±Ùº»ÀûÀÎ º¸¾È ¹®Á¦ ÇØ°á °¡´ÉÇÏ°í, Àΰ£ Á¶·Â ¹Þ´Â »çÀ̹ö ±â¼ú ±¸ÇöÇؾß
[º¸¾È´º½º ¿À´ÙÀÎ ±âÀÚ] »ï¼ºÀüÀÚ°¡ º¸¾È ±â¼úÀ» ÁÖÁ¦·Î ù Æ÷·³À» °³ÃÖÇß´Ù. Á¦1ȸ »ï¼ºº¸¾È±â¼úÆ÷·³(SSTF: Samsung Security Technology Forum)Àº ¼¼°èÀûÀÎ º¸¾È Àü¹®°¡ 2ÀÎÀ» ±âÁ¶¿¬¼³ÀÚ·Î ÃÊûÇß´Ù. SSTF´Â ¼¿ï½Ã ¼Ãʱ¸ »ï¼ºÀüÀÚ ¼¿ï R&D Ä·ÆÛ½º¿¡¼ ¾îÁ¦(21ÀÏ) ¿ÀÀü 9½Ã 30ºÐºÎÅÍ Àú³á 6½Ã±îÁö ¿·È´Ù.
À̳¯ ȯ¿µ»ç¿¡¼ ¾È±æÁØ »ï¼ºÀüÀÚ Àü¹«(¼ÒÇÁÆ®¿þ¾î¼¾ÅÍ ½ÃÅ¥¸®Æ¼ÆÀÀå)´Â ½Å·Ú ¾øÀÎ Áö¼Ó°¡´É°æ¿µÀ» º¸ÀåÇÒ ¼ö ¾ø´Ù°í ¸»Çß´Ù. ¾È Àü¹«´Â ¡°Æ¯È÷ »ç¹°ÀÎÅÍ³Ý °°Àº ±â±â¸¦ »ç¿ëÇÏ°Ô µÇ¸é¼ ½Å·Ú°¡ Áß¿äÇØÁø´Ù¡±¸ç ¡°¡®¾î¶»°Ô ¹Ì¼Ç Å©¸®Æ¼ÄÃÇÑ ¼ºñ½º¸¦ °í°´¿¡°Ô Á¦°øÇÒ °ÍÀΰ¡¡¯¶ó´Â ¹®Á¦°¡ ½Å·Ú¿Í Á÷°áµÅ ÀÖ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°»çÀ̹ö À§ÇùÀº °ø°Ý°ú ¹æ¾î¸¦ ÇÑ ¹ø¾¿ ÁÖ°í¹Þ´Â ÇÎÆþ °ÔÀÓÀÌ ¾Æ´Ï¡±¶ó¸ç ¡°¼ö¹é ¹ø ¹æ¾îÇÏ´õ¶óµµ ÇÑ ¹ø °ø°ÝÀÌ ¼º°øÇϸé (±â¾÷Àº) ½ÇÆÐÇÏ´Â °Í¡±À̶ó°í ¸»ÇØ º¸¾ÈÀÇ Á߿伺À» °Á¶Çß´Ù.
¾È Àü¹«´Â ÀÌ·± ¶æÀ» °®°í 2ÀÎÀÇ ±âÁ¶¿¬¼³ÀÚ¸¦ ÇØ¿Ü¿¡¼ ÃÊûÇß´Ù°í ¹àÇû´Ù. ù ¹ø° ±âÁ¶¿¬¼³Àº ¡®»ó¿ë ÄÄÇ»ÅÍ ½Ã½ºÅÛ¿¡¼ ·çÆ® ¿Àºê Æ®·¯½ºÆ®(RoT)¸¦ ±¸ÃàÇÏ°í À¯ÁöÇϱâ(Establishing and Maintaining Root of Trust on Commodity Computer Systems)¡¯¸¦ ÁÖÁ¦·Î ¹öÁú ±Û¸®°í¸£°¡, µÎ ¹ø° ±âÁ¶¿¬¼³Àº ¡®¿ä¶÷¿¡¼ ¼¹ö·ë±îÁö »çÀ̹ö ÀÚÁÖ±Ç ´Þ¼ºÇϱâ(Reaching for Cyber Autonomy – From the Cradle to the Server Room)¡¯¸¦ ÁÖÁ¦·Î ¾á ¼î½ÃŸÀ̽úô¸®°¡ °¿¬Çß´Ù.
