최근 서버 통합을 하면서 꼭 필요한 요소로 떠오른 가상화된 IT환경에 벤더 중립적인 보안지침(가이드라인)을 마련해야 한다는 지적이 제기됐다.

이는 한 벤더의 제품 및 그 지침에 치우친 가상환경만을 적용했을 경우, 가상화 보안기술의 벤더 종속성이 커질 수 있기 때문이다.

또한 최근 국내외 서버 가상화 시장을 독식하고 있는 VM웨어에 대한 경계의 의미를 담고 있기도 하다.

익명을 요구한 한 보안 전문가는 벤더에 독립적인 가상화 구성 지침을 만드는 것은 기업의 IT시스템 보안에 매우 중요한 의미를 갖고 있다고 강조했다.

그는 “현재 대부분의 기업들이 마이크로소프트(MS) 제품 혹은 플랫폼을 쓰고 있다”며 “이로 인해 기업이 주도권을 가지고 IT보안 정책을 유지하는 것이 아닌, MS의 보안지침에 매번 의지해야 하는 처지에 놓여 있다”고 밝혔다. 가상화도 MS는 경우와 같은 벤더 종속성을 경계해야 한다는 설명이다.

이 같은 종속성부터 기업을 해방시키려면, 가상화 환경을 구성하고 있는 일반적인 요소를 체계적으로 파악 및 서술해야 한다. 이후 위협이 될 수 있는 다양한 침해요소를 구체적으로 파악해야 한다. 여기에 기업마다 특색 있는 전산환경을 고려해 적절한 가상화 보안 지침을 마련해야 한다는 지적이다.

이런 것이 가능해지면 기업은 한 기업에 대한 기술 종속성을 줄이고, 좀 더 안정적인 가상화 환경을 운영할 수 있다고 전문가들은 설명했다.

전문가들에 따르면 가상 환경에 대한 가이드라인은 매우 다양했다. 가상머신을 설치하기 위한 하드웨어 요구조건부터, 커뮤니케이션을 위한 네트워크 보안, 로컬 액세스 컨트롤을 위한 인증, 호스트와 게스트 간의 파일공유 문제 등이 대표적인 사례.

그러나 체계적인 벤더 중립적인 지침을 만들기 위해서는 공신력 있는 컨설팅 및 전문 테스트 기관이 이런 지침을 만드는데 관심을 가져야 한다. 실제 가상 환경을 운영하고 있는 기업도 참여해야 한다는 전문가들의 설명이다.

한편 서버 가상화 환경은 일반 하나의 운영체제에서 단일 서비스를 제공하는 일반적인 서버보다 복잡한 보안환경을 가져, 외부 공격에 취약하다는 지적이다.

서버 가상화 기술에선 한 서버 안에 여러 개의 가상 머신을 운영한다. 만약 한 호스트가 보안 취약성을 갖고 있다면 묶여진 여러 개의 가상머신을 비롯해 애플리케이션까지 동일한 위험에 처할 수 있다. 이 때문에 가상 환경을 적용한 서버는 물리적으로 독립된 서버보다 해킹 공격에 노출됐을 경우 오히려 그 피해가 커질 수 있다는 지적이다.