Designing Trustworthy Layered Attestations

이 논문은 신뢰할 수 있는 원격 시스템 검증을 위해 하드웨어와 소프트웨어 계층을 구조화하는 원칙을 제시하고, 이를 통해 강력한 적대자 환경에서도 성능 부담을 최소화하면서 신뢰할 수 있는 계층적 증명 (Layered Attestations) 을 구축하는 방법을 제안합니다.

핵심

이 논문은 **"어떤 컴퓨터 시스템이 정말로 안전하고 신뢰할 수 있는지, 어떻게 증명할 것인가?"**에 대한 질문에서 시작합니다.

기존의 보안 시스템은 "문이 잠겨 있나?"만 확인하는 경우가 많았습니다. 하지만 해커가 문 안쪽의 감시 카메라를 조작하거나, 문이 잠겨 있는 척하는 장난감을 만들어 놓으면, 우리는 속아 넘어갈 수 있습니다. 이 논문은 **"층층이 쌓인 증명 (Layered Attestation)"**이라는 새로운 방식을 제안하며, 시스템이 정말로 깨끗한지 확인하는 방법을 설명합니다.

이 복잡한 내용을 비유와 일상적인 언어로 쉽게 풀어보겠습니다.

---

1. 문제: "문이 잠겨 있다고 해서 집이 안전한 건가?"

상상해 보세요. 당신이 중요한 서류를 보관할 금고에 들어갈 사람을 고용하려고 합니다.

• 기존 방식: 경비원이 "문은 잠겼습니다"라고 말합니다. 하지만 해커가 경비원에게 "나는 경비원이다"라고 거짓말을 하거나, 경비원에게 "문은 잠겼다고 말해줘"라고 명령할 수 있다면? 우리는 속아 넘어갑니다.
• 이 논문의 문제: 해커는 시스템의 핵심 (운영체제, 커널) 을 장악해서 "나는 안전해요"라는 거짓 보고를 할 수 있습니다. 그래서 우리는 단순히 "문이 잠겼다"는 말만 믿을 수 없습니다.

2. 해결책: "층층이 쌓인 증명 (Layered Attestations)"

이 논문은 시스템을 건물의 층처럼 나누어, 아래층부터 위층까지 순서대로 검증하는 방식을 제안합니다.

• 지하실 (하드웨어/TPM): 건물의 기초입니다. 여기는 해커가 손을 댈 수 없는 '신뢰의 뿌리'입니다.
• 1 층 (커널/운영체제): 지하실 위에 지어진 층입니다. 지하실이 안전해야 1 층도 안전하다고 믿을 수 있습니다.
• 2 층 (애플리케이션): 실제 업무를 하는 층입니다. 1 층이 안전해야 2 층의 업무도 안전합니다.

핵심 아이디어: 해커가 2 층을 장악했다 하더라도, 1 층이나 지하실이 안전하다면 해커는 "내가 안전하다"는 거짓말을 할 수 없습니다. 왜냐하면 아래층의 증거가 위층의 진실을 증명하기 때문입니다.

3. 시스템을 설계하는 5 가지 금기 (Maxims)

저자들은 이 시스템을 설계할 때 지켜야 할 5 가지 원칙 (Maxims) 을 제시합니다. 이를 안전한 레스토랑에 비유해 볼까요?

원칙 1: 범위를 좁혀라 (Constrain Interactions)

• 비유: 레스토랑에서 요리사 (시스템) 가 손님이 주문한 음식만 만들고, 다른 테이블의 음식을 건드리지 못하게 하세요.
• 설명: 해커가 시스템의 모든 부분을 건드릴 수 있게 두지 말고, 오직 필요한 부분만 서로 연결되게 제한하세요. 그래야 해커가 뭘 했는지 쉽게 찾을 수 있습니다.

