Trust Nothing: RTOS Security without Run-Time Software TCB (Extended Version)

이 논문은 레거시 하드웨어를 기반으로 한 새로운 능력 (capability) 아키텍처와 Zephyr 기반의 실시간 운영체제를 제안하여, 모든 소프트웨어 구성 요소와 주변 장치를 신뢰할 수 없는 것으로 간주하면서도 하드웨어 변경 없이 임베디드 장치의 무결성을 보장하는 방법을 제시합니다.

핵심

🏠 비유: "불신하는 아파트 단지"

기존의 보안 방식은 **"관리실 (운영체제 커널) 을 믿고, 모든 주민 (앱) 과 외부 방문객 (장치) 을 감시한다"**는 방식이었습니다. 하지만 관리실 직원 (운영체제) 이 해킹당하거나, 외부 방문객이 위장해서 들어오면 전체 아파트가 무너집니다.

이 논문은 "아예 관리실이라는 개념을 없애고, 모든 주민과 방문객을 서로 완전히 격리된 '독립된 방'에 가두는" 방식을 제안합니다.

1. 문제 상황: 왜 기존 방식은 위험할까?

• 기존 방식: 아파트의 열쇠를 관리하는 '관리실 (커널)'이 있습니다. 주민들은 관리실을 통해 문을 열고 들어갑니다.
  • 위험: 만약 관리실 직원이 해커에게 당하거나, 관리실 열쇠가 유출되면 해커는 아파트 전체를 마음대로 다닐 수 있습니다.
  • 외부 위협: 외부 택배 기사 (DMA 장치) 가 열쇠를 훔쳐가서 아파트 안을 훑어볼 수도 있습니다.
• 현재의 한계: 기존 보안 기술은 '관리실'을 믿거나, '외부 방문객'을 믿는 두 가지 중 하나만 선택할 수 있었습니다. 둘 다 믿지 않으면 보안이 뚫립니다.

2. 해결책: '북케이프 (Northcape)'와 '스카디 (Skadi)'

이 연구팀은 두 가지 새로운 도구를 만들었습니다.

A. 브레디 (Bredi): "지능형 보안관 (하드웨어)"

• 역할: 아파트의 모든 문과 복도에 설치된 자동 보안관입니다.
• 기능:
  • 주민이나 방문객이 문 (메모리) 을 열려고 할 때, **"너는 이 문을 열 자격이 있니?"**를 물어봅니다.
  • 자격증 (Capability, 권한 토큰) 이 없으면 문은 절대 열리지 않습니다.
  • 중요한 점: 이 보안관은 하드웨어 (회로) 로 만들어져서, 소프트웨어가 해킹당해도 보안관 자체는 해커가 조작할 수 없습니다.
  • 특이사항: 외부 방문객 (DMA 장치) 이도 이 보안관의 심사를 받습니다. 그래서 해커가 위장한 방문객이라도 아파트 안을 훔쳐볼 수 없습니다.

B. 스카디 (Skadi): "격리된 방들 (소프트웨어)"

• 역할: 기존 운영체제 (Zephyr) 를 개조하여 만든 새로운 아파트 관리 시스템입니다.
• 기능:
  • 관리실 폐지: 더 이상 '관리실'이라는 특권 계급이 없습니다. 모든 프로그램 (네트워크, 드라이버, 앱) 이 서로를 믿지 않는 **동등한 주민 (서브시스템)**으로 나뉩니다.
  • 완벽한 격리: 주민 A 가 주민 B 의 방에 들어가고 싶다면, 주민 B 가 직접 문을 열어줘야 합니다. 주민 A 는 주민 B 의 방을 함부로 열 수 없습니다.
  • 신뢰할 수 없는 주민: 만약 어떤 주민 (드라이버) 이 해킹당해서 미친 짓을 해도, 그 주민은 자신의 방 밖으로 나갈 수 없습니다. 아파트 전체는 안전합니다.

3. 어떻게 작동할까? (일상적인 예시)

• 열쇠 (Capability Token):

  • 보통 열쇠는 "이 아파트의 모든 문"을 열 수 있는 '마스터 키'처럼 작동합니다.
  • 하지만 이 시스템에서는 각 문마다 다른 열쇠를 줍니다.
  • 예: "냉장고 문만 열 수 있는 열쇠", "거실 창문만 열 수 있는 열쇠".
  • 만약 해커가 '냉장고 열쇠'를 훔쳐도, '거실 창문'은 열 수 없습니다.

• 방문 (Subsystem Call):

  • 주민 A 가 주민 B 에게 도움을 요청할 때, 그냥 문을 두드리는 게 아니라 공식적인 방문 신청서를 냅니다.
  • 보안관 (하드웨어) 이 "이 신청서는 유효한가?"를 확인하고, 잠시 주민 B 의 영역으로 이동하게 해줍니다.
  • 작업이 끝나면 즉시 원래 자리로 돌아옵니다. 이 과정에서 주민 A 는 주민 B 의 비밀을 볼 수 없습니다.

• 비상 상황 (Interrupts):

  • 화재 경보가 울리면 (인터럽트), 보안관이 즉시 개입합니다.
  • 기존 방식에서는 관리실이 해킹당해 경보를 무시할 수 있었지만, 이 시스템에서는 하드웨어 보안관이 직접 경보를 처리하므로 해커가 경보를 끄거나 무시할 수 없습니다.

