Proof of Cloud: Data Center Execution Assurance for Confidential VMs

이 논문은 기존 CVM(비밀 가상 머신) 의 인증 메커니즘이 실행 위치를 보장하지 못하는 취약점을 해결하기 위해, TEE 측정값과 플랫폼 TPM 증거를 결합하여 데이터센터 내 물리적 실행을 암호학적으로 증명하는 'DCEA'를 제안하고 이를 이론적으로 증명 및 실증 평가한 연구입니다.

핵심

이 논문은 **"비밀스러운 클라우드 컴퓨팅에서 '어디서' 실행되고 있는지 증명하는 새로운 방법"**에 대해 다룹니다.

기존의 기술은 "무슨 프로그램이 실행되고 있는지"는 증명할 수 있었지만, "그 프로그램이 어떤 물리적인 서버 (데이터센터) 에서 실행되고 있는지"는 증명하지 못했습니다. 이 논문은 그 간극을 메우는 **'Proof of Cloud (클라우드 증명서)'**라는 새로운 시스템을 제안합니다.

이 복잡한 내용을 일상적인 비유로 쉽게 설명해 드리겠습니다.

---

1. 문제 상황: "안전한 금고"는 있지만 "위치"는 몰라요

상상해 보세요. 당신이 매우 중요한 비밀 문서 (개인 정보, 금융 데이터 등) 를 가지고 있습니다. 이 문서를 안전하게 보관하기 위해 **'스마트 금고 (TEE, 신뢰 실행 환경)'**를 빌렸습니다.

• 기존 기술의 한계: 이 스마트 금고는 "내가 이 문서를 열어서 처리하고 있다"는 것을 증명할 수는 있습니다. 하지만, 이 금고가 어떤 건물의 몇 층에 있는가는 알려주지 않습니다.
• 위험한 상황: 만약 악의적인 관리자가 이 금고가 '안전한 데이터센터'에 있다고 말하면서, 실제로는 자신의 집 지하실에 금고가 있는 것처럼 속일 수 있다면 어떨까요? 금고 자체는 안전하지만, 그 금고가 있는 집 (하드웨어) 이 해커에게 털릴 수 있습니다.
• 현재의 맹점: 클라우드 서비스 제공자는 "내 서버는 안전하다"고 하지만, 외부 사용자는 그 서버가 정말로 공인된 데이터센터에 있는지, 아니면 해커가 장난감 서버를 만들어서 속이고 있는지 수학적으로 증명할 수 없습니다.

2. 해결책: DCEA (데이터센터 실행 보증)

저자들은 이 문제를 해결하기 위해 DCEA라는 시스템을 만들었습니다. 핵심 아이디어는 **"두 개의 다른 증명을 서로 연결하여, 금고와 금고가 있는 건물이 반드시 같은 곳임을 확인하는 것"**입니다.

🏦 비유: 금고와 건물 관리자의 동맹

이 시스템을 이해하기 위해 두 가지 증명을 상상해 보세요.

1. 금고의 증명 (TEE): "나는 정품 금고이고, 내 안의 프로그램은 변조되지 않았습니다." (이건 금고 제조사가 줍니다.)
2. 건물의 증명 (TPM): "나는 정품 데이터센터 건물이고, 내 안의 금고는 내가 관리합니다." (이건 건물 관리자가 줍니다.)

기존의 문제: 금고가 "나는 정품이야!"라고 외치지만, 그 소리가 해커의 집에서 들릴 수도 있습니다.

DCEA 의 혁신:
이제 금고와 건물이 서로 대화하게 만듭니다.

• 금고는 "내 안에 있는 프로그램의 지문 (측정값)"을 건물의 관리자에게 보여줍니다.
• 건물 관리자는 "내 금고의 지문과 내 건물의 지문이 완벽하게 일치하는가?"를 확인합니다.
• 만약 해커가 정품 금고를 가져와서 자신의 집에 두고 "이건 데이터센터 금고야"라고 속이려 한다면? 건물의 지문 (TPM) 이 맞지 않기 때문에 바로 들통납니다.

즉, **"이 프로그램이 실행되고 있는 하드웨어가 정말로 공인된 데이터센터에 있는지"**를 수학적으로 증명하는 것입니다.

3. 어떻게 작동하나요? (3 단계 프로세스)

논문에 따르면 이 시스템은 다음과 같이 작동합니다.

1. 건물 기초 공사 확인 (Measured Launch): 서버가 켜질 때, 부팅되는 모든 과정 (펌웨어, 운영체제 등) 을 기록합니다. 마치 건물이 지어질 때 "이 벽돌은 어디서 왔고, 어떤 시멘트를 썼는지"를 기록하는 것과 같습니다.
2. 열쇠 봉인 (Sealing): 이 기록을 바탕으로 '비밀 열쇠'를 만듭니다. 이 열쇠는 오직 이 특정 건물 (하드웨어) 에서만 사용할 수 있도록 봉인됩니다. 다른 곳으로 가져가면 열쇠가 작동하지 않습니다.
3. 교차 검증 (Cross-linking): 금고 (CVM) 는 이 열쇠를 사용하여 "내가 이 건물 안에 있다"는 증명을 생성합니다. 외부 감시자 (Verifier) 는 이 증명이 건물의 기록과 일치하는지 확인합니다.