¡ã¹öÁú ±Û¸®°í¸£ ±³¼ö°¡ SSTF¿¡¼ °¿¬ÇÏ´Â ¸ð½À [»çÁø=º¸¾È´º½º]
¹öÁú ±Û¸®°í¸£(Virgil Gligor)´Â ¹Ì±¹ Ä«³×±â ¸á·Ð ´ëÇб³ Àü±â ÄÄÇ»ÅÍ °øÇаú ±³¼ö·Î º¸¾È ¹× ÇÁ¶óÀ̹ö½Ã ¿¬±¸±â°üÀÎ ½ÎÀÌ·¦(CyLab) ¼Ò¼ÓÀÌ´Ù. Ä«³×±â ¸á·Ð ´ëÇб³¿¡ µû¸£¸é, ±Û¸®°í¸£´Â ¾à 40³â°£ ¾×¼¼½º ÄÁÆ®·Ñ ¸ÞÄ¿´ÏÁò, ħÅõ ºÐ¼®, ¼ºñ½º °ÅºÎ º¸È£, ¾ÏÈ£ ÇÁ·ÎÅäÄÝ, ÀÀ¿ë ¾ÏÈ£ÇÐÀ» ¿¬±¸Çß´Ù.
±Û¸®°í¸£´Â ÄÄÇ»ÅÍ ½Ã½ºÅÛ º¸¾ÈÀÇ ¡°±Ùº»ÀûÀÎ ¹®Á¦¡±µé¿¡ ÁýÁßÇß´Ù. ±Ùº»ÀûÀÎ ¹®Á¦¸¦ ÇØ°áÇÏ¸é º¸¾ÈÀÇ ¸ñÇ¥ÀÎ ¡°¹«Á¶°ÇÀûÀÎ º¸¾È(unconditional security)¡±À» ´Þ¼ºÇÒ ¼ö ÀÖÀ» °ÍÀ̶ó´Â ¶æ¿¡¼¿´´Ù. ±Û¸®°í¸£´Â Àΰ£Àº ºÒ¿ÏÀüÇÑ Á¸ÀçÁö¸¸ ¿ÏÀüÇÑ º¸¾È ¼ºñ½º¸¦ ±¸ÃàÇÏ¸é ±× ºÒ¿ÏÀüÇÔÀ» ±Øº¹ÇÒ ¼ö ÀÖ´Ù°í ¼³¸íÇß´Ù.