원칙 2: 오래 사는 서비스는 자주 점검하라 (Long-lived vs. Short-lived)

• 비유:
  • 오래 사는 서비스 (커널): 레스토랑의 주방장이 24 시간 내내 일한다면, 해커가 주방장을 속여 음식을 망칠 수 있습니다. 그래서 주방장 (시스템) 을 자주 재검사해야 합니다.
  • 짧은 서비스 (메시지 처리): 손님이 오면 요리사가 요리를 하고 바로 퇴장한다면? 해커가 요리를 망쳐도 다음 손님은 안전한 새 요리사를 만나게 됩니다. 한 번 쓰고 버리는 방식은 해커가 시스템을 오염시키기 어렵게 만듭니다.

원칙 3: 비밀은 숨겨두지 마라 (No Secrets in Memory)

• 비유: 금고의 열쇠를 요리사 주머니에 넣어두면, 해커가 요리사를 잡으면 열쇠도 뺏깁니다.
• 설명: 시스템을 증명하는 데 쓰는 '서명 키 (열쇠)'는 시스템 메모리에 두지 말고, **TPM(보안 칩)**이라는 특수한 금고에 넣어두세요. 시스템이 잠시 해킹당해도 열쇠는 안전해야 합니다.

원칙 4: 증명하는 사람도 증명해야 한다 (Trust the Attester)

• 비유: "내가 안전해요"라고 말하는 사람이, 정직한 사람인지 어떻게 알 수 있나요?
• 설명: 시스템을 증명하는 소프트웨어도 해커가 조작하지 않았는지 확인해야 합니다. 이를 위해 부팅 (시작) 과정부터 검증된 상태여야만 서명 키를 사용할 수 있게 합니다.

원칙 5: 아래층을 먼저 확인하라 (Bottom-up Order)

• 비유: 건물의 3 층이 안전하다고 말하려면, 1 층과 2 층이 먼저 안전하다고 증명되어야 합니다.
• 설명: 검증 순서가 중요합니다. 먼저 하드웨어와 운영체제를 확인하고, 그다음에 프로그램을 확인해야 합니다. 순서를 바꾸면 해커가 "아래층은 안전해요"라고 거짓말하며 위층을 숨길 수 있습니다.

4. 실제 실험: "CDS(크로스 도메인 솔루션)"

저자들은 이 원칙들을 적용해 **보안 게이트웨이 (CDS)**라는 시스템을 만들었습니다.

• 상황: 보안이 엄격한 네트워크 (RN) 에서 일반 네트워크 (ON) 로 데이터를 보낼 때, 해커가 데이터를 변조하지 않았는지 확인합니다.
• 결과:
  • 해커가 시스템을 장악하려 시도했지만, 층층이 쌓인 검증 덕분에 모두 적발되었습니다.
  • 성능: 이 보안 검증이 시스템 속도를 얼마나 느리게 만들까요? 약 1.3% 만 느려졌습니다. (거의 체감되지 않는 수준!)

5. 미래: "비밀스러운 구름 (Confidential Computing)"

이 논문은 최신 기술인 **AMD SEV-SNP(비밀 컴퓨팅)**를 적용한 사례도 소개합니다.

• 비유: 기존의 방식이 "건물 전체를 감시하는 CCTV"라면, 이 방식은 **"각각의 방을 투명 유리벽으로 분리하고, 방 안의 사람만 볼 수 있게 하는 것"**입니다.
• 효과: 해커가 건물 관리자 (하드웨어) 를 장악해도, 각 방 (가상 머신) 안의 데이터는 해커에게 보이지 않습니다. 이 방식도 위에서 말한 5 가지 원칙을 따르니 더 강력해집니다.

6. 결론: 우리가 배운 것

이 논문은 **"보안은 한 번에 해결되지 않는다"**는 것을 보여줍니다.

1. 신뢰는 쌓아 올리는 것이다: 하드웨어 → 운영체제 → 애플리케이션 순서로 층층이 검증해야 합니다.
2. 해커는 항상 한 발 앞서 있을 수 있다: 그래서 시스템을 설계할 때 해커가 뭘 할지 상상하고 (적대적 사고), 그걸 막는 구조를 만들어야 합니다.
3. 작은 변화가 큰 차이를 만든다: 시스템이 조금만 느려져도 (1.3%), 신뢰할 수 있다는 확신은 priceless(무가치할 수 없는) 합니다.

