구글, 여러 파트너사들과 손잡고 칩셋 보안 위한 오픈타이탄 시작

구글 데이터센터 보호에 사용되었던 특수한 칩셋, 타이탄...오픈소스로 공개돼
표준을 정립하려는 게 아니고, 엔지니어링 강화하려는 프로젝트라는 점 강조해

[보안뉴스 문가용 기자] 구글이 산업 내 파트너사들과 손을 잡고 오픈타이탄(OpenTitan)이라는 프로젝트를 새롭게 시작했다. 오픈타이탄은 “칩 보안을 강화하기 위한 오픈소스 프로젝트”라고 설명이 되고 있다. 오픈타이탄에 참여하는 조직들은 제일 먼저 레퍼런스 디자인을 완성시키고, 이를 구축할 때 참고할 수 있는 가이드라인을 만들 계획이다.

[이미지 = iclickart]

오픈타이탄 프로젝트의 목적은 칩 생산자들과 플랫폼 서비스 제공 업체들이 보다 안전한 실리콘 칩과 펌웨어를 설계하고 만들 수 있게 해주는 것이라고 한다. 안전한 칩 설계 방법을 오픈소스화 함으로써 공정의 투명성과 안전성을 높이는 것도 이들의 목적 중 하나다. 모두가 안전하게 칩셋을 만듦으로써, 머더보드, 네트워크 카드, 랩톱, 전화기, 라우터, 사물인터넷 장비들을 강화하겠다는 것이다.

구글은 이미 자사 맞춤형 칩인 타이탄(Titan)을 통해 보안 칩의 방향성을 제시한 바 있다. 타이탄은 구글 데이터센터 내의 장비들이 안전하고 신뢰할 만한 상태로 확실하게 부팅이 되도록 만들어주는 기능을 담당하고 있다. 현재 이 타이탄 칩셋은 구글의 다중인증 보안 키와 구글에서 제조한 안드로이드 스마트폰에 사용되고 있다. 오픈타이탄은 이러한 타이탄 칩셋을 보다 광범위하게 알리고 보완한다는 목표를 가지고 있다고도 볼 수 있다.

오픈타이탄의 창립자이자 구글의 클라우드 부문 디렉터인 도미닉 리조(Dominic Rizzo)는 “칩셋의 표준을 제안하려고 오픈타이탄을 시작한 건 절대 아니”라고 강조한다. “엔지니어링에 더 초점을 둔 프로젝트입니다. 구글은 세계 곳곳에 데이터센터를 마련하고 있고, 따라서 엄청난 양의 장비들을 안전하게 보호해야 할 책임을 가지고 있습니다. 공격의 표면은 늘어만 가는 상황에서 펌웨어 수준의 방어 대책을 연구하다가 산업 내 많은 전문가들과 힘을 합치면 어떨까 하는 결론에 이르렀고, 그렇게 오픈타이탄이 발족된 것입니다.”

리조에 의하면 “실리콘 칩셋에 대한 신뢰도를 높이기 위해서는 처음부터 설계를 시작해야 한다고 느꼈다”고 한다. “신뢰 강화, 코드 무결성 확립, 신뢰할 만한 기계 아이덴티티, 물리적 공격으로부터 보호 등 새로운 실리콘 칩을 만들 때 성취해야 할 것들이 많습니다. 그렇기 때문에 오픈타이탄은 여러 종류의 기계와 소프트웨어에 잘 적용될 수 있도록 유연하게 만들어지는 것을 목표로 하고 있기도 합니다.”

오픈타이탄을 관리하는 조직은 영국의 비영리 단체인 로우리스크(lowRISC)다. 또한 ETH 취리히(ETH Zurich), G+D 모바일 시큐리티(G+D Mobile Security), 누보톤 테크놀로지(Nuvoton Technology), 웨스턴 디지털(Western Digital)의 지원을 받고 있다. 각 조직에서 뽑힌 엔지니어들이 실리콘 칩의 설계를 완성시키고 있다고 한다. 여기에는 오픈소스 마이크로프로세서, 암호화 보조 프로세서, 하드웨어 무작위 숫자 생성기, 고급 키 계층도, 휘발성 혹은 비휘발성 스토리지를 위한 메모리 계층도, 방어 기능, 보안 부팅 등이 포함된다.

오픈소스 실리콘 칩은 오픈소스 소프트웨어와 많은 부분에서 비슷한 개념이다. 특히 설계 과정을 투명하게 공개함으로써 신뢰도를 높인다는 측면에서 그렇다. 투명하게 공개하기 때문에 문제가 발생 시 초기에 발견할 수 있으며, 신뢰를 새롭게 구축할 필요도 없어진다. 또한 레퍼런스 디자인을 하는 것이기 때문에 상황에 따라 맞춤형으로 활용할 수도 있고, 따라서 유연하게 활용될 수 있다.

또한 오픈타이탄에서는 추가적인 신뢰점을 오픈소스로 추가할 예정이기도 하다. 기존 신뢰점(Root of Trust) 구조에서는 프로토콜, API, PCB, 인터페이스, PCB 설계 등이 공개되는 게 일반적이었다. 하지만 오픈타이탄은 펌웨어, 명령 구조, 시스템 온 칩 구조, 디지털 지적재산, RTL 인증, 칩 패키징까지도 공개할 것이라고 한다. 파운드리의 IP, 아날로그 IP, 물리 디자인 키트 등은 비공개로 남게 된다.

또한 오픈타이탄은 오늘부터 실리콘 칩셋 생산에 대한 모두의 참여와 평가 채널을 열어둔다. 하드웨어 벤더사들 역시 초기 오픈타이탄 칩셋을 실험적으로 적용해봐도 된다고 한다. “칩셋과 펌웨어 보안에 관심이 있는 모든 전문가들의 참여와 피드백을 기다리고 있습니다. 보다 안전한 칩셋 만들기에 참여해주시길 바랍니다.”

3줄 요약
1. 구글, 내부적으로 데이터센터 보호하기 위해 타이탄이라는 칩셋 사용하고 있었음.
2. 이를 보다 광범위하게 퍼트림으로써 칩셋과 펌웨어 보안에서 중요한 몫을 담당하겠다며 시작한 것이 오픈타이탄 프로젝트.
3. 칩셋의 설계를 처음부터 공개함으로써 많은 전문가의 참여 유도하고 투명성 높일 계획.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)