• 디지털콘텐츠학회 논문지
• /
• 제19권3호
• /
• pp.453-460
• /
• 2018

가상화 기술의 대표적인 특징은 사용자의 시스템 환경을 격리시킬 수 있고 컴퓨팅 자원을 사용자가 요구에 따라 유연하고 확장성 있게 지원할 수 있다는 점이다. 하지만 이미 잘 알려진 클라우드 컴퓨팅의 가상화 기술은 게스트 OS와 이를 관리하기 위한 하이퍼바이저 부하를 감수해야 한다. 이런 OS 기반의 가상화 문제점을 해결하기 위해 최근 컨테이너 기술이 부각되고 있다. 이 기술은 어플리케이션이 수행되는 프로세스를 격리화 시킴으로써 부하를 최소화 하면서 가상화와 유사한 환경을 구성할 수 있다. 본 연구에서는 기존 구축했던 클라우드 기반의 교육 실습 테스트 환경을 컨테이너 기반의 도커를 통해 구성하고자 한다. 이를 위해 교육 실습환경 구축시에 필요한 요구 사항을 분석하였다. 또한 컨테이너의 기능들을 분석하여 요구사항을 충족하기 위한 방법을 연구하였다. 이는 실습환경에 맞게 유연하고 확장성 있는 기존의 클라우드의 장점을 살리고, 성능부하의 이슈를 최소화함으로써 한정된 자원의 활용성을 최대화 할 수 있다.

• 융합보안논문지
• /
• 제23권4호
• /
• pp.23-32
• /
• 2023

클라우드 컴퓨팅 환경에서 컨테이너 기반 가상화는 게스트 운영체제 대신에 호스트 운영체제를 공유함으로써 가벼운 사용감으로 가상머신 기반 가상화 기술의 대안으로 많은 관심을 받고 있다. 그러나 호스트 운영체제를 공유함으로써 발생하는 문제점이 컨테이너 기반 가상화의 취약성을 높일 수 있다. 특히 컨테이너들이 자원들을 과도하게 사용함으로 인해 컨테이너들의 격리성을 침해할 수 있는 noisy neighbor problem은 사용자들의 가용성을 위협하게 되므로 보안 문제로 인식할 필요가 있다. 본 논문에서는 컨테이너 기반 가상화 환경에서 noisy neighbor problem이 격리성 보장을 위협할 수 있는 취약성을 고찰한다. 이를 위해 컨테이너 기반의 가상화 구조를 분석하여 기능별 계층에 대한 격리성 보장에 위협이 될 수 있는 취약점을 도출하고 해결 방향과 한계점을 제시한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2017년도 추계학술대회
• /
• pp.330-334
• /
• 2017

Container 기반 가상화 환경에서는 가상 실행 환경 들이 호스트 OS를 공유함으로써 기존 가상화가 수반하는 오버헤드를 감소시키고, 가상 실행 환경 간의 isolation을 보장한다. 이로 인해 최근 embedded device와 같은 system 자원이 제한적인 환경에서도 서로 다른 가상 실행 환경 또는 호스트 실행 환경의 자원에 대한 접근을 차단할 수 있는 sandboxing의 목적으로 활발히 연구 및 적용되고 있다. 하지만, 가상 실행 환경들이 공유하는 호스트 OS 및 호스트 실행 환경에 존재하는 보안 취약점이 있을 경우 이를 악용한 공격자가 가상 실행 환경으로의 접근 및 제어를 할 수 있게 되는 보안 위협이 존재하여 이의 방지에 대한 필요성이 증가하였다. 본 논문에서는 가상 실행 환경에 대한 임의 접근 및 비인가 행위를 차단하기 위해 가상 실행 환경접근 권한 모델을 정의하고 이를 제어하는 Container 접근 제어 기법을 제안한다. 또한, 공격자의 Container 접근 제어 기능 무력화 방지를 위해 커널 드라이버 인증 기법을 제안한다. 제안된 기법은 Linux 커널에 구현 및 테스트되었으며, 가상 실행 환경에 대한 임의 접근 및 비인가 행위 차단 결과를 보인다.