한 줄 요약:

"누군가 '나는 안전해요'라고 말한다고 믿지 마세요. 아래층부터 위층까지, 층층이 쌓인 증거를 보여줄 때까지 기다리세요. 그리고 그 증거를 만드는 시스템도 검증받아야 합니다."

이 논문은 우리가 디지털 세상을 더 안전하게 만들기 위해, 단순한 '문 잠금'이 아닌 **'전체 구조의 투명성'**을 추구해야 함을 일깨워줍니다.

기술 요약

1. 문제 제기 (Problem)

• 신뢰의 부재: 기존 증명 (Attestation) 기술은 주로 사용자 공간의 멀웨어 탐지에 초점을 맞추거나 부팅 시점의 상태만 확인합니다. 이는 커널 루트킷 (Rootkit) 이나 런타임 공격을 피할 수 있는 정교한 공격자에게는 취약합니다.
• 순환적 의존성: 증명 인프라 자체가 신뢰할 수 있어야 하지만, 증명 인프라를 검증하려면 다시 그 인프라에 의존해야 하는 모순이 발생합니다.
• 일시적 손상 (Transient Corruption): 공격자가 증명 과정 중 시스템에 침입했다가 증거 수집 후 복구하는 경우, 영구적인 비밀 유출이 발생하더라도 탐지되지 않을 수 있습니다.
• 현재 기술의 한계: TPM(Trusted Platform Module) 같은 하드웨어 루트 오브 트러스트와 SELinux, IMA(Integrity Measurement Architecture) 같은 소프트웨어 메커니즘을 효과적으로 조합하여 신뢰할 수 있는 증명을 생성하는 체계적인 방법론이 부족했습니다.

2. 방법론 (Methodology)

저자들은 **적대적 추론 (Adversarial Reasoning)**을 기반으로 시스템을 설계하고, 이를 검증하기 위해 **5 가지 설계 공리 (Maxims)**를 도출했습니다.

A. 설계 공리 (5 Maxims)

1. 상호작용 제한: 증명해야 하는 속성이 시스템의 제한적이고 예측 가능하며 측정 가능한 부분에만 의존하도록 상호작용을 제한한다. (SELinux 를 통한 격리)
2. 수명 주기 관리: 신뢰할 수 없는 입력을 처리하는 장기 서비스는 런타임 재측정 (Remeasurement) 이 필요하지만, 단기/단일 입력 프로세스는 이를 피할 수 있다. (프로세스 포킹 활용)
3. 비밀 독립성: 일시적 손상으로 인해 유출될 수 있는 비밀 (예: 서명 키) 에 의존하지 않는다.
4. 출처 증명: 각 증명은 신뢰할 수 있는 부팅 환경에서 손상되지 않은 증명 소프트웨어에서 비롯되었음을 보여줘야 한다. (TPM PCR 기반 정책)
5. 비순환적 의존: 하위 레이어를 상위 레이어보다 먼저 측정할 수 있는 비순환적 의존 관계를 구축한다. (커널 -> 애플리케이션 순서)

B. 구현 사례: 크로스 도메인 솔루션 (CDS)

• 목표: 보안 수준이 다른 두 네트워크 (제한된 네트워크 RN, 개방된 네트워크 ON) 간에 메시지를 안전하게 전달하는 시스템.
• 아키텍처:
  • 하드웨어: TPM (보고 및 저장의 루트 오브 트러스트), UEFI (측정의 루트 오브 트러스트).
  • 소프트웨어: Linux, SELinux (정책 강제), IMA (실행 파일 무결성 측정), LKIM (커널 무결성 재측정 도구).
  • 프로세스: 각 파이프라인 단계 (수신, 재작성, 필터링, 내보내기) 는 짧은 수명의 프로세스로 실행되어 데이터 기반 공격의 전파를 차단.
  • 증명 관리: Attestation Manager (AM) 가 증거를 수집하고, TPM 의 Attestation Signing Key (ASK) 로 서명하여 appraisal(평가) 에 제출.

