보안 코드 실행의 미래: 협업적 eBPF 접근 방식 수용하기

사이버 보안 분야에서는 항상 강력하고 신뢰할 수 있는 코드 실행 방법을 찾고 있습니다. eBPF(확장 버클리 패킷 필터) 및 특수 샌드박싱 기술과 같은 도구가 핵심 솔루션으로 자리 잡았습니다.

하지만 2024년 여름에 있었던 두 가지 이벤트는 이러한 도구의 강점과 약점을 모두 보여줍니다.

• 2024년 6월: 주요 EDR(엔드포인트 탐지 및 대응) 공급업체의 Linux 드라이버가 eBPF(향상된 버클리 패킷 필터) 코드 검증기의 버그로 인해 Linux 커널이 충돌하여 Linux 고객들에게 큰 장애를 일으킬 수 있었습니다.  

• 2024년 7월: 같은 공급업체가 자체 개발한 보안 코드 실행 환경의 버그로 인해 업데이트가 커널을 충돌시키고 시스템을 부팅할 수 없게 만들 수 있었습니다. 이로 인해 Windows 고객에게 더 큰 피해를 입히고 널리 알려지게 되었습니다.  

이 두 사건은 라이브 시스템에 대한 저수준 시스템 업데이트를 수행하는 두 가지 다른 방법과 코드 실행의 보안을 유지하기 위해 통합된 개방형 접근 방식을 선호해야 하는 이유를 보여줍니다.

빠른 코드 업데이트와 시스템 안정성의 균형 맞추기

오늘날과 같이 빠르게 변화하는 위협 환경에서는 보안 도구에 대한 업데이트를 신속하게 전송하여 위협이 문제를 일으키기 전에 차단하는 것이 중요합니다. 이러한 업데이트는 몇 분 또는 몇 시간 내에 모든 보안 시스템에 도달해야 합니다. 위협으로 인해 이러한 볼륨이 필요한 경우 공급업체에서 하루에 여러 번 EDR '센서'를 원격으로 실시간 패치할 수 있습니다.  

하지만 균형이 있습니다:  

• 운영 체제와 긴밀하게 통합된 보안 도구에 업데이트를 보내면 때때로 큰 장애가 발생할 수 있습니다.  

• 하지만 업데이트를 너무 오래 기다리면 멀웨어가 확산될 수 있습니다.  

해결책은 코드의 취약성을 신속하게 완화하고 운영 체제 코드가 보안 도구와 인터페이스해야 하는 위치를 정의하는 안전하고 안전한 방법을 찾는 것입니다.

안전한 코드 실행 솔루션 고급 샌드박싱 대 eBPF

코드가 실행되기 전에 안전하고 올바른지 확인하는 데 도움이 되는 두 가지 기술이 등장했습니다:

특화된 샌드박스 기술  

샌드박싱은 소규모의 집중된 가상 머신(VM)과 검증기를 사용하여 안전하고 승인된 코드만 실행되도록 합니다.  

이러한 가상 머신은 전체 운영 체제를 실행하는 기존의 하이퍼바이저 기반 시스템과는 다릅니다. 대신 특정 가상 명령어 집합을 사용하여 프로그램을 안전하게 실행하도록 설계되었습니다(예: VMware가 아닌 Java 또는 JavaScript 가상 머신이 작동하는 방식).  

검증기는 코드가 실행되기 전에 코드를 검사하여 안전하고 올바른지 확인하는 것이 핵심입니다. 이 접근 방식은 잠재적으로 위험한 작업을 격리하여 코드를 실행할 수 있는 안전한 공간을 만듭니다.

샌드박스에서 실행되는 프로그램은 어셈블리 언어 프로그램과 같습니다. 대부분의 프로세서에서 작동할 수 있는 작고 기본적인 지침 세트를 사용합니다. 이 단순한 설계는 코드를 효율적으로 만들고 샌드박스 또는 커널 환경에서 안전하게 실행할 수 있도록 보장합니다.

eBPF

확장 버클리 패킷 필터는 특히 Linux 시스템에서 보다 통합적인 접근 방식을 취합니다. 커널 내부에서 코드를 안전하게 실행할 수 있으므로 시스템 안정성을 위협하지 않으면서 더 나은 가시성과 제어 기능을 제공합니다.  

eBPF에는 코드의 안전성을 보장하는 강력한 내장 검증기가 있습니다. 이렇게 하면 안전하지 않은 명령어가 포함된 코드가 실행되는 것을 방지하고 보다 간소화되고 효율적인 코드 실행 방법을 제공합니다.

2024년 7월 IT 서비스 중단: 안전한 코드 실행에 대해 배운 점

보호 장치가 마련되어 있더라도 최근 발생한 사건에서 샌드박스 도구와 eBPF 기술의 취약점이 드러났습니다.  

Linux 서비스 중단은 운영 체제 오류를 일으킨 eBPF 검증기의 버그로 인해 발생한 것이 사실입니다. 이는 eBPF와 같은 고급 도구에도 문제가 있을 수 있으므로 경각심을 갖고 지속적으로 개선하는 것이 중요하다는 것을 보여줍니다. 하지만 커뮤니티 솔루션의 일부이기 때문에 eBPF 검증기를 수정한 결과는 향후에 다른 영향을 미칩니다.  

