°ø°Ý ¼º°ø¿¡ °É¸®´Â ½Ã°£Àº ¼öÃÊ¿¡¼ ¼ö¹é ½Ã°£...ÀÎÅÚ, 1³â¿© µ¿¾È ¾÷µ¥ÀÌÆ® °³¹ß
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »õ·Î¿î ºÎä³Î °ø°ÝÀÌ ¹ß°ßµÆ´Ù. ÇÁ·Î¼¼¼ÀÇ Àü·Â ¼Òºñ·®À» ÃøÁ¤ÇÔÀ¸·Î½á ¹Î°¨ÇÑ Á¤º¸¸¦ Å»ÃëÇÏ°Ô ÇØÁÖ´Â ¹æ¹ýÀ̶ó°í ÇÑ´Ù. ÀÌ °ø°Ý ±â¹ýÀº ¡®Àü·Â ´©Ãâ °ø°Ý : º¸È£µÈ »ç¿ëÀÚÀÇ ºñ¹ÐÀ» Ç¥Àû »ï±â(Power Leakage Attacks : Targeting Your Protected User Secrets)¡¯¶ó°í Çϸç, ÁÙ¿©¼ Ç÷¡Æ¼ÆÛ½º(PLATYPUS)¶ó°í ºÒ¸°´Ù.
[À̹ÌÁö = utoimage]
ÀÌ ºÎä³Î °ø°Ý ±â¹ýÀ» Á¦ÀÏ ¸ÕÀú ¹ß°ßÇÑ °Ç ¿À½ºÆ®¸®¾ÆÀÇ ±×¶óÃ÷°ø°ú´ëÇаú ¿µ±¹ÀÇ ¹ö¹Ö¾ö´ëÇÐ, µ¶ÀÏ Ç︧ȦÃ÷¼¾ÅÍÀÇ ¿¬±¸¿øµéÀÌ´Ù. ½ÇÇè °á°ú ÀÎÅÚ¿¡¼ Á¦Á¶µÈ ÇÁ·Î¼¼¼µéÀÌ °ø°Ý¿¡ Ãë¾àÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù°í ÇÑ´Ù. Àç¹ÌÀÖ°Ôµµ ÀÌ ¿¬±¸´Â ÀÎÅÚÀÌ ÀϺΠÁö¿øÇϱ⵵ Çß´Ù. ¿¬±¸¿øµéÀº ARM, AMD, ¿£ºñµð¾Æ¿¡¼ ¸¸µç Ĩ¼Âµé¿¡¼µµ ºñ½ÁÇÑ Çö»óÀÌ ³ªÅ¸³¯ °ÍÀ̶ó°í º¸°í ÀÖÁö¸¸, ¾ÆÁ÷ È®ÀÎµÈ ¹Ù´Â ¾ø´Ù.
Ç÷¡Æ¼ÆÛ½º °ø°ÝÀº ÀÎÅÚÀÇ RAPL(Running Average Power Limit)À̶ó´Â ±â´É¿¡ Á¢±ÙÇÒ ¼ö ÀÖ¾î¾ß ¼º¸³µÈ´Ù. RAPLÀº CPU¿Í DRAMÀÇ Àü·Â ¼Òºñ·®À» ¸ð´ÏÅ͸µÇÏ°í Á¦¾îÇϱâ À§ÇØ ¼³°èµÈ ±â´ÉÀÌ´Ù. ÀÌÀü¿¡µµ Àü·Â ¼Òºñ·®À¸·ÎºÎÅÍ ¼º¸³µÇ´Â °ø°Ý ±â¹ýÀÌ °³¹ßµÈ ¹Ù Àִµ¥, À̹ø °ø°ÝÀº °ú°ÅÀÇ ¿¬±¸ °á°úµé°ú ´Þ¸® ¹°¸®Àû Á¢±ÙÀ» ÇÊ¿ä·Î ÇÏÁö ¾Ê´Â´Ù´Â Ư¡À» °¡Áö°í ÀÖ´Ù.