±×´Â º¸¾È ħÇØ ¿ä¼Ò¸¦ ¡®Àû(adversary)¡¯À̶ó°í ±ÔÁ¤ÇÑ µÚ, ¾î¶² ¿ä¼Ò°¡ º¸¾ÈÀÇ ÀûÀÎÁö ¸íÈ®È÷ ¹àÇô³»¾ß ÇÑ´Ù°í ¸»Çß´Ù. ±Û¸®°í¸£¿¡ µû¸£¸é, º¸¾ÈÀÇ ÀûÀº Áö±Ý±îÁö ¹ß»ýÇÑ ¸ðµç ÇüÅÂÀÇ °ø°ÝÀ» ½ÇÇàÇÒ ¼ö ÀÖ°í, º¹ÀâÇÑ ¾ÏÈ£µµ »ç½Ç»ó ¸ðµÎ ¹«·ÂÈÇÒ ¼ö ÀÖÀ¸¸ç, °³ÀÎ PC·ÎºÎÅÍ ¼ÒÇÁÆ®¿þ¾î ±â¹ÐÀ» ¸ðµÎ Å»ÃëÇÒ ¼ö ÀÖ´Ù. ¡°ÀÌ·± Àûµé¿¡ °üÇØ ¸ðµÎ°¡ Àß ¾Ë°í ÀÖ½À´Ï´Ù. ¾î¶² °ÍÀÌ ¾î¶»°Ô º¸¾ÈÀ» ¹«³Ê¶ß¸± ¼ö ÀÖ´ÂÁö¿¡ ´ëÇØ ´Ùµé ¾Ë°í ÀÖÁÒ.¡± ±×·¯³ª °³ÀÎÀÌ ¸¶À½´ë·Î »ý°¢Çس½ ¼ýÀÚ¸¦ ¿¹ÃøÇÏ´Â °ÍÀ̳ª °³ÀÎ PC¿¡ ¹°¸®ÀûÀ¸·Î Á¢±ÙÇÏ´Â °ÍÀº º¸¾ÈÀÇ ÀûÀÌ ÇÒ ¼ö ¾ø´Â ÀÏÀ̶ó°í ±Û¸®°í¸£´Â ¼³¸íÇß´Ù.
±×·¸´Ù¸é ÀÌ·± À§Çù ¿ä¼Ò´Â ¾î¶»°Ô ´ëÀÀÇÒ ¼ö ÀÖÀ»±î? ±Û¸®°í¸£´Â RoT ±¸ÃàÀ» µé¾ú´Ù. RoT´Â ¡®Root of Trust¡¯ÀÇ ÁÙÀÓ¸»Àε¥ ¡°°ËÁõ °¡´ÉÇÑ ºÎÆÃ(Verifiable Boot)¡±¶ó°íµµ ºÎ¸¥´Ù. RoT´Â ºÎÆÃÇÏ´Â ´Ü°è¿¡¼ OS°¡ ½Å·ÚÇÒ ¸¸ÇÑ(Trustworthy) ¸ðµâ¸¸À» °É·¯ÁÖ´Â ±â´ÉÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù. ±×·¯³ª RAMÀ» º¸È£ÇÏ´õ¶óµµ ±× ¹ÛÀÇ ºÎºÐ¿¡ ´ëÇÑ º¸¾ÈÀ» È®½ÅÇÒ ¼ö ¾ø´Ù´Â Á¡ µîÀ» µé¾î ±Û¸®°í¸£´Â ¡®¼ÒÇÁÆ®¿þ¾î Áõ¸í ±³È¯(Software Attestation Exchange)¡¯À» Á¦½ÃÇß´Ù. ÀÌ´Â °Ë»çÇÕ(Checksum)À» ÀÌ¿ëÇØ °ËÁõÇÏ´Â ¹æ½ÄÀÌ´Ù.
±Û¸®°í¸£´Â ÄÄÇ»ÅÍ ½Ã½ºÅÛÀÇ À§Çù ¿ä¼Ò¿Í ¡°¾ÈÀüÇÏ°Ô °øÁ¸(safe coexistence)¡±ÇÏ´Â °Íµµ º¸¾ÈÀÇ ÇÑ ¹æ¹ýÀ̶ó°í ¸»Çß´Ù. ±×´Â ÀÛ°Ô ÂÉ°µ º¸¾È ¿ä¼ÒµéÀ» ¡°À«ÇÁ(Wimps)¡±¶ó°í ĪÇߴµ¥, ÀÌ À«ÇÁµéÀ» °¨¿° °¡´É¼ºÀÌ Å« Àüü ÄÄÇ»ÅÍ ½Ã½ºÅÛ ¡°ÀÚÀ̾ðÆ®(Giants)¡±¿Í ºÐ¸®½ÃÅ°¸é¼ ÇÔ²² ±¸¼ºÇØµÑ ¼öµµ ÀÖ´Ù°í ¼³¸íÇß´Ù. À«ÇÁÀÇ ¿¹·Î ¡âÅ©¸³Åä ¶óÀ̺귯¸®(Crypto library) ¡â¾Û ÂüÁ¶ ¸ð´ÏÅÍ(App reference monitor) ¡â¹«°á¼º È®ÀÎ(Integrity Checking) µîÀÌ ÀÖ´Ù. ±Û¸®°í¸£´Â ƯÈ÷, ä³ÎÀ» ºÐ¸®ÇÒ ¹æ¹ýÀÌ ¾ø¾î º¸¾È¿¡ Ãë¾àÇÑ I/O ½Ã½ºÅÛ ¿ª½Ã ¡®Wimpy I/O Kernel¡¯À» ÅëÇØ ºü¸£°Ô °ËÁõÇÏ¸é ¹®Á¦¸¦ ÇØ°áÇÒ ¼ö ÀÖÀ» °ÍÀ̶ó°í ¸»Çß´Ù.