• 한국차세대컴퓨팅학회논문지
• /
• 제13권3호
• /
• pp.26-33
• /
• 2017

최근 클라우드 플랫폼을 효율적으로 사용하기 위한 컨테이너 기술들이 주목을 받고 있다. 컨테이너 가상화 기술은 기존 하이퍼바이저와 비교하였을 때 이식성이 뛰어나고 집적도가 높다는 장점을 가지고 있다. 하지만 컨테이너 가상화 기술은 하나의 커널을 공유하여 복수개의 인스턴스를 구동하는 운영체제 레벨의 가상화 기술을 사용하기 때문에 인스턴스 간 공유 자원 요소가 많아져 취약성 또한 증가하는 보안 문제를 가지고 있다. 컨테이너는 컴퓨팅 자원의 효율적 운용을 위해 호스트 운영체제의 라이브러리를 공유하는 특성으로 인해 공격자는 커널의 취약점을 이용하여 호스트 운영체제의 루트 권한 획득 공격이 가능하다. 본 논문에서는 컨테이너가 사용하는 특정 메모리 영역의 변화를 감지하고, 감지 시에는 해당 컨테이너의 동작을 중지시키는 메모리 트랩 기법을 사용하여 컨테이너 내부에서 발생되는 호스트 운영체제의 루트 권한 탈취 공격을 효율적으로 탐지 및 대응하기 위한 프레임워크를 제안한다.

• Journal of Information Processing Systems
• /
• 제14권6호
• /
• pp.1398-1404
• /
• 2018

High-performance computing (HPC) provides to researchers a powerful ability to resolve problems with intensive computations, such as those in the math and medical fields. When an HPC platform is provided as a service, users may suffer from unexpected obstacles in developing and running applications due to restricted development environments and dependencies. In this context, operating system level virtualization can be a solution for HPC service to ensure lightweight virtualization and consistency in Dev-Ops environments. Therefore, this paper proposes three types of typical HPC structure for container environments built with HPC container and Docker. The three structures focus on smooth integration with existing HPC job framework, message passing interface (MPI). Lastly, the performance of the structures is analyzed with High Performance Linpack benchmark from the aspect of performance degradation in network communications under Docker.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.21-27
• /
• 2023

클라우드 컴퓨팅 환경에서 서버나 애플리케이션들이 수 분 사이에 구축되고 장애 발생 시 복구 또한 쉬워졌다. 특히, 잠시 서비스하기 위해서 물리적인 서버를 구축하는 것 보다 클라우드에서 가상 서버를 이용하면 편리함과 동시에 비용도 저렴하다. 하지만 그러한 서버나 애플리케이션들의 기반이 되는 네트워크나 보안시스템은 대부분 하드웨어 기반으로 구성되어 있어 클라우드 가상화 적용에 어려움이 많다. 클라우드 내에서도 네트워크나 보안설비 등에 대한 가상화를 통한 보호가 필요하게 되었다. 본 논문은 네트워크 가상화 기술을 활용하여 클라우드 네트워크의 보안을 강화하는 방법에 대한 연구를 다루고 있다. 가상 서버 및 가상 네트워크를 생성해 다양한 보안 이점을 제공하는 가상화 기술을 활용해 링크 가상화와 라우터 가상화를 적용하여 보안이 강화된 네트워크를 구성하였다. 구성된 네트워크에 가상 방화벽 기능을 적용해 네트워크를 격리할 수 있었으며, 이 결과를 토대로 가상화 환경에서 보안 취약점을 극복하고 안전한 네트워크 구성을 위한 관리 전략을 제안하는데 기여할 것으로 기대된다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1225-1241
• /
• 2014

고객정보 유출 방지를 위해 금융기관은 DLP(Data Leaks Prevention) 관련 정보보호 제품을 도입하고 내부통제 정책을 강화하고 있다. 그러나 정보의 수집, 제공, 이용, 저장 과정의 핵심적 역할을 담당하는 응용프로그램에 대한 관리 및 기술적 통제는 매우 미흡한 실정이며, 응용프로그램을 통한 정보유출 사고를 예방하거나 대책 마련을 위한 내부통제 정책의 이행에 어려움을 겪고 있다. 본 논문에서는 금융기관의 개인정보 취급 및 주요 유통 경로 현황 분석을 통해 문제점을 제기하고 정보유출 방지를 위한 효율적인 내부통제 보안기술의 필요성을 제시하였다. 이에 따라 가상화 및 모바일 분야에서 부분적으로 사용되고 있는 컨테이너 기술을 응용하여 클라이언트 PC 응용프로그램의 보안 취약점을 보완하고 정보유출 방지 기능을 제공하는 새로운 보안 컨테이너를 설계 구현하였으며, 실제 금융기관 업무시스템에 적용하여 정보유출 방지 및 IT 컴플라이언스 내부통제와 관련된 정책 수행능력의 효과성을 검증하였다. 또한 정책 설정을 통해 보안 컨테이너에 추가 보안 기능을 제공하고 보안 컨테이너를 재사용함으로써 보안 취약점 대응 비용 및 시간을 줄여 IT 컴플라이언스 규제 준수를 위한 보안 컨테이너의 효용 가치를 높였다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제21권9호
• /
• pp.587-595
• /
• 2015