±âÁ¸ÀÇ À¯»ç ºÎä³Î °ø°Ýµé¿¡¼´Â ¿À½Ç·Î½ºÄÚÇÁ¸¦ »ç¿ëÇßÁö¸¸, À̸¦ RAPL ÀÎÅÍÆäÀ̽º·Î ´ëüÇ߱⠶§¹®ÀÌ´Ù. ¸®´ª½º µå¶óÀ̹ö¸¸ ÀÖÀ¸¸é ±ÇÇÑÀÌ ¾ø´Â »ç¶÷µµ RAPL¿¡ Á¢±ÙÇØ ÃøÁ¤ °ªÀ» ÃëÇÏ´Â °Ô °¡´ÉÇÏ°í, ÀÌ·Î½á ¹°¸®Àû Á¢±ÙÀ» ÅëÇÑ ¿À½Ç·Î½ºÄÚÇÁ È°¿ëÀ̶ó´Â °úÁ¤À» ¿ÏÀüÈ÷ ¾ø¾Ù ¼ö ÀÖ´Ù´Â °Ô À̹ø¿¡ ¹àÇôÁø ³»¿ëÀÌ´Ù.
½ÇÇè½Ç ȯ°æ¿¡¼ ¿¬±¸¿øµéÀº Ç÷¡Æ¼ÆÛ½º ±â¹ýÀ» Á÷Á¢ ±¸ÇöÇØ ÀÎÅÚ SGX ¿£Å¬·¹À̺꿡¼ºÎÅÍ ¾ÏÈ£È Å°¸¦ Å»ÃëÇÏ´Â µ¥ ¼º°øÇß´Ù°í ÇÑ´Ù. ÀÎÅÚ SGX ¿£Å¬·¹À̺ê´Â ÀÏÁ¾ÀÇ º¸¾È ȯ°æÀ¸·Î OS°¡ ħÇØµÈ »óȲ¿¡¼µµ µ¥ÀÌÅ͸¦ º¸È£Çϵµ·Ï ¸¸µé¾îÁø °ÍÀÌ´Ù. ¶ÇÇÑ Ç÷¡Æ¼ÆÛ½º¸¦ È°¿ëÇØ KASLRÀ» ¶Õ°Å³ª ºñ¹Ð ä³ÎÀ» ¸¸µå´Â µ¥µµ ¼º°øÇß´Ù.
ÇÏÁö¸¸ °ø°Ý ¼º°ø·üÀÌ ¾ÆÁ÷±îÁö ¾ÈÁ¤ÀûÀÌÁø ¾Ê´Ù. ½ÇÇè¿¡ µû¶ó ¼öÃʸ¸¿¡ ¿øÇÏ´Â ¹Ù¸¦ ´Þ¼ºÇϱ⵵ ÇßÁö¸¸ ¼ö¹é ½Ã°£ÀÌ °É¸° »ç·Êµµ ÀÖ´Ù°í ÇÑ´Ù. »ç¿ëÀÚ ¿µ¿ª¿¡¼ KASLRÀ» ¶Õ¾î³»´Â °ø°ÝÀº 20ÃÊ °É·ÈÁö¸¸ SGX ¿£Å¬·¹À̺꿡¼ ¾ÏÈ£È Å°¸¦ ÃßÃâÇÏ´Â ÀÛ¾÷Àº ÃÖ¼Ò 26½Ã°£(½ÇÇè½Ç ȯ°æ)¿¡¼ ÃÖ´ë 277½Ã°£(½ÇÁ¦ ȯ°æ)ÀÌ °É·È´Ù´Â °Ô ¿¬±¸¿øµéÀÇ ¼³¸íÀÌ´Ù. RSA ºñ¹Ð Å°¸¦ Å»ÃëÇÏ´Â µ¥ °É¸° ½Ã°£Àº 100ºÐ Á¤µµ¿´´Ù. ÀÌ ¸ðµç °ø°ÝÀÇ ÀüÁ¦ Á¶°ÇÀº °ø°ÝÀÇ Ç¥ÀûÀÌ µÇ´Â ¾ÖÇø®ÄÉÀ̼ÇÀÌ Ç×»ó °¡µ¿ Áß¿¡ ÀÖ¾î¾ß ÇÑ´Ù´Â °ÍÀ̶ó°í ÇÑ´Ù.
