2019.11.25

보안 최후의 방어선은 '투명성'··· '오픈소스 RoT'가 주목받는 이유

James Kobielus | InfoWorld
기업 데이터센터는 점점 더 국제 첩보 활동의 표적이 되고 있다. 세계 어디서든, 국가 첩보 기관과 연계된 해커든 아니든, 하드웨어 RoT(Roots of Trust)에 주목하고 있다.
 
ⓒ Getty Images Bank

컴퓨팅 플랫폼에서 RoT는 사이버 보안 공격에 대한 최후의 방어선이다. 운영 체제나 응용 프로그램이 안전해 보여도 RoT가 무단으로 훼손된 하드웨어 플랫폼에서 실행되면 지극히 위험해질 수 있다. 결국 가장 중요한 것은 신뢰다. 하드웨어 플랫폼의 RoT가 붕괴하면, 해당 플랫폼에 있는 모든 데이터, 프로세스, 다른 자산에 지속해서 은밀하게 접근할 수 있고, 아울러 이와 연결된 시스템에도 접근할 수 있다. 엣지, 메시, 여타 분산형 아키텍처에 근본적인 이른바 ‘제로-트러스트 보안’조차 각 하드웨어 노드의 펌웨어가 해커에 의해 은밀히 훼손되지 않았음을 전제로 한다.

따라서 하드웨어 수준의 RoT는 최소한 다음과 같은 핵심 기능을 수행해야 한다.

- 서버나 디바이스의 고유 키, 인증 정보, 여타 보안 모듈을 안전하게 저장하고, 1단계 부팅 펌웨어로의 접근을 적극적으로 제어
- 부팅 중 하드웨어 펌웨어를 안전하게 식별하고 인증하도록 신뢰성 있는 실행 환경을 조성
- 코드 보호, 데이터 보호, 응용 프로그램 격리, 펌웨어 무결성 보장, 위변조 방지를 제공하고, 아울러 제반 응용 프로그램 보안에 필요한 기타 서비스를 제공
- 서버나 디바이스가 정확하고 위조되지 않은 펌웨어 코드로만 부팅되는지 확인
- 이용자가 고유한 기기 식별 정보를 이용해 서버나 디바이스가 정당한지 확인할 수 있도록 보장
- 머신이 신뢰할만하고, 취약점이 유입되지 않았고, 해커에 의해 은밀히 통제되고 있지 않음을 암호학적으로 증명
- 암호키 등의 비밀 정보가 위조되지 않도록 보호. 심지어 서버나 디바이스를 옮길 때 등 이에 물리적으로 접근하는 사람으로부터도 비밀 정보를 보호
- 신뢰할만한 위변조 감지 감사 기록과 기타 런타임 보안 서비스를 제공
- 최초의 명령이 실행되기 전에 발생한 모든 것의 정확한 순서를 확인

전통적으로, 보안 기능은 사유기술인 경우가 많고 대개 특정 하드웨어 플랫폼에 특화돼 있다. 또한, 칩 제조업체가 긴밀하게 보호하는 비밀 지적 재산도 있다. 얼핏 보면 이러한 기밀성이 하드웨어 RoT를 안전하게 유지하는데 더 유리한 것처럼 보인다. 그러나 이보다 더 중요한 것이 있다. 즉, 높은 투명성이다. 잡다한 비표준 비밀 RoT의 문제는 이들이 해커에 의해 훼손되지 않았는지 직접 검사하는 것이 사실상 불가능하거나, 최소한 지극히 어렵다는 것이다.

그러나 투명성과 표준화는 RoT와 관련해 가장 중요한 접근법이다. 만약 이용자가 최하위 펌웨어 코드 수준에서 머신을 검사하고, 이해하고, 신뢰할 수 있고, 현재의 설정을 표준적인 오픈 소스 모형과 비교할 수 있다면 이용자는 기기가 무단으로 해킹됐는지 한층 쉽게 확인할 수 있다.

