일자 2021.1.8
  • 신문사 Nikkei X-TECH
  • 게재면 online
  • 작성자hjtic
  • 날짜2021-01-16 21:28:02
  • 조회수462

Nikkei X-TECH_2021.01.08

'컨피덴셜 컴퓨팅(Confidential Computing)'에 주목
퍼블릭 클라우드에서 ‘제로 트러스트’ 실현

2021년은 ‘컨피덴셜 컴퓨팅’이 주목을 끄는 해가 될 전망이다. 퍼블릭 클라우드에서 유저가 이용하는 가상 머신(VM)의 메모리를 암호화하는 시큐리티 기술로서, 구글의 퍼블릭 클라우드인 구글 클라우드가 2020년 7월부터 베타 버전의 제공을 개시했다. 클라우드의 안전성이 더욱 향상되기 위해 금융기관이나 의료기관 등의 클라우드 이용이 촉진될 것으로 보인다.

지금까지도 주요 퍼블릭 클라우드에서는 VM의 스토리지(하드디스크나 SSD)에 보존한 데이터나 VM과 스토리지 간에 전송되는 데이터는 암호화되어 있었다. 그러나 데이터는 메모리로 전개할 때 복호화되어 CPU가 데이터를 처리할 때는 암호화되지 않았다. 그 때문에 동일 하드웨어 상에 있는 다른 VM나 호스트 OS로부터 VM를 격리하는 시큐리티 기구가 어떤 식으로의 수법으로 돌파될 경우, 메모리 상에 있는 데이터가 탈취당할 우려가 있었다.

이에 반해 컨피덴셜 컴퓨팅은 데이터가 메모리 상에 있어 CPU가 처리하고 있는 경우에도 CPU가 탑재하는 기능에 따라 상시 암호화한다. 구글 클라우드의 컨피덴셜 컴퓨팅인 ‘Confidential VMs’의 경우는 미국 Advanced Micro Devices(AMD, 어드밴스트 마이크로 디바이스)의 제2세대 AMD EPYC가 탑재하는 ‘AMD SEV(Secure Encrypted Virtualization’이라는 기능을 사용하고 있다. 그 때문에 이 프로세서를 탑재하는 VM에서만 컨피덴셜 컴퓨팅을 이용할 수 있다.

구글 클라우드의 Confidential VMs에서는 암호키는 하드웨어에 의해 VM마다 만들어지기 때문에 다른 VM 등에서 데이터를 읽어낼 수는 없다. 구글 클라우드의 시스템관리자일지라도 VM의 메모리상에 있는 데이터에는 손을 댈 수 없다는 것을 하드웨어를 통해 보장한 구조라고 할 수 있다. 데이터의 기밀 유지의 레벨을 기존의 것보다 한 단계 높였다고 말할 수 있을 것이다.

-- 암호화 오버헤드는 적다고 주장 --
데이터의 암호화에는 오버헤드가 발생한다. 그러나 AMD SEV를 사용하는 경우, 전용 하드웨어가 데이터의 암호화를 담당하기 때문에 소프트웨어로 암호화하는 것에 비해 오버헤드를 줄일 수 있다. 구글은 ‘AMD Cloud Solution의 엔지니어 팀과 밀접하게 제휴해 워크 로드 퍼포먼스를 방해하지 않는 VM 메모리 암호화를 실현’(발표문) 했다고 주장하고 있다. 또한 구글 클라우드의 Confidential VMs를 사용할 때는 사용자 어플리케이션의 코드를 변경할 필요가 없다.

마이크로소프트도 2020년 4월부터 퍼블릭 클라우드의 Azure로 컨피덴셜 컴퓨팅의 서비스를 제공하고 있지만, 이쪽은 VM 속의 하드웨어에 의해 보호된 ‘엔클레이브(Enclave)’라고 하는 영역을 만들어 내는 방식이다. 엔클레이브를 사용하려면 애플리케이션 측에서의 대응이 필요하다. 이쪽은 인텔의 Xeon(제온)이 탑재하는 ‘Intel SGX(Software Guard Extensions)’라고 하는 기능을 사용하고 있다.

또 마이크로소프트는 2020년 10월의 발표로, 2021년에 Azure의 컨피덴셜 컴퓨팅을 갱신해, 차세대 Xeon(개발 코드명은 Ice Lake)이 탑재하고 있는 신세대의 Intel SGX를 사용한다고 한다. Ice Lake의 Intel SGX에서는 완전한 메모리의 암호화와 암호화의 퍼포먼스가 개선된다(마이크로소프트의 발표문)고 하며 “컨피덴셜 컴퓨팅의 시나리오를 더욱 확장시킬 수 있게 된다”(마이크로소프트)라고 한다.

구글 클라우드의 Confidential VMs와 같이 어플리케이션을 손대지 않아도 컨피덴셜 컴퓨팅을 사용할 수 있게 될지는 알 수 없지만, 현재의 엔클레이브 방식보다는 사용 문턱이 낮아질 가능성이 있다.

-- IBM도 구글 따라잡기 --
IBM도 2020년 11월에 AMD 간에 컨피덴셜 컴퓨팅에 관한 다년의 공동 개발에 합의했다고 발표했다. 구글이 AMD와 Confidential VMs를 공동 개발한 것처럼 IBM도 같은 틀로 따라간다.

2020년 IT업계의 유행어는 ‘제로 트러스트’였다. 그 누구도 신뢰할 수 없다는 콘셉트를 네트워크 시큐리티의 세계에 도입했다. 기존의 퍼블릭 클라우드는 VM의 메모리 상의 데이터가 암호화되지 않아 퍼블릭 클라우드 사업자 측의 접근을 완전히 배제할 수 없었다. 즉, 데이터의 기밀성에 관해서는 퍼블릭 클라우드 사업자를 신뢰할 수 밖에 없었다는 점에서는 제로 트러스트는 아니었다. 컨피덴셜 컴퓨팅은 퍼블릭 클라우드에서도 제로 트러스트를 실현하는 기술이 될 것으로 보인다.

 -- 끝 --

Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.

목록