검증기 버그가 발견되자 커뮤니티는 신속하게 협력하여 이를 수정했습니다. 이러한 공동의 노력은 모두를 위해 eBPF를 개선하고 유사한 문제가 다시 발생할 가능성을 낮추는 데 도움이 됩니다.

Windows 환경에서 발생한 죽음의 블루 스크린(BSOD) 사고는 메모리 오류로 인해 발생했습니다. 이러한 오류는 특수 샌드박싱 도구와 검증 시스템의 배열 크기가 일치하지 않아서 발생했습니다. 사고를 분석하고 완화하기 위한 노력은 강력한 검증 프로세스가 얼마나 중요한지 보여주었습니다. 이렇게 하면 취약점으로 인해 시스템 안정성이 손상되는 것을 방지할 수 있습니다.  

독점적인 샌드박싱 VM 및 검증 시스템은 eBPF와 달리 폐쇄적인 에코시스템에서 작동합니다. 확인된 버그를 수정할 수는 있지만, 이러한 개선 사항은 단일 공급업체의 사용자에게만 도움이 됩니다. 이러한 사일로화된 작업 방식은 보안 개선 사항의 공유 속도를 늦추고 다른 곳에서 유사한 문제가 발생할 가능성을 높입니다.

통합된 접근 방식을 향해: eBPF의 사례

이러한 대조적인 사건은 보안 코드를 실행하기 위해 공유된 개방형 시스템을 사용하는 것이 얼마나 중요한지 보여줍니다.  

eBPF의 협업 접근 방식은 다양한 플랫폼에서 보안 도구를 개선하기 위한 강력한 기반을 구축합니다. 운영 체제에 내장된 단일 가상 머신과 검증기를 사용하면 조직은 일관성이 없고 잠재적으로 안전하지 않은 여러 개의 DIY 시스템을 만들지 않아도 됩니다.

이 아이디어의 좋은 예가 바로 Windows에 eBPF를 도입하기 위한 작업입니다. 조직은 운영 체제에 eBPF를 추가하여 낮은 수준의 보안 도구를 실행할 수 있는 안전하고 표준화된 환경을 만들 수 있습니다. 이러한 변화는 운영 체제를 더욱 안전하게 만들 뿐만 아니라 업계 전반에 걸쳐 eBPF의 입증된 접근 방식을 사용하도록 장려합니다.

안전한 커널 통합을 통해 여러 운영 체제에서 보안 기반을 혁신하려는 노력은 이 아이디어의 잠재력을 보여줍니다. 이 프로젝트는 eBPF의 기능을 사용하여 보안 도구가 다양한 운영 체제에서 작동할 수 있도록 보다 안전하고 연결된 시스템을 구축하는 것을 목표로 합니다.

사이버 보안의 미래를 위한 eBPF의 의미

최근 보안 도구와 관련된 문제들은 eBPF 도입이 사이버 산업에 어떤 이점을 가져다줄 수 있는지 보여줍니다. 개방적이고 협업적인 모델을 통해 조직은 eBPF를 솔루션에 통합함으로써 얻을 수 있는 잠재적인 이점을 고려할 수 있습니다.  

eBPF를 사용하면 커널 패닉과 같은 시스템 충돌에 대한 책임이 운영 체제 제공업체로 이전됩니다. 이러한 문제를 처리하고 시스템을 안전하고 안정적으로 유지할 수 있도록 더 잘 준비되어 있습니다.

또한 신뢰할 수 있는 운영 체제 제공업체를 통해 eBPF를 안전하게 유지함으로써 조직은 고객에게 더 빠르고 안정적인 업데이트를 제공하는 데 집중할 수 있습니다. 이 방법은 보안을 유지하면서 빠르게 개선할 수 있다는 목표를 지원합니다.  

업데이트를 실행하기 전에 신중한 테스트가 여전히 중요하지만, eBPF에 내장된 안전 기능을 사용하면 시스템이 실행되는 동안 문제가 발생할 가능성을 크게 낮출 수 있습니다.

협업 수용은 안전한 코드 실행의 미래입니다.

코드 실행 문제로 인해 발생한 최근의 사고는 강력하고 안정적인 환경을 유지하는 것이 얼마나 복잡한 일인지 보여줍니다.  

독점적인 샌드박싱 가상 머신 및 검증기는 조직에 더 많은 제어 및 사용자 지정 기능을 제공할 수 있지만 광범위한 보안 개선으로부터 차단됩니다. 반면, eBPF의 개방적이고 협력적인 접근 방식은 지속적인 개선과 보안 혜택을 공유할 수 있는 더욱 강력한 시스템을 구축합니다.

업계가 발전함에 따라 협업과 표준화를 장려하는 eBPF와 같은 모델을 사용하면 더욱 강력하고 안전한 시스템을 구축하는 데 도움이 될 수 있습니다. 조직은 커뮤니티의 공유 지식을 활용하여 보안을 개선하기 위해 도구에 eBPF를 추가함으로써 많은 이점을 얻을 수 있습니다.  

이러한 협업의 정신으로 사이버 보안의 미래는 모두에게 더 밝고 안전해 보입니다.

지금 바로 문의하세요 를 클릭해 Illumio 제로 트러스트 세분화 플랫폼에 대해 자세히 알아보세요.