±Û¸®°í¸£´Â Ä«½ºÆÛ½ºÅ° ·¦ÀÌ ¹ß°ßÇÑ ¸Ö¿þ¾î ¡®µÎÄíÅõ(DUQU2.0)¡¯¸¦ ¾ð±ÞÇÏ¸é¼ ³×Æ®¿öÅ©¿¡ Á¸¼ÓÇÏ¸ç ½Ã½ºÅÛÀ» À§ÇùÇÏ´Â ¸Ö¿þ¾î¸¦ Á¦°ÅÇϱâ À§Çؼ± ½Ã½ºÅÛ ¿ä¼Ò¸¦ Á¦¶§¸¶´Ù »èÁ¦ÇØÁÖ´Â Á¶Ä¡¸¦ ¸¸µé¾î¾ß ÇÑ´Ù°í ¸»Çß´Ù. ±×´Â ¹«Á¶°ÇÀûÀÎ º¸¾ÈÀ» ´Þ¼ºÇÏ´Â °Ç ±Ùº»ÀûÀÎ ¹®Á¦¸¦ µ¹ÆÄÇØ¾ß ÇÏ´Â ¾î·Á¿òÀÌ µû¸£Áö¸¸ ±×¸¸Å Ź¿ùÇÑ ÀåÁ¡À» ¾òÀ» ¼ö ÀÖ´Ù°í °Á¶Çϸé¼, ¡°¾ÆÁ÷ ÀÌ ¹®Á¦¸¦ Á¤È®È÷ ¾î¶»°Ô Ç®¾î°¥Áö ¾ËÁö ¸øÇÏÁö¸¸ ¾Õ¿¡ ÀÖ´Â ÇлýµéÀÌ ¾ÕÀ¸·Î ÇØ°áÇØÁáÀ¸¸é ÇÑ´Ù¡±°í µ¡ºÙ¿´´Ù.
¡ã¾á ¼î½ÃŸÀ̽úô¸® ±³¼ö°¡ SSTF¿¡¼ ±âÁ¶¿¬¼³À» ÇÏ°í ÀÖ´Ù [»çÁø=º¸¾È´º½º]
ÀÌ¾î µÎ ¹ø° ±âÁ¶¿¬¼³À» ¸ÃÀº ¾á ¼î½ÃŸÀ̽úô¸®(Yan Shoshitaishvili)´Â ¹Ì±¹ ¾Ö¸®Á¶³ª ÁÖ¸³ ´ëÇб³ ±³¼ö·Î ¹ÙÀ̳ʸ® ºÐ¼®À» ÁýÁßÀûÀ¸·Î ¿¬±¸ÇØ¿Ô´Ù. ¼î½ÃŸÀ̽úô¸®´Â À¥ º¸¾È°ú ÇÁ¶óÀ̹ö½Ã, ÄÄÇ»ÅÍ º¸¾È ±³À°¿¡ ±íÀº °ü½ÉÀ» °®°í ÀÖ´Â Àι°ÀÌ´Ù. ¼¼°è 6À§(ÇöÀç ±âÁØ) ÇØÅ·ÆÀ ¡®¼ÐÇǽÃ(Shellphish)¡¯ÀÇ ¸®´õ·Î 5³â°£ ÆÀÀ» À̲ø¾úÀ¸¸ç ´Ù¸£ÆÄ(DARPA) »çÀ̹ö ±×·£µå 縰Áö(CGC)¿¡¼ 3À§¸¦ ¼ö»óÇϱ⵵ Çß´Ù.