4. 왜 이것이 중요한가요?

이 기술은 특히 **DeFi(탈중앙화 금융)**나 AI 모델, 의료 데이터 처리에 필수적입니다.

• 신뢰할 수 없는 환경에서도 안전: 사용자가 클라우드 제공자를 완전히 신뢰하지 않아도 됩니다. "네가 말한 데이터센터가 맞다면, 내가 믿고 데이터를 맡기겠다"라고 수학적으로 검증할 수 있기 때문입니다.
• 해커의 속임수 차단: 해커가 정품 서버를 사서 자신의 집에 두고 "이건 구글/아마존 서버야"라고 속여도, 물리적 위치와 서버의 지문이 맞지 않기 때문에 발각됩니다.

5. 결론: "클라우드의 주소 확인서"

이 논문의 핵심은 **"비밀을 지키는 금고 (CVM) 가 정말로 안전한 금고 (데이터센터) 안에 있는지 확인하는 방법"**을 제시했다는 점입니다.

기존에는 "내 금고는 안전해요"라는 말만 믿어야 했지만, 이제는 **"이 금고는 이 건물의 3 층에 있고, 그 건물은 공인된 데이터센터입니다"**라는 **주소 확인서 (Proof of Cloud)**를 발급받을 수 있게 된 것입니다.

이 기술은 클라우드 컴퓨팅의 투명성을 높여, 우리가 더 안전하고 신뢰할 수 있는 디지털 세상을 만들 수 있는 기반이 될 것입니다.

기술 요약

논문 요약: Proof of Cloud: Data Center Execution Assurance for Confidential VMs

이 논문은 **비밀 가상 머신 **(CVM, Confidential Virtual Machines)의 신뢰성 있는 실행 위치를 보장하기 위한 새로운 설계인 **데이터 센터 실행 보증 **(DCEA, Data Center Execution Assurance)을 제안합니다. 저자들은 Flashbots 와 뮌헨 공과대학교 (TUM) 연구진으로 구성되어 있으며, 기존 TEE(신뢰 실행 환경) 의 한계를 극복하고 "어디서 실행되는가"에 대한 암호학적 증명을 제공하는 것을 목표로 합니다.

---

1. 문제 정의 (Problem)

• **위치 불명확성 **(Location-Obliviousness) 기존 CVM(예: Intel TDX, AMD SEV-SNP) 의 원격 증명 (Attestation) 메커니즘은 "어떤 코드가 실행되고 있는지" (소프트웨어/하드웨어 상태) 는 인증하지만, "어디서 실행되고 있는지" (물리적 데이터 센터 위치) 에 대한 증거는 제공하지 않습니다.
• 위협 모델의 간극: 상업용 TEE 는 악성 OS 나 하이퍼바이저는 방어하지만, 물리적 접근 (Physical Access) 을 통한 공격 (메모리 인터포저, 물리적 사이드 채널 등) 은 명시적으로 제외합니다. 그러나 클라우드 환경에서 사용자는 운영자가 물리적으로 통제하는 환경에서 작업을 실행할지, 아니면 신뢰할 수 있는 데이터 센터에서 실행할지 암호학적으로 확인할 수 없습니다.
• **프록시 및 믹스 - 앤 - 매치 공격 **(Proxy & Mix-and-Match Attacks) 악의적인 운영자는 신뢰할 수 있는 데이터 센터의 하드웨어에서 생성된 유효한 증명서 (Attestation) 를 가로채거나, 다른 기계의 증명서와 CVM 실행 상태를 조합하여 (Mix-and-Match), 마치 신뢰할 수 있는 환경에서 실행되는 것처럼 속일 수 있습니다. 이는 DeFi(탈중앙화 금융) 나 민감한 데이터 처리와 같은 분야에서 치명적입니다.

2. 방법론 (Methodology)

저자들은 DCEA를 통해 CVM 증명과 플랫폼 수준의 TPM(Trusted Platform Module) 증거를 암호학적으로 결합하여 "Proof of Cloud"를 생성합니다.

