• 전자공학회논문지
• /
• 제51권9호
• /
• pp.103-108
• /
• 2014

클라우드 컴퓨팅 서비스 환경에서 가상화 기술은 클라우드 컴퓨팅을 위한 필수 요소로 자리잡고 있다. 가상화는 한정된 물리 자원을 공유하므로 가상 머신에 대한 자원 할당 관리는 중요하다. 일련의 작업은 하이퍼바이저에 존재하는 스케줄러에 의해 이루어지는데 특정 가상 머신에 I/O 요청이 집중되는 경우, 기존의 스케줄러는 이에 대한 처리가 미흡하다. 이는 특히, 가상 머신 상에서 소프트웨어 로드 밸런서를 구동시킬 때 두드러진다. 본 논문에서는, 이를 해결하기 위해 가상화 환경에서 동작하는 소프트웨어 로드 밸런서의 성능을 향상시킬 수 있는 구조를 제안한다. 가용 유휴 자원이 존재할 경우, 스케줄러와 소프트웨어 로드 밸런서 간의 통신을 통해 멀티 프로세스로 동작함으로써 유휴 자원을 활용할 수 있도록 한다. 이를 통해 가상 머신에서 할당하는 자원 변경에 의한 오버 헤드 없이 로드 밸런서의 성능을 향상시킬 수 있음을 보인다.

• 디지털콘텐츠학회 논문지
• /
• 제19권3호
• /
• pp.453-460
• /
• 2018

가상화 기술의 대표적인 특징은 사용자의 시스템 환경을 격리시킬 수 있고 컴퓨팅 자원을 사용자가 요구에 따라 유연하고 확장성 있게 지원할 수 있다는 점이다. 하지만 이미 잘 알려진 클라우드 컴퓨팅의 가상화 기술은 게스트 OS와 이를 관리하기 위한 하이퍼바이저 부하를 감수해야 한다. 이런 OS 기반의 가상화 문제점을 해결하기 위해 최근 컨테이너 기술이 부각되고 있다. 이 기술은 어플리케이션이 수행되는 프로세스를 격리화 시킴으로써 부하를 최소화 하면서 가상화와 유사한 환경을 구성할 수 있다. 본 연구에서는 기존 구축했던 클라우드 기반의 교육 실습 테스트 환경을 컨테이너 기반의 도커를 통해 구성하고자 한다. 이를 위해 교육 실습환경 구축시에 필요한 요구 사항을 분석하였다. 또한 컨테이너의 기능들을 분석하여 요구사항을 충족하기 위한 방법을 연구하였다. 이는 실습환경에 맞게 유연하고 확장성 있는 기존의 클라우드의 장점을 살리고, 성능부하의 이슈를 최소화함으로써 한정된 자원의 활용성을 최대화 할 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권11호
• /
• pp.5642-5670
• /
• 2017

Antivirus is an important issue to the security of virtual machine (VM). According to where the antivirus system resides, the existing approaches can be categorized into three classes: internal approach, external approach and hybrid approach. However, for the internal approach, it is susceptible to attacks and may cause antivirus storm and rollback vulnerability problems. On the other hand, for the external approach, the antivirus systems built upon virtual machine introspection (VMI) technology cannot find and prohibit viruses promptly. Although the hybrid approach performs virus scanning out of the virtual machine, it is still vulnerable to attacks since it completely depends on the agent and hooks to deliver events in the guest operating system. To solve the aforementioned problems, based on in-memory signature scanning, we propose an agentless runtime antivirus system VirtAV, which scans each piece of binary codes to execute in guest VMs on the VMM side to detect and prevent viruses. As an external approach, VirtAV does not rely on any hooks or agents in the guest OS, and exposes no attack surface to the outside world, so it guarantees the security of itself to the greatest extent. In addition, it solves the antivirus storm problem and the rollback vulnerability problem in virtualization environment. We implemented a prototype based on Qemu/KVM hypervisor and ClamAV antivirus engine. Experimental results demonstrate that VirtAV is able to detect both user-level and kernel-level virus programs inside Windows and Linux guest, no matter whether they are packed or not. From the performance aspect, the overhead of VirtAV on guest performance is acceptable. Especially, VirtAV has little impact on the performance of common desktop applications, such as video playing, web browsing and Microsoft Office series.