투명성은 또한 공급망 공격의 위험을 경감할 수 있다. 즉, 신뢰할 수 없거나 보안에 취약한 하드웨어 공급업체, 또는 수출용으로 설계된 시스템에 감시 백도어를 넣는데 거리낌이 없는 하드웨어 공급업체로 인해 발생하는 위험이다. 하드웨어 RoT에 대한 공개적인 참조 표준이 있다면, 하드웨어 보안이, 예를 들어 공장 직원으로 가장한 비밀 요원에 의해 훼손됐는지 판단하는 데 유용하다.

공급망 공격은 사소한 문제가 아니다. 중국 등 기술적으로 발전한 나라가 지정학적 이익을 위해 독재적 권위를 휘두르는 오늘날에는 특히 그렇다. 최근, 구글은 이런 움직임에 대응하기 위해 오픈타이탄(OpenTitan) 프로젝트를 발표하기도 했다. 이 RoT 프로젝트는 구글이 타이탄 칩을 제작할 때 사용한 보안 원칙을 활용한다. 타이탄 칩은 전 세계에 있는 구글의 데이터센터에 설치돼 있다. 오픈 타이탄 프로젝트 하에서 누구나 더 투명하고 신뢰성 있는 RoT 칩 설계, 통합 가이드라인 개발에 참여할 수 있다.

현재 이 프로젝트는 구글, ETH(ETH Zürich), G + D 모바일 시큐리티, 로리스크(lowRISC), 누버튼 테크놀로지(Nuvoton Technology) 웨스턴 디지털의 엔지니어와 연구자가 주도하고 있으며, 기준 펌웨어, 검증 자료, 기술 설명서 등을 포괄한다. 또한 타이탄 설계는 오픈 소스 로리스크 아이벡스(Ibex) 마이크로프로세서, 암호화 프로세서, 하드웨어 난수 생성기, 키 및 메모리 계층, 여타 칩 수준의 컴포넌트를 포괄한다. 이는 데이터센터 서버, 스토리지 장치, 주변 기기, 메인보드, 사물인터넷 기기, 여타 하드웨어를 융합하도록 설계됐다.

타이탄 프로젝트의 최종 결과물은 무료로 이용할 수 있고, 사업자와 플랫폼을 불문하며 작동한다. 이 프로젝트는 영국에 소재한 비영리 단체인 로리스크(lowRISC)가 관리한다. 이 단체는 협업 엔지니어링을 통해 장기적으로 오픈 소스 칩 설계 및 툴을 개발하고 관리한다. 오픈타이탄 리포지터리는 현재 깃허브에서 이용할 수 있고, 이의 구현에 참여하려면 인증 과정을 통과해야 한다.
 
코드 검증을 진정으로 유효하게 만들기 위해 오픈타이탄은 응용 프로그램 계층에서 보완적 역량을 구축하고 있는 다른 오픈소스 연구성과를 보안 RoT 설계와 연동해야 할 것으로 보인다. 이와 관련해 가장 주목할만한 활동은 최근 발표된 코드QL이다. 코드 베이스의 보안 취약점을 찾아내는 의미론적 코드 분석 엔진이자 쿼리 툴이다. 연구에 사용하거나 오픈소스 코드를 분석하려는 누구나 깃허브에서 무료로 다운로드할 수 있다. 이밖에 리눅스 재단은 최근 출범시킨 컨피덴셜 컴퓨팅 컨소시엄도 있다. 하드웨어 계층에서 응용 프로그램 보안을 강제하는 오픈 프레임워크를 개발하고 있다.

오픈타이탄 프로젝트가 지지를 얻고 채택될 것인지는 아직 미지수다. 이 프로젝트는 내년 말쯤 기준 설계와 가이드라인을 내놓을 것으로 보인다. 이것이 실제 상용 하드웨어에서 보편화하려면 2~3년 정도 더 걸릴 것이다. 일부 국가가 이 설계를 거부할 것인지를 확인하려면 시간이 더 걸릴 것이다. 수출용 하드웨어에 계속해서 비밀 백도어를 넣는 것이 어려워지는 상황을 꺼릴 수 있기 때문이다. ciokr@idg.co.kr



2019.11.25

보안 최후의 방어선은 '투명성'··· '오픈소스 RoT'가 주목받는 이유

James Kobielus | InfoWorld
기업 데이터센터는 점점 더 국제 첩보 활동의 표적이 되고 있다. 세계 어디서든, 국가 첩보 기관과 연계된 해커든 아니든, 하드웨어 RoT(Roots of Trust)에 주목하고 있다.
 
