virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone

이 논문은 향후 Armv9-A 기반의 CCA 하드웨어가 상용화되기 전까지 기존 Arm 플랫폼의 TrustZone 기능을 활용하여 CCA 사양과 호환되는 가상화 환경인 'virtCCA'를 제안하고, 이를 통해 CVM(기밀 가상 머신) 의 실행 및 격리를 구현하며 수용 가능한 오버헤드 수준을 입증했습니다.

핵심

이 논문은 **"기존 컴퓨터 서버에서도 최신 보안 기술을 바로 쓸 수 있게 해주는 마법 같은 기술 (virtCCA)"**에 대한 이야기입니다.

이해하기 쉽게 비유를 들어 설명해 드릴게요.

1. 배경: 왜 이 기술이 필요한가요?

"새로운 금고는 비싸고, 기다리기엔 너무 오래 걸려요."

• 상황: 클라우드 컴퓨팅 (인터넷 서버) 에서 중요한 데이터를 안전하게 보호하는 'CCA(비밀 계산 아키텍처)'라는 최신 보안 기술이 나왔습니다. 이는 마치 은행에 완벽한 새로운 금고를 설치하는 것과 같습니다.
• 문제: 하지만 이 새로운 금고 (하드웨어) 가 실제로 만들어져서 시장에 나오려면 몇 년이 걸립니다. 그런데 지금 당장 기업들은 데이터를 보호해야 할 필요성이 생겼죠.
• 현실: 이미 수많은 기업들은 **오래된 서버 (레거시 하드웨어)**를 쓰고 있습니다. 이 서버들은 새 금고 기술이 없기 때문에, 최신 보안 소프트웨어를 쓸 수 없는 상태입니다.

2. 해결책: virtCCA란 무엇인가요?

"오래된 금고에 최신 보안 시스템을 개조해서 쓰는 방법"

저자들은 **"새 금고가 오기 전까지, 우리가 이미 가진 'TrustZone(트러스트존)'이라는 기존 보안 장비를 이용해 가상의 금고 (CVM) 를 만들어보자"**고 제안합니다.

• TrustZone 이란? ARM 칩에 이미 들어있는 '안전한 방 (Secure World)'과 '일반적인 방 (Normal World)'을 나누는 기능입니다. 보통은 지문 인식이나 비밀번호 저장 같은 작은 용도로만 썼습니다.
• virtCCA의 아이디어: 이 '안전한 방'을 그냥 작은 금고가 아니라, 가상 머신 (VM) 이 돌아갈 수 있는 큰 금고로 변신시키는 것입니다.
• 핵심: 이 기술은 새로운 하드웨어가 없어도 (S-EL2 지원 유무와 상관없이) 기존 서버에서 바로 작동합니다. 마치 오래된 차에 최신 내비게이션과 보안 시스템을 개조해서 달아서, 최신 모델 못지않은 기능을 하게 만든 것과 같습니다.

3. 어떻게 작동하나요? (비유로 설명)

이 시스템은 세 명의 주인공이 역할을 나누어 맡습니다.

1. 일반 관리자 (Hypervisor/Host):

   • 역할: 서버 전체를 관리하고, 자원을 배분하는 '관리자'입니다. 하지만 보안에 대해서는 신뢰할 수 없습니다 (혹시 몰라서 감시당해야 합니다).
   • 비유: 아파트 관리소장입니다. 주민들 (가상 머신) 에게 방을 배정해주고 전기세를 걷지만, 주민들의 금고 열쇠는 못 만집니다.

2. 경비원 (TMM - TrustZone Management Monitor):

   • 역할: '안전한 방'의 입구에 서 있는 신뢰할 수 있는 경비원입니다.
   • 비유: 관리소장이 주민에게 "방을 쓰세요"라고 말하면, 경비원이 "네, 그 방은 관리소장도 못 들어갑니다. 제가 열쇠를 지키고 있죠"라고 말합니다.
   • 특징: 이 경비원은 아주 작고 단순해서 해킹당하기 어렵습니다. 관리소장이 요청하면 경비원이 자원을 주고, 관리소장이 해킹을 시도해도 경비원이 막아냅니다.