• 디지털융복합연구
• /
• 제12권3호
• /
• pp.227-235
• /
• 2014

모바일 가상화는 두 개의 가상 플랫폼을 하나의 무선 장치에 탑재하는 모바일 장치 관리의 한 접근 방법이다. 단일 무선 장치인 스마트폰은 사업용과 개인용으로의 가상 환경으로 사용될 수 있을 것이다. 모바일 가상화는 또한 동일한 장치에 두 개의 운영체제인 RTOS와 안드로이드 앱이 동시에 수행되는 환경일 수 있다. 본 논문에서는 멀티코아에서 각 코아를 가상화하고, 물리 CPU(pCPUs)에 배당된 여러 가상 CPU(vCPU)를 재 할당하는 기법을 제시하며 또한 가상 CPU들을 물리 CPU에 할당하기 위한 실시간 스케줄링 방법을 제안한다. 본 논문에서 제안된 기술은 인터럽트 처리시에 실시간 처리의 시간 지연을 해결하였고, 이전의 알고리즘보다 빠른 처리를 가능하게 한다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1225-1241
• /
• 2014

고객정보 유출 방지를 위해 금융기관은 DLP(Data Leaks Prevention) 관련 정보보호 제품을 도입하고 내부통제 정책을 강화하고 있다. 그러나 정보의 수집, 제공, 이용, 저장 과정의 핵심적 역할을 담당하는 응용프로그램에 대한 관리 및 기술적 통제는 매우 미흡한 실정이며, 응용프로그램을 통한 정보유출 사고를 예방하거나 대책 마련을 위한 내부통제 정책의 이행에 어려움을 겪고 있다. 본 논문에서는 금융기관의 개인정보 취급 및 주요 유통 경로 현황 분석을 통해 문제점을 제기하고 정보유출 방지를 위한 효율적인 내부통제 보안기술의 필요성을 제시하였다. 이에 따라 가상화 및 모바일 분야에서 부분적으로 사용되고 있는 컨테이너 기술을 응용하여 클라이언트 PC 응용프로그램의 보안 취약점을 보완하고 정보유출 방지 기능을 제공하는 새로운 보안 컨테이너를 설계 구현하였으며, 실제 금융기관 업무시스템에 적용하여 정보유출 방지 및 IT 컴플라이언스 내부통제와 관련된 정책 수행능력의 효과성을 검증하였다. 또한 정책 설정을 통해 보안 컨테이너에 추가 보안 기능을 제공하고 보안 컨테이너를 재사용함으로써 보안 취약점 대응 비용 및 시간을 줄여 IT 컴플라이언스 규제 준수를 위한 보안 컨테이너의 효용 가치를 높였다.

• 한국정보통신학회논문지
• /
• 제18권11호
• /
• pp.2670-2677
• /
• 2014

Xen, KVM 등과 같은 하이퍼바이저를 이용한 가상 머신 생성 기술이 클라우드 인프라 구성에 주로 사용되고 있다. 이 기술은 기존의 운영 방식에 비해 자원을 할당하고 관리하는 측면에서는 효율적이다. 그러나, 이 기술은 가상머신 생성시에 높은 자원의 사용량이 요구되고 할당된 자원을 사용하지 않는 경우에는 또 다른 자원의 낭비를 초래한다. 이러한 문제점을 해결하기 위한 방법이 컨테이너 기반의 Docker이다. 본 논문은 가상 머신 방식과 컨테이너 방식을 비교하여 웹 서버 구축 기술로 Docker와 같은 컨테이너 방식이 효율적임을 보여준다. 특히, 웹 서버나 프로그램 개발 환경과 같이 데이터를 데이터베이스나 스토리지 등에 저장하는 경우에는 유용한 것으로 분석되었다. 앞으로의 클라우드 환경에서 Docker와 같은 컨테이너 방식이 자원의 효율성과 관리의 편의성을 더욱 높일 수 있을 것으로 기대된다.