¼î½ÃŸÀ̽úô¸®´Â ¡°ÆÛ¡(fuzzing)Àº ³Ê¹« ´Ü¼øÇؼ ÀÏ°ß ¸ÛûÇÏ°Ô ´À²¸Áú ¶§µµ ÀÖÁö¸¸ ½ÇÁ¦·Î ¸Å¿ì °·ÂÇÑ ±â¼ú¡±À̶ó°í ¸»Çß´Ù. ÆÛ¡Àº ¹«ÀÛÀ§ °ªÀ» ÀÔ·ÂÇØ ÇÁ·Î±×·¥À» Á¤Áö½ÃÅ°°í, À̸¦ ¹Ýº¹ÇÏ´Â ¹æ½ÄÀ¸·Î ÇÁ·Î±×·¥ Ãë¾àÁ¡À» ºÐ¼®ÇÏ´Â Ãë¾àÁ¡ ºÐ¼® ±â¼úÀ» ¸»ÇÑ´Ù. ÀÚµ¿È ¹æ¹ý Áß ÇϳªÀÎ ±âÈ£ ½ÇÇà(Symbolic execution)À» ÆÛ¡°ú Á¶ÇÕÇÏ´Â ¹æ¹ýÀ¸·Î ¡®µå¸±·¯(Driller)¡¯¶ó´Â °Íµµ ÀÖ´Ù°í ¼³¸íÇß´Ù.
¼î½ÃŸÀ̽úô¸®´Â ÆÛ¡¿¡ ÀûÇÕÇÑ µ¥ÀÌÅͼÂ(Data Set)ÀÌ ÀÖ°í ´Ù¸¥ ±â¼ú·Î Ãë¾àÁ¡À» °Ë»çÇÏ´Â °Ô ´õ ÀûÇÕÇÑ µ¥ÀÌÅͼµµ ÀÖ´Ù°í ÁöÀûÇÏ¸é¼ ÇÁ·Î±×·¥ °ËÁõ(Program Verification)°ú ÇÁ·Î±×·¥ ¸í¼¼¼(Program Specification)°¡ ÇÊ¿äÇÏ´Ù°í ¸»Çß´Ù. µ¥ÀÌÅͼ¸¶´Ù, ±×¸®°í ¿î¿µÃ¼Á¦¸¶´Ù ¡°¹Î°¨ÇÑ(sensitive)¡± ÇÁ·Î±×·¥ÀÌ ´Ù¸£´Ù´Â °ÍÀÌ´Ù.
ÀÌ¾î ¼î½ÃŸÀ̽úô¸®´Â ÀÚÀ²Àû »çÀ̹ö »ç°í ½Ã½ºÅÛ(Autonomous Cyber Reasoning System)À» ¼³¸íÇϱ⵵ Çß´Ù. ÀÌ´Â ±â¼ú Áö¿øÀ» ¹Þ´Â Àΰ£ Áß½É(tool-assisted human-centered) Æз¯´ÙÀÓ¿¡¼ Àΰ£ Áö¿øÀ» ¹Þ´Â ±â¼ú Áß½É(human-assisted tool-centered) Æз¯´ÙÀÓÀ¸·Î Ãë¾àÁ¡ ºÐ¼® ü°è¸¦ ¹Ù²Ù´Â °É ¸»ÇÑ´Ù.
[±¹Á¦ºÎ ¿À´ÙÀÎ ±âÀÚ(boan2@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>