3. 주민 (CVM - Confidential Virtual Machine):

   • 역할: 자신의 데이터가 안전하게 보호받는 가상 머신입니다.
   • 비유: 관리소장도, 옆집 사람도 절대 들어올 수 없는 완벽한 금고 속 아파트에 삽니다. 여기서 실행되는 프로그램 (데이터베이스 등) 은 외부에 절대 노출되지 않습니다.

4. 두 가지 버전의 작동 방식

이 기술은 서버의 종류에 따라 두 가지 방식으로 작동합니다.

• 버전 1 (S-EL2 지원 서버):
  • 최신 하드웨어에 가까운 서버입니다. 경비원 (TMM) 이 **2 층 (S-EL2)**에서 일하며, 하드웨어가 도와주어 매우 빠르고 효율적입니다.
• 버전 2 (구형 서버):
  • 아주 오래된 서버입니다. 하드웨어의 도움이 없으므로, 경비원이 **3 층 (EL3)**에서 일하며 모든 일을 소프트웨어로 직접 계산해서 해결합니다.
  • 재미있는 점: 보통 구형 서버는 느릴 것 같지만, 이 기술은 오히려 가상화 오버헤드를 줄여서 기존 방식보다 더 빠르거나 비슷하게 작동하기도 합니다.

5. 성능은 어떨까요?

"보안을 강화했는데, 속도가 느려지지 않아요."

연구진들은 실제 서버 (AWS, 구글 등에서 쓰는 서버) 에서 테스트했습니다.

• 결과: 일반적인 작업에서는 속도가 거의 비슷했습니다.
• 데이터 입출력이 많은 작업 (예: 금융 거래, 데이터베이스): 약 30% 정도 느려지긴 했지만, "완벽한 보안"을 얻기 위해 감수할 만한 수준이었습니다.
• 특이점: 구형 서버 버전 (EL3) 은 오히려 기존 방식보다 더 빠른 경우도 있었습니다. (가상화 과정을 생략했기 때문입니다.)

6. 요약: 이 기술이 가져오는 변화

• 기존 서버도 최신 보안: 새 하드웨어를 사지 않아도, 지금 있는 서버로 '비밀 계산'이 가능합니다.
• 소프트웨어 호환성: 개발자들은 기존에 쓰던 프로그램 (리눅스, 데이터베이스 등) 을 그대로 쓸 수 있습니다. (문법을 바꿀 필요가 없음)
• 신뢰할 수 있는 보안: 서버 관리자 (클라우드 제공업체) 가 데이터를 훔쳐보거나 해킹해도, '경비원 (TMM)'이 막아줍니다.

한 줄 요약:

"새로운 금고 (하드웨어) 가 오기 전까지, 우리가 가진 오래된 금고 (기존 서버) 를 최신 보안 시스템으로 개조해서, 관리소장도 못 보는 완벽한 비밀 공간을 만들어주는 기술입니다."

기술 요약

virtCCA: Arm CCA 의 TrustZone 기반 가상화 기술에 대한 기술 요약

이 논문은 차세대 Arm 아키텍처인 Armv9-A 에서 도입된 **비밀 컴퓨팅 아키텍처 **(Confidential Compute Architecture, CCA)를 기존 Arm 하드웨어 (TrustZone 지원 플랫폼) 에서 가상화하여 구현한 virtCCA를 제안합니다. CCA 하드웨어가 상용화되기 전까지의 공백을 메우고, 기존 레거시 서버에서도 CVM(Confidential Virtual Machine) 을 실행할 수 있도록 하는 것이 핵심 목표입니다.