ⓒ Getty Images Bank

컴퓨팅 플랫폼에서 RoT는 사이버 보안 공격에 대한 최후의 방어선이다. 운영 체제나 응용 프로그램이 안전해 보여도 RoT가 무단으로 훼손된 하드웨어 플랫폼에서 실행되면 지극히 위험해질 수 있다. 결국 가장 중요한 것은 신뢰다. 하드웨어 플랫폼의 RoT가 붕괴하면, 해당 플랫폼에 있는 모든 데이터, 프로세스, 다른 자산에 지속해서 은밀하게 접근할 수 있고, 아울러 이와 연결된 시스템에도 접근할 수 있다. 엣지, 메시, 여타 분산형 아키텍처에 근본적인 이른바 ‘제로-트러스트 보안’조차 각 하드웨어 노드의 펌웨어가 해커에 의해 은밀히 훼손되지 않았음을 전제로 한다.

따라서 하드웨어 수준의 RoT는 최소한 다음과 같은 핵심 기능을 수행해야 한다.

- 서버나 디바이스의 고유 키, 인증 정보, 여타 보안 모듈을 안전하게 저장하고, 1단계 부팅 펌웨어로의 접근을 적극적으로 제어
- 부팅 중 하드웨어 펌웨어를 안전하게 식별하고 인증하도록 신뢰성 있는 실행 환경을 조성
- 코드 보호, 데이터 보호, 응용 프로그램 격리, 펌웨어 무결성 보장, 위변조 방지를 제공하고, 아울러 제반 응용 프로그램 보안에 필요한 기타 서비스를 제공
- 서버나 디바이스가 정확하고 위조되지 않은 펌웨어 코드로만 부팅되는지 확인
- 이용자가 고유한 기기 식별 정보를 이용해 서버나 디바이스가 정당한지 확인할 수 있도록 보장
- 머신이 신뢰할만하고, 취약점이 유입되지 않았고, 해커에 의해 은밀히 통제되고 있지 않음을 암호학적으로 증명
- 암호키 등의 비밀 정보가 위조되지 않도록 보호. 심지어 서버나 디바이스를 옮길 때 등 이에 물리적으로 접근하는 사람으로부터도 비밀 정보를 보호
- 신뢰할만한 위변조 감지 감사 기록과 기타 런타임 보안 서비스를 제공
- 최초의 명령이 실행되기 전에 발생한 모든 것의 정확한 순서를 확인

전통적으로, 보안 기능은 사유기술인 경우가 많고 대개 특정 하드웨어 플랫폼에 특화돼 있다. 또한, 칩 제조업체가 긴밀하게 보호하는 비밀 지적 재산도 있다. 얼핏 보면 이러한 기밀성이 하드웨어 RoT를 안전하게 유지하는데 더 유리한 것처럼 보인다. 그러나 이보다 더 중요한 것이 있다. 즉, 높은 투명성이다. 잡다한 비표준 비밀 RoT의 문제는 이들이 해커에 의해 훼손되지 않았는지 직접 검사하는 것이 사실상 불가능하거나, 최소한 지극히 어렵다는 것이다.

그러나 투명성과 표준화는 RoT와 관련해 가장 중요한 접근법이다. 만약 이용자가 최하위 펌웨어 코드 수준에서 머신을 검사하고, 이해하고, 신뢰할 수 있고, 현재의 설정을 표준적인 오픈 소스 모형과 비교할 수 있다면 이용자는 기기가 무단으로 해킹됐는지 한층 쉽게 확인할 수 있다.

