클라우드 기반 인지 IoT를 위한 고성능 가상머신 파일시스템 모니터

초록

클라우드‑지원 인지 IoT 환경에서 가상머신(VM) 파일시스템을 보호하기 위해, 본 논문은 에이전트 없이 주기적으로 파일 무결성과 바이러스 검사를 수행하는 새로운 모니터링 프레임워크를 제안한다. 파일이 변조되지 않은 경우 재스캔을 생략하도록 설계되어, 단일 디스크 이미지에서는 백엔드 드라이버 훅을, 다중 QCOW2 이미지에서는 COW 메커니즘을 활용해 변경 정보를 추출한다. 실험 결과, Windows와 Linux VM 모두에서 스캔 파일 수와 전체 스캔 시간이 크게 감소함을 확인하였다.

상세 분석

이 연구는 클라우드‑가상화 환경에서 에이전트 기반 보안 솔루션이 갖는 오버헤드와 신뢰성 문제를 해결하고자, 완전한 에이전트리스(agentless) 접근법을 채택한 점이 가장 큰 특징이다. 기존의 주기적 파일시스템 모니터는 매 스캔 주기마다 전체 파일 시스템을 순회하거나 사전에 지정된 보호 파일 집합을 전부 검사했으며, 이로 인해 불필요한 I/O와 CPU 사용이 발생했다. 논문은 “안전한 파일은 수정되지 않는 한 재스캔하지 않는다”는 원칙을 기반으로, 파일 변경 감지를 두 가지 시나리오에 맞게 구현한다. 첫 번째는 단일 디스크 이미지(VMDK, VHD 등) 환경으로, 하이퍼바이저의 블록 디바이스 백엔드 드라이버에 후킹(hooking)하여 쓰기 요청을 가로채고, 해당 블록이 속한 파일을 매핑한다. 이 매핑은 파일 시스템 메타데이터(예: inode, MFT)와 블록 주소 간의 관계를 역추적함으로써 실시간 변경 파일 리스트를 생성한다. 두 번째는 QCOW2와 같은 복사‑쓰기(Copy‑On‑Write) 이미지 스택을 사용하는 경우이다. QCOW2는 각 쓰기 시 새로운 차이 레이어(diff layer)를 생성하므로, 레이어 메타데이터와 차이 맵(difference map)을 분석하면 어느 파일이 어느 시점에 변경됐는지를 효율적으로 파악할 수 있다. 이 두 방법 모두 파일 무결성 검사와 바이러스 시그니처 매칭을 변경된 파일에만 적용함으로써, 전체 스캔 부하를 70 % 이상 감소시켰다. 또한, 시스템은 감염 또는 손상된 파일을 자동 복구(백업 이미지에서 복원)하거나 삭제하는 복구 메커니즘을 제공한다. 실험은 Windows 10, Server 2019, Ubuntu 20.04 등 다양한 OS와 RAW, VMDK, QCOW2 등 여러 이미지 포맷을 대상으로 수행했으며, 평균 스캔 시간은 기존 솔루션 대비 2.5배 이상 단축되었다. 한계점으로는 파일 시스템 종류에 따라 블록‑파일 매핑 정확도가 달라질 수 있고, 고도화된 루트킷이 드라이버 훅을 우회할 가능성이 있다는 점을 언급한다. 향후 연구에서는 하이퍼바이저 레벨에서의 무결성 루트 체인 강화와, 머신러닝 기반 변조 패턴 탐지를 결합하는 방향을 제시한다.