1. 문제 정의 (Problem)

• 하드웨어 가용성 부족: Arm 은 Armv9-A 에 CCA 를 도입하여 Realm(비밀 VM) 을 지원하지만, 이를 탑재한 상용 칩이 출시되기까지는 수년이 걸릴 것으로 예상됩니다.
• 레거시 하드웨어의 활용 불가: AWS Graviton 이나 Google Tau T2A 와 같이 이미 배포된 수많은 Arm 서버들은 CCA 하드웨어 기능을 지원하지 않아, 현재로서는 비밀 컴퓨팅 환경으로 사용할 수 없습니다.
• 기존 TEE 의 한계: 기존 Arm TrustZone 은 모바일 기기용 보안 (비밀 키, 지문 등) 에 최적화되어 있으나, 클라우드 환경에서 전체 OS 가 실행되는 CVM 을 호스트 하이퍼바이저가 관리하는 방식에는 적합하지 않았습니다. 또한, 하이퍼바이저 기반 TEE(SeKVM 등) 는 하이퍼바이저의 일부 코드를 신뢰해야 하거나, S-EL2(보안 EL2) 지원이 필수인 등 제약이 있었습니다.

2. 방법론 (Methodology)

virtCCA 는 기존 Arm 플랫폼의 TrustZone(보안 월드) 을 CVM 실행 환경으로 활용하며, 하이퍼바이저는 완전히 신뢰할 수 없는 (untrusted) 존재로 간주합니다.

핵심 아키텍처

1. **TrustZone Management Monitor **(TMM)
   • CCA 의 RMM(Realm Management Monitor) 에 대응하는 신뢰할 수 있는 소프트웨어 레이어입니다.
   • **S-EL2 지원 플랫폼 **(virtCCA-SEL2) TMM 은 S-EL2 에서 실행되어 CVM 간 메모리 격리를 위한 Stage-2 페이지 테이블을 관리합니다.
   • **S-EL2 미지원 레거시 플랫폼 **(virtCCA-EL3) TMM 은 EL3(ARM Trusted Firmware) 에서 실행됩니다. 하드웨어 지원이 부족하므로 메모리 격리, 인터럽트, MMIO 등을 소프트웨어로 에뮬레이션합니다. CVM 의 페이지 테이블을 읽기 전용으로 설정하여 다른 CVM 의 메모리 접근을 차단합니다.
2. 인터페이스 호환성:
   • 하이퍼바이저와 CVM 간의 통신을 위해 TMI(TrustZone Management Interface) 와 TSI(TrustZone Service Interface) 를 제공합니다.
   • 이 인터페이스들은 CCA 의 RMI(Realm Management Interface) 및 RSI(Realm Service Interface) 와 API 레벨에서 완전히 호환되도록 설계되었습니다. 이를 통해 CCA 소프트웨어 스택을virtCCA 에서 최소한의 수정으로 재사용할 수 있습니다.
3. 메모리 격리 및 관리:
   • TZASC 활용: TrustZone Address Space Controller 를 사용하여 보안 메모리와 일반 메모리를 물리적으로 분리합니다.
   • 고정 메모리 영역: 시스템 부팅 시 BIOS 설정에 따라 CVM 전용의 고정된 연속 메모리 영역을 예약합니다.
   • TMM 내 메모리 관리: TMM 내부에 Linux 의 Buddy 시스템과 Slab 할당기를 간소화하여 구현하여, CVM 의 메모리 할당/해제를 직접 관리함으로써 메모리 오버헤드를 줄이고 NUMA 친화적 할당을 지원합니다.
4. 인터럽트 및 디바이스 가상화:
   • 인터럽트: S-EL2 환경에서는 TMM 이 인터럽트 그룹을 변환하여 하이퍼바이저로 전달합니다. EL3 환경에서는 TMM 이 소프트웨어로 인터럽트 상태를 추적하고 가상 인터럽트 (vIRQ) 를 주입합니다.
   • MMIO: MMIO 접근은 TMM 에 의해 트랩되어 하이퍼바이저가 에뮬레이션하거나, EL3 환경에서는 SMC(Secure Monitor Call) 명령어로 변환됩니다.