¿¬±¸¿øµéÀº À̹ø¿¡ ¹ß°ßµÈ ºÎä³Î °ø°Ý¿¡ ´ëÇÑ ¹®¼¿Í ¿µ»ó ÀڷḦ ¹ßÇ¥Çϱ⵵ Çß´Ù. º¸°í¼´Â ¿©±â(https://platypusattack.com/platypus.pdf)¼, ¿µ»óÀº ¿©±â(https://youtu.be/za915VQzuBM)¿Í ¿©±â(https://youtu.be/HZGrNKNAZaE)¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù. ¿µ»ó¿¡¼ º¸ÀÌ´Â ½ÇÇè ȯ°æÀº ¿ìºÐÅõ ±â¹ÝÀÇ ·¦ÅéÀ̶ó°í ÇÑ´Ù.
ÀÎÅÚÀº ÀÌ·¯ÇÑ °ø°Ý °¡´É¼º¿¡ ´ëÇØ 2019³â 11¿ù óÀ½ ¾Ë°Ô µÇ¾ú´Ù°í ÇÑ´Ù. ÀÎÁö ÈÄ CVE-2020-8694¿Í CVE-2020-8695¶ó´Â ¹øÈ£¸¦ ÇØ´ç Ãë¾àÁ¡µé¿¡ ¹èÁ¤Çß´Ù. ¶ÇÇÑ ÀÌ µÎ °¡Áö Ãë¾àÁ¡ÀÇ À§Çèµµ¸¦ ¡®Áß°£±Þ¡¯À¸·Î Æò°¡Çϱ⵵ Çß´Ù. À̹ø ÁÖ È¿äÀÏ °ü·ÃµÈ º¸¾È ±Ç°í¹®À» °ø°³Çß´Ù. ÀÌ ±Ç°í¹®Àº ¿©±â(https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00389.html)¼ ¿¶÷ÇÒ ¼ö ÀÖ´Ù.
ÀÌ °ø°Ý°ú °ü·ÃÀÌ ÀÖ´Â ¸®´ª½º µå¶óÀ̹ö¿¡ ´ëÇÑ ¾÷µ¥ÀÌÆ®µµ ÁøÇàµÆ´Ù. À̸¦ Àû¿ëÇÒ °æ¿ì ±ÇÇÑÀÌ ºÎÁ·ÇÑ »ç¿ëÀÚµéÀÌ RAPL ÀÎÅÍÆäÀ̽º¿¡ Á¢±ÙÇÏ´Â °É ¸·À» ¼ö ÀÖ´Ù. ÀÎÅÚÀº ¸¶ÀÌÅ©·ÎÄÚµå ¾÷µ¥ÀÌÆ®µµ ¹èÆ÷ÇØ Ç÷¡Æ¼ÆÛ½º °ø°Ý ±â¹ýÀ» ÅëÇØ SGX ¿£Å¬·¹À̺ê·ÎºÎÅÍ ¹Î°¨ÇÑ Á¤º¸°¡ Å»ÃëµÇ´Â °ÍÀ» ¿øõÀûÀ¸·Î ¸·¾Ò´Ù.
3ÁÙ ¿ä¾à
1. ÀÎÅÚÀÇ Ä¨¼ÂÀ» °ø°ÝÇÒ ¼ö ÀÖ´Â ¶Ç ´Ù¸¥ ºÎä³Î °ø°Ý ±â¹ý ¹ß°ßµÊ.
2. ÀÌ ±â¹ýÀÇ À̸§Àº Ç÷¡Æ¼ÆÛ½º·Î, Àü·Â ¼Ò¸ð·® °üÃøÀ» ÅëÇØ Á¤º¸¸¦ À¯ÃßÇÏ´Â °ÍÀÓ.
3. °ø°ÝÀÌ ¾ÈÁ¤ÀûÀÌÁø ¾ÊÁö¸¸ ¸¸ÀÏÀ» ´ëºñÇϱâ À§ÇØ ÀÎÅÚÀº ¿©·¯ ¾÷µ¥ÀÌÆ® ¹ßÇ¥.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>