최신 연구 소식

SelMon : 범용 하드웨어 기반 신뢰 연산 기술
작성일2020-12-04 03:32:13

강병훈 교수팀은 범용하드웨어(디버그 와치포인트 및 데이터 실행 방지 기능: DEP)기반 신뢰 연산 기술을 국제 우수 시스템 학회 중 하나인 MobiSys’20(1저자: 충남대학교 장진수 교수)에 발표하였다. 

 

신뢰 연산 기술은 삼성 녹스와 같은 보안 플랫폼에서 주로 사용되는 기술로서 ARM 프로세서의TrustZone 보안 기술과 가상화 기술 등을 활용하여 일반 실행 환경으로부터 격리된 신뢰 실행 환경(Trusted Execution Environment: TEE)을 구성하고 보안에 민감한 서비스(암호화 연산)들을 신뢰 실행 환경 내에서 안전하게 실행 가능하게 한다. 신뢰 연산 기술은 전세계 수억 대의 스마트 기기에서 활용되고 있지만 신뢰 실행 환경 내의 소프트웨어 취약점이 존재할 경우 여전히 공격가능하다는 단점을 지닌다. 공동 연구진은 이러한 문제를 해결하고 신뢰 실행 환경 자체의 보안성을 향상시키기 위해 범용 하드웨어 기능인 디버그 와치포인트와 데이터 실행 방지 기능(DEP)을 활용하여 신뢰 실행 환경 내에서의 특권을 나누고 상위 특권을 지닌 영역에 대한 접근 제어를 수행하는 방법을 제안하였다. 


 

 

제안된 방식은 하이퍼바이저를 대상으로 구현되었다. 하이퍼바이저의 페이지테이블, 시스템 설정 명령어 등 공격에 활용될 수 있는 요소들은 특권 영역(privileged region)에 격리 시켰다. 특권 영역에 대한 읽기/쓰기를 방지하기 위해 와치포인트를 설정하여 비특권 영역(Non-privileged region)의 실행 중 특권 영역에 대한 접근을 제한하였다. 또한 특권 영역을 쓰기 권한으로 매핑하고 비특권 영역의 실행 중에는 데이터 실행 방지 기능을 활성화하여 비특권 영역에서 특권 영역으로의 비정상적인 실행 흐름 이동을 방지하였다. 두 영역 간의 이동 및 접근 제어는 와치포인트 및 데이터 실행 방지 기능을 동적으로 설정하기 위해 설계된 트램폴린 코드에 의해서 수행된다. 

 

기존 제안된 방식들이 특정 아키텍처에 제한적으로 적용 가능하거나 최신 스마트 폰에 적용하기 어렵다는 단점을 지닌 반면, 본 연구에서 제안된 방식은 범용 하드웨어를 활용한다는 점에서 향상된 확장성과 가용성을 지닌다. 발표된 논문은 https://dl.acm.org/doi/10.1145/3386901.3389023에서 찾아 볼 수 있다.