3. 주요 기여 (Key Contributions)

1. 최초의 S-EL2 비지원 CVM 솔루션: S-EL2 기능이 없는 레거시 Arm 플랫폼에서도 CVM 을 보안 월드에서 실행할 수 있는 최초의 솔루션을 제안했습니다.
2. 강력한 CCA 호환성: API 레벨에서 CCA 명세와 완전히 호환되도록 설계되어, 향후 CCA 하드웨어가 출시되면 소프트웨어 스택을 거의 수정 없이 마이그레이션할 수 있습니다.
3. 완전한 소프트웨어 스택 구현: ATF, RMM, KVM, QEMU 등을 포함한 전체 펌웨어 및 소프트웨어 스택을 구현하고, 실제 Arm 서버 (S-EL2 지원 및 미지원 모두) 에서 프로토타입을 제작했습니다.
4. 효율적인 메모리 관리: TZASC 의 제한된 영역 수 (최대 8 개) 문제를 해결하기 위해 TMM 이 직접 메모리를 관리하는 방식을 도입하여, 동적 메모리 매핑 오버헤드를 제거하고 성능을 향상시켰습니다.

4. 평가 결과 (Results)

실제 Arm 서버 (64 코어 V8.4 서버 및 Kunpeng 920 서버) 에서 마이크로/마이크로 벤치마크를 수행했습니다.

• 마이크로 벤치마크:
  • 컨텍스트 스위칭 및 I/O 오버헤드가 발생하지만, CVM 실행에 필요한 추가 비용은 수용 가능한 수준입니다.
  • NUMA 친화적 메모리 할당을 적용한 결과, 메모리 접근 성능이 66.7% 이상 향상되었습니다.
• **마이크로 벤치마크 **(실제 워크로드)
  • virtCCA-SEL2: I/O 집약적 워크로드 (Apache 등) 에서 약 29.7% 이하의 오버헤드를 보였습니다.
  • virtCCA-EL3: 대부분의 워크로드에서 **기존 베이스라인 **(일반 VM)했습니다. 이는 EL3 모드에서 CVM 이 베어메탈 (bare-metal) 모드처럼 동작하여 CPU 및 메모리 가상화 오버헤드가 제거되었기 때문입니다. (예: Hackbench 는 64.3% 향상, Redis 는 16.3% 향상).
  • Redis 지연 시간 테스트에서도 대부분의 경우 베이스라인 대비 35% 이내의 지연 증가만 발생했습니다.

5. 의의 (Significance)

• 실용성: CCA 하드웨어의 출시를 기다리지 않고도, 기존에 배포된 Arm 클라우드 인프라에서 비밀 컴퓨팅을 즉시 구현할 수 있는 길을 열었습니다.
• 생태계 확장: CCA 소프트웨어 생태계 (게스트 커널, KVM, RMM 등) 를 레거시 하드웨어에서도 활용할 수 있게 하여, 개발자들의 접근성을 높였습니다.
• 보안 강화: 하이퍼바이저를 완전히 신뢰하지 않고도 (Untrusted Hypervisor), 하드웨어 기반 격리 (TrustZone) 를 통해 강력한 CVM 격리를 제공합니다.
• 미래 대비: 현재 구현된 소프트웨어 스택은 CCA 하드웨어가 등장했을 때 최소한의 수정으로 전환 가능하므로, 장기적인 투자 가치를 가집니다.

결론적으로, virtCCA 는 Arm 기반 비밀 컴퓨팅의 과도기적 솔루션이자, 하드웨어 제약 없이 소프트웨어 정의 보안 환경을 구축할 수 있는 중요한 기술적 진보입니다.