• 융합정보논문지
• /
• 제9권9호
• /
• pp.27-32
• /
• 2019

유비쿼터스-헬스케어의 발전과 함께 사이버 공격에 대처하기 위한 개인의료정보 처리를 위한 CloudHIS의 망 분리를 기반으로 한 보안 강화를 제안한다. 모든 보안 위협으로부터 보호하고 명확한 데이터 보안 정책을 수립하기 위해 CloudHIS용 데스크톱 컴퓨팅 서버를 클라우드 컴퓨팅 서비스에 적용한다. 하이퍼 바이저 아키텍처를 갖춘 두 대의 PC를 사용하여 물리적 망분리를 적용하고 KVM 스위치를 사용하여 네트워크를 선택할 수 있다. 다른 하나는 두 개의 OS가 있는 하나의 PC를 사용하는 논리적 망분리이지만 네트워크는 가상화를 통해 분할된다. 물리적 망 분리는 인터넷과 업무망 모두에서 액세스 경로를 차단하기 위해 각 네트워크에 대한 PC의 물리적 연결이다. 제안된 시스템은 사용자의 실제 데스크톱 컴퓨터에서 서버 가상화 기술을 통해 인트라넷 또는 인터넷에 액세스하는 데 사용되는 독립적인 데스크톱이다. 보안 강화를 처리하기 위해 네트워크 분리를 통해 의료병원 정보를 처리하는 클라우드 시스템인 CloudHIS를 구성하여 해킹을 방지하는 적응형 솔루션을 구현할 수 있다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1355-1362
• /
• 2012

최근 다양한 형태의 서비스를 제공하기 위하여 클라우드 컴퓨팅 서비스의 활용도가 증가됨에 따라 가상화 기술이 급부상 하면서 가상화 영역의 접근에 대한 안전성과 신뢰성 등 보안 문제가 이슈화되고 있다. 하이퍼바이저는 복수의 운영체제를 탑재할 수 있는 환경을 제공해주는 시스템으로 가상화 계층에 접근이 가능하면 모든 Agent에 손상을 가져올 수 있기 때문에 통제권 상실이나 권한탈취 등 여러 공격들의 대상이 될 수 있다. 본 논문은 클라우드 가상화 내부 환경의 취약점으로 인하여 Agent에 발생 가능한 보안 위협을 정의하고, 분석 결과를 기반으로 접근통제 Agent를 통하여 클라우드 가상화 내부 환경 보안성 강화 방안을 연구한다.

• 사물인터넷융복합논문지
• /
• 제9권3호
• /
• pp.21-26
• /
• 2023

애플리케이션의 개발 및 배포 방식이 모노리스에서 마이크로서비스로 전환되며 경량 가상화 기술인 컨테이너가 IT 핵심 기술로 자리 잡고 있다. 그러나 컨테이너 기술은 기존 하이퍼바이저 기반의 가상머신과 달리 동일한 커널을 공유하는 방식으로 구체적인 보안 경계를 제공하지 못한다. 다양한 선행연구에 따르면 현재 공유되는 대부분의 컨테이너 이미지에는 다수의 보안 취약점이 존재한다. 이에, 공격자들은 보안 취약점을 이용하여 익스플로잇을 시도할 수 있으며 이는 시스템 환경에 심각한 영향을 미칠 수 있다. 따라서 본 연구에서는 보안 취약점이 존재하는 컨테이너 이미지가 배포되는 것을 방지하기 위한 효율적인 자동화 배포 파이프라인 설계 방안을 제시한다. 이를 통해 안전한 컨테이너 환경을 제공할 수 있을 것이다.

• 한국차세대컴퓨팅학회논문지
• /
• 제13권3호
• /
• pp.26-33
• /
• 2017

최근 클라우드 플랫폼을 효율적으로 사용하기 위한 컨테이너 기술들이 주목을 받고 있다. 컨테이너 가상화 기술은 기존 하이퍼바이저와 비교하였을 때 이식성이 뛰어나고 집적도가 높다는 장점을 가지고 있다. 하지만 컨테이너 가상화 기술은 하나의 커널을 공유하여 복수개의 인스턴스를 구동하는 운영체제 레벨의 가상화 기술을 사용하기 때문에 인스턴스 간 공유 자원 요소가 많아져 취약성 또한 증가하는 보안 문제를 가지고 있다. 컨테이너는 컴퓨팅 자원의 효율적 운용을 위해 호스트 운영체제의 라이브러리를 공유하는 특성으로 인해 공격자는 커널의 취약점을 이용하여 호스트 운영체제의 루트 권한 획득 공격이 가능하다. 본 논문에서는 컨테이너가 사용하는 특정 메모리 영역의 변화를 감지하고, 감지 시에는 해당 컨테이너의 동작을 중지시키는 메모리 트랩 기법을 사용하여 컨테이너 내부에서 발생되는 호스트 운영체제의 루트 권한 탈취 공격을 효율적으로 탐지 및 대응하기 위한 프레임워크를 제안한다.