• **이중 신뢰 루트 **(Two Independent Roots of Trust)
  1. **TEE 제조사 **(예: Intel) CPU 모델, 마이크로코드, 런타임 측정값 (RTMR) 을 검증합니다.
  2. **인프라 제공자 **(Cloud Provider) 물리적 TPM 또는 vTPM 을 통해 부팅 상태와 플랫폼의 물리적 정체성을 검증합니다.
• **크로스 - 링킹 **(Cross-Linking)
  • CVM 내부의 런타임 측정값 (RTMR) 과 vTPM 의 부팅 측정값 (PCR) 을 서로 연결합니다.
  • **Scenario I **(관리형 CVM) 클라우드 제공자가 관리하는 vTPM 을 사용하여 CVM 과 호스트 OS/하이퍼바이저의 상태를 비교합니다.
  • **Scenario II **(베어메탈 배포) 신뢰할 수 없는 호스트 OS/하이퍼바이저 하에서도 작동하도록, 물리적 TPM(dTPM) 과 Intel TXT(DRTM) 을 활용하여 하이퍼바이저까지 측정된 부팅 상태를 CVM 에 바인딩합니다.
• 구체적 프로토콜 흐름:
  1. **측정된 부팅 **(Measured Launch) Intel TXT 등을 통해 펌웨어, OS, 하이퍼바이저, vTPM 바이너리를 측정하여 TPM PCR(17-18 등) 에 확장합니다.
  2. **키 시일링 **(Key Sealing) vTPM 의 인증 키 (AK) 를 측정된 PCR 상태에 시일링 (Seal) 합니다. 즉, 호스트 소프트웨어가 변경되면 키를 사용할 수 없게 됩니다.
  3. **인-게스트 바인딩 **(In-Guest Binding) CVM 은 vTPM 의 공개 키 해시값을 자신의 TEE 증명서 (Quote) 에 포함시킵니다.
  4. 종합 검증: 검증자는 CVM 증명서와 vTPM 증명서를 비교하여, 두 값이 동일한 물리적 머신에서 생성되었는지, 그리고 PCR/RTMR 값이 일치하는지 확인합니다.

3. 주요 기여 (Key Contributions)

1. **환경 출처 **(Environment Provenance) CVM 에 대한 환경 출처의 개념을 공식화하고, 현재 TEE 위협 모델의 물리적 플랫폼 거주성 (Physical Platform Residency) 에 대한 맹점을 규명했습니다.
2. DCEA 프로토콜 설계 및 구현: CVM 을 특정 물리적 샤시 (Chassis) 에 암호학적으로 고정하는 새로운 바인딩 메커니즘을 설계하고, Google Cloud 의 베어메탈 Intel TDX 인스턴스 (Intel TXT 및 dTPM 사용) 에서 프로토타입을 구현했습니다.
3. **형식적 증명 **(Formal Proof) 범용 조합성 (Universal Composability, UC) 모델과 AGATE 프레임워크를 사용하여, 악성 호스트 소프트웨어 스택 하에서도 DCEA 가 이상적인 위치 인식 TEE 를 모방함을 수학적으로 증명했습니다. 이는 새로운 "믹스 - 앤 - 매치 프록시 공격"을 방어함을 보여줍니다.
4. 성능 평가 및 실용성: 프로토타입 구현을 통해 DCEA 가 측정 위조, 채널 조작 등 다양한 소프트웨어 공격 (A1-A6) 을 방어하면서도 실용적인 오버헤드를 유지함을 입증했습니다.

4. 결과 및 평가 (Results)

• 공격 방어: 악성 호스트가 수행할 수 있는 6 가지 공격 시나리오 (A1~A6) 를 분석했습니다.
  • **A1 **(Relay/Proxy) 다른 머신의 증명서를 중계하거나 섞어쓰는 공격을 방어합니다.
  • **A2~A6 **(Forgery, Substitution 등) 키 위조, 측정값 불일치, 채널 가로채기 등을 방어합니다.
  • 방어 메커니즘은 하드웨어가 강제하는 키 시일링 (Sealing) 과 PCR/RTMR 교차 검증을 통해 이루어집니다.
• 성능 오버헤드: Google Cloud 환경에서의 실험 결과, DCEA 는 기존 TEE 증명 흐름에 비해 매우 낮은 오버헤드를 발생시켜 실제 배포가 가능함을 보여주었습니다.
• 신뢰 모델 강화: 호스트 OS 와 하이퍼바이저가 완전히 악성일지라도 (베어메탈 시나리오), 하드웨어 기반의 측정 부팅과 TPM 바인딩을 통해 실행 위치의 무결성을 보장합니다.

5. 의의 및 중요성 (Significance)

• 신뢰의 확장: 기존 TEE 가 "무엇이 실행되는가"만 증명했다면, DCEA 는 "어디서 실행되는가"를 증명하여 신뢰의 범위를 물리적 데이터 센터까지 확장합니다.
• DeFi 및 민감한 워크로드 보호: 탈중앙화 금융 (DeFi) 이나 기밀 데이터 처리와 같이 상호 불신하는 당사자들이 관여하는 환경에서, 실행 환경의 물리적 신뢰성을 암호학적으로 검증할 수 있게 합니다.
• 실용적 배포 가능성: Intel TDX, TXT, TPM 등 기존에 상용화된 하드웨어와 클라우드 인프라를 활용하므로, 별도의 새로운 하드웨어 도입 없이도 배포가 가능합니다.
• 프라이버시 보호: Zero-Knowledge Proof (ZKP) 등을 통해 증명서의 세부 정보 (예: 특정 클라우드 지역) 를 공개하지 않고도 유효성만 검증할 수 있는 방안을 제시하여 프라이버시 문제도 고려합니다.

결론적으로, 이 논문은 클라우드 컴퓨팅 환경에서 CVM 의 가장 큰 취약점 중 하나인 "실행 위치의 불명확성"을 해결하며, 외부 검증자가 신뢰할 수 있는 데이터 센터에서 작업이 수행되었음을 암호학적으로 확인할 수 있는 강력한 프레임워크를 제시합니다.