C. 적대자 모델 (Adversary Model)

• 하드웨어/UEFI 는 수정 불가능하다고 가정.
• 공격자는 루트 권한을 얻어 파일 시스템과 프로세스를 조작할 수 있음.
• SELinux 정책이 활성화된 상태에서는 공격자의 행위가 제한됨.
• 제약 조건: 공격자가 증명 시점을 정확히 예측하여 빠르게 손상 및 복구하는 "Fast Attestation-Triggered" 공격은 가정하지 않음 (현재 기술적 한계로 인한 제약).

3. 주요 기여 (Key Contributions)

1. 적대자 모델 정의: SELinux 와 IMA 가 탑재된 리눅스 시스템에 대한 정교하고 현실적인 적대자 모델을 제시.
2. 실증 및 형식적 검증: 제안된 메커니즘이 해당 적대자 모델에 대해 승리 (손상 탐지 또는 방어) 함을 실증적 테스트와 형식적 분석 (Copland 언어 기반) 으로 입증.
3. 재사용 가능한 공리 (Maxims): 5 가지 설계 공리를 통해 계층적 증명 시스템 설계에 대한 비판적 사고 도구 제공.
4. 다양한 적용 사례: CDS 예시 외에도 분산 문서 제어 시스템과 AMD SEV-SNP(Confidential Computing) 기반의 가상 머신 증명에 동일한 공리가 적용 가능함을 보여줌.
5. 기술적 개선 제안: 현재 커널 및 아키텍처의 한계를 극복하기 위한 두 가지 구체적인 개선안 제시.
   • 권고 1: LKIM 이 가상 머신 (VM) 으로 실행되어 커널과 격리되도록 가상화 지원 강화 (순환 의존성 해결).
   • 권고 2: 리눅스 커널과 SELinux 가 TPM 로컬리티 (Localities) 를 지원하여, 커널이 서명 키를 남용하지 못하도록 접근 제어 강화 (일시적 손상 대응).

4. 결과 (Results)

• 성능 오버헤드: 증명 시스템의 성능 부하는 **약 1.3%**로 매우 미미함. (CDS 처리량 감소, OS 작업, 웹 서버 성능 등 다양한 벤치마크에서 확인).
• 탐지 능력:
  • 부팅 스크립트, IMA/SELinux 정책, 커널 모듈, 사용자 공간 실행 파일 등의 변조를 성공적으로 탐지.
  • Replay 공격 (과거 증명 재사용) 은 Nonce 를 통해 차단.
  • LKIM 을 통한 커널 재측정은 루트킷 탐지에 효과적임.
• 형식적 분석: Copland 언어와 Rocq 증명 도구를 사용하여, 정의된 적대자 모델 하에서 시스템이 손상된 상태로도 "합격"으로 평가되는 시나리오가 없음을 수학적으로 증명.

5. 의의 및 결론 (Significance)

• 실용성: 널리 사용되는 표준 하드웨어 (TPM) 와 소프트웨어 (Linux, SELinux) 를 활용하여 신뢰할 수 있는 증명 시스템을 구축할 수 있음을 입증.
• 설계 패러다임: 단순한 도구 조합을 넘어, 시스템 설계 단계부터 증명 (Attestation) 과 보안 (Security) 을 통합적으로 고려하는 "공조 설계 (Co-design)"의 중요성을 강조.
• 확장성: 제안된 5 가지 공리는 다양한 하드웨어 (TPM, SEV-SNP 등) 와 애플리케이션 (CDS, 분산 시스템) 에 적용 가능하여 미래의 신뢰 기반 시스템 설계의 지침이 됨.
• 향후 과제: 현재 기술적 한계 (TPM 로컬리티 부재, LKIM 의 커널 의존성) 를 해결하기 위한 커널 및 아키텍처 개선을 통해 더 강력한 적대자 모델에 대응할 수 있는 기반 마련.

이 논문은 신뢰할 수 있는 원격 증명을 구축하기 위해 하드웨어와 소프트웨어 계층을 어떻게 조화롭게 구성해야 하는지에 대한 체계적인 프레임워크와 실증 데이터를 제공한다는 점에서 보안 및 시스템 설계 분야에서 중요한 의의를 가집니다.