투명성은 또한 공급망 공격의 위험을 경감할 수 있다. 즉, 신뢰할 수 없거나 보안에 취약한 하드웨어 공급업체, 또는 수출용으로 설계된 시스템에 감시 백도어를 넣는데 거리낌이 없는 하드웨어 공급업체로 인해 발생하는 위험이다. 하드웨어 RoT에 대한 공개적인 참조 표준이 있다면, 하드웨어 보안이, 예를 들어 공장 직원으로 가장한 비밀 요원에 의해 훼손됐는지 판단하는 데 유용하다.

공급망 공격은 사소한 문제가 아니다. 중국 등 기술적으로 발전한 나라가 지정학적 이익을 위해 독재적 권위를 휘두르는 오늘날에는 특히 그렇다. 최근, 구글은 이런 움직임에 대응하기 위해 오픈타이탄(OpenTitan) 프로젝트를 발표하기도 했다. 이 RoT 프로젝트는 구글이 타이탄 칩을 제작할 때 사용한 보안 원칙을 활용한다. 타이탄 칩은 전 세계에 있는 구글의 데이터센터에 설치돼 있다. 오픈 타이탄 프로젝트 하에서 누구나 더 투명하고 신뢰성 있는 RoT 칩 설계, 통합 가이드라인 개발에 참여할 수 있다.

현재 이 프로젝트는 구글, ETH(ETH Zürich), G + D 모바일 시큐리티, 로리스크(lowRISC), 누버튼 테크놀로지(Nuvoton Technology) 웨스턴 디지털의 엔지니어와 연구자가 주도하고 있으며, 기준 펌웨어, 검증 자료, 기술 설명서 등을 포괄한다. 또한 타이탄 설계는 오픈 소스 로리스크 아이벡스(Ibex) 마이크로프로세서, 암호화 프로세서, 하드웨어 난수 생성기, 키 및 메모리 계층, 여타 칩 수준의 컴포넌트를 포괄한다. 이는 데이터센터 서버, 스토리지 장치, 주변 기기, 메인보드, 사물인터넷 기기, 여타 하드웨어를 융합하도록 설계됐다.

타이탄 프로젝트의 최종 결과물은 무료로 이용할 수 있고, 사업자와 플랫폼을 불문하며 작동한다. 이 프로젝트는 영국에 소재한 비영리 단체인 로리스크(lowRISC)가 관리한다. 이 단체는 협업 엔지니어링을 통해 장기적으로 오픈 소스 칩 설계 및 툴을 개발하고 관리한다. 오픈타이탄 리포지터리는 현재 깃허브에서 이용할 수 있고, 이의 구현에 참여하려면 인증 과정을 통과해야 한다.
 
코드 검증을 진정으로 유효하게 만들기 위해 오픈타이탄은 응용 프로그램 계층에서 보완적 역량을 구축하고 있는 다른 오픈소스 연구성과를 보안 RoT 설계와 연동해야 할 것으로 보인다. 이와 관련해 가장 주목할만한 활동은 최근 발표된 코드QL이다. 코드 베이스의 보안 취약점을 찾아내는 의미론적 코드 분석 엔진이자 쿼리 툴이다. 연구에 사용하거나 오픈소스 코드를 분석하려는 누구나 깃허브에서 무료로 다운로드할 수 있다. 이밖에 리눅스 재단은 최근 출범시킨 컨피덴셜 컴퓨팅 컨소시엄도 있다. 하드웨어 계층에서 응용 프로그램 보안을 강제하는 오픈 프레임워크를 개발하고 있다.

오픈타이탄 프로젝트가 지지를 얻고 채택될 것인지는 아직 미지수다. 이 프로젝트는 내년 말쯤 기준 설계와 가이드라인을 내놓을 것으로 보인다. 이것이 실제 상용 하드웨어에서 보편화하려면 2~3년 정도 더 걸릴 것이다. 일부 국가가 이 설계를 거부할 것인지를 확인하려면 시간이 더 걸릴 것이다. 수출용 하드웨어에 계속해서 비밀 백도어를 넣는 것이 어려워지는 상황을 꺼릴 수 있기 때문이다. ciokr@idg.co.kr

X