전통적으로 고에너지 물리, 해양, 기상, 천문 우주 등 다양한 과학 분야에서 수천 코어 이상의 CPU를 사용하는 대규모 워크플로우 지원을 요구하고 있으며 이를 위해 대부분 슈퍼컴퓨터와 같은 클러스터 기반의 대용량 시스템이 활용되고 있다. 이러한 시스템은 다수의 사용자 및 기관에 의해 공유되고 있으며, 사용자들의 다양한 요구 사항으로 인해 시스템 운영 및 관리에 많은 어려움이 있다. 본 논문에서는 가상화로 인한 성능 저하 문제를 최소화하고 사용자가 원하는 환경을 동적으로 제공하기 위해 컨테이너 기반 클러스터 관리 플랫폼 방안을 제시하고 구축 사례를 소개한다. 본 논문의 의의는 다음 3가지로 볼 수 있다. 먼저, 컨테이너 기반 가상화 기술과 스케줄러 기능을 연동하여 큰 성능 저하 없이 대규모의 과학워크플로우 지원을 위한 클러스터 구성 및 관리 방안을 제시하였다. 둘째, Docker 와 HTCondor를 활용하여 제시된 방안을 손쉽게 구축한 사례를 소개하였다. 셋째, 널리 활용되는 벤치마크 툴을 이용하여 Docker 성능을 검증하였으며, 다양한 프로그램 언어로 구현된 몬테카를로 시뮬레이션을 통해 과학 워크플로우 지원 예제를 제시하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.75-86
• /
• 2017

오늘날 다양한 서버 내 가상화 기술 중 도커(Docker)는 기존의 방식보다 경량화된 서비스 운영 환경을 제공함으로써 많은 기업 환경에 도입되고 있다. 도커는 이미지, 컨테이너 개념을 통해 서버 환경 구축, 업데이트, 이동을 효율적으로 할 수 있게 지원한다. 도커가 많이 보급될수록 도커 이미지를 배포하는 서버나 도커 기반의 호스트에 대한 공격 유인이 증가할 것이다. 이에 본 논문에서 도커 데몬이 비활성화 된 상태에서도 컨테이너의 파일 시스템을 추출할 수 있는 방안을 포함하여 도커를 사용하는 호스트에 대한 포렌식 조사 기법과 그 절차를 제시하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2021년도 제63차 동계학술대회논문집 29권1호
• /
• pp.1-3
• /
• 2021

서버 가상화 기술은 초기 하이퍼바이저 방식에서 비즈니스 민첩성을 높일 수 있는 컨테이너 기술로 진화하고 있다. 하지만, 컨테이너 기술은 운영체제를 공유하고 잦은 빌드와 배포로 보안과 안정성에 대한 문제가 제기되고 있다. 이에 따라 본 논문에서는 서버 가상화 기술인 하이퍼바이저와 컨테이너 기술을 비교분석하고 애플리케이션 특성을 분석한다. 하이퍼바이저 기술은 하드웨어 가상화를 통해 안정성이 높은 반면 복잡하고 무거우며 속도가 느린 단점이 있다. 컨테이너 기술은 하이퍼바이저에 비해 가볍고 성능이 향상되는 반면 보안 및 안정성에 문제가 발생할 수 있다는 단점이 있다. 이를 통해 미션 크리티컬 워크로드를 가진 애플리케이션은 안정성이 우수한 하이퍼바이저 기술이 적합하고, 자원 사용이 가변적인 애플리케이션은 서버 확장이 유연하고 성능이 우수한 컨테이너 기술이 적합하다고 제안한다.