4. 성능은 어떨까? (속도 문제)

• 단점: 모든 문을 열 때마다 보안관 확인을 거치기 때문에, 아주 미세하게 속도가 느려질 수 있습니다 (약 3~4 배 정도 네트워크 속도가 느려질 수 있음).
• 장점: 하지만 현대의 임베디드 기기들은 성능보다 보안이 훨씬 중요합니다.
• 결론: "약간의 속도 저하를 감수하더라도, 내 집이 털리는 것보다 낫다"는 철학입니다. 실제로는 대부분의 일상적인 작업에서는 사용자가 체감할 만큼의 차이가 없습니다.

💡 요약: 이 연구가 왜 중요한가?

1. 신뢰하지 마라 (Zero Trust): 운영체제나 하드웨어 장치 중 어떤 것도 100% 신뢰하지 않습니다. 모두 해킹당할 수 있다고 가정합니다.
2. 하드웨어 기반 보안: 소프트웨어만으로 보안을 지키는 것은 한계가 있습니다. 이를 **하드웨어 (회로)**가 직접 통제합니다.
3. 미래의 안전: 5G 기지국, 자율주행차, 의료 기기 등 해킹당하면 생명이나 사회 시스템이 위험한 곳에 이 기술이 적용되면, 해커가 시스템을 장악하는 것이 거의 불가능해집니다.

한 줄 평:

"아파트 관리실 (운영체제) 을 없애고, 모든 주민과 방문객을 서로 다른 방에 가두어, 한 명이 미쳐도 전체 아파트가 무너지지 않게 만든 하드웨어 기반의 완벽한 보안 시스템입니다."

기술 요약

1. 문제 정의 (Problem)

임베디드 장치는 소프트웨어화 (SoC 기반) 가 진전되면서 유연성이 높아졌지만, 보안 취약점도 급증했습니다. 주요 위협 벡터는 다음과 같습니다.

• 애플리케이션 소프트웨어: 펌웨어 내 취약점 (예: 프린터 펌웨어의 80% 취약점).
• OS 커널: 커널과 사용자 공간의 분리 (MMU) 가 선택적이거나, 커널 취약점이 전체 시스템 장악으로 이어짐.
• **주변 장치 **(DMA) DMA 장치를 악용한 메모리 공격 (예: Thunderclap, WiFi 칩 하드웨어 트로이).

기존 기술의 한계:

• 기존 방어 기법 (MMU 등) 은 최대 두 가지 위협 벡터 (예: 앱 + 커널, 또는 앱 + 장치) 만 방어 가능.
• 커널을 신뢰해야만 MMU 를 설정할 수 있으므로, 런타임 소프트웨어 TCB 를 제거하는 것은 불가능함.
• 기존 능력 기반 아키텍처 (Capability Architectures) 는 대부분 장치를 위협 모델에서 제외하거나, 드라이버를 신뢰해야 함.

핵심 질문: 악성 애플리케이션, 커널, 주변 장치가 모두 존재하는 환경에서, 런타임 소프트웨어 TCB 없이도 소프트 실시간 보장을 유지하며 보안을 제공할 수 있는가?

2. 방법론 (Methodology)

저자들은 하드웨어와 소프트웨어를 공동 설계 (Co-design) 한 Bredi SoC와 Skadi RTOS를 개발했습니다.

A. 하드웨어: Bredi SoC (Northcape 구현체)

기존의 Northcape 개념을 하드웨어로 구현한 SoC 로, RISC-V CPU(cva6) 와 Xilinx FPGA 기반입니다.

• **능력 기반 메모리 접근 제어 **(Capability-based Access Control) 시스템 버스 레벨 (Northbridge) 에서 메모리 접근을 제어합니다.
• **토큰 기반 능력 **(Token Capability) 64 비트 포인터를 오프셋, 능력 번호, 난수 (Nonce) 로 구성하여 기존 C 포인터와 호환되도록 설계했습니다.
• 주요 하드웨어 구성 요소:
  • AXI MMU: DMA 장치의 메모리 접근을 제어 (IOMMU 역할).
  • Capability Resolver: 능력 토큰을 물리 주소로 변환하는 논리 회로.
  • Capability Operations Module: 능력 생성, 분할, 잠금 (Lock), 폐기 (Drop) 등 연산을 하드웨어 FSM 으로 수행.
  • **NTLB **(Northcape TLB) 변환 지연을 줄이기 위한 2 단계 캐시 (L1, L2).
• 보안 강화 기능:
  • 서브시스템 ID 바운드 제한: 능력 토큰이 특정 서브시스템 ID 와 일치할 때만 접근 허용 (난수 추측 공격 방지).
  • **잠금 **(Lock) 공유 데이터에 대한 배타적 접근을 하드웨어 수준에서 보장.
  • 신뢰할 수 없는 ISR 지원: 인터럽트 서비스 루틴이 중단된 서브시스템의 레지스터를 유출하지 않도록 **레지스터 스택킹 **(Register Stacking) 및 인터럽트 벡터링을 구현.

B. 소프트웨어: Skadi RTOS

Zephyr RTOS 를 기반으로 하여, 커널을 제거하고 모든 기능을 상호 불신하는 **서브시스템 **(Subsystem)으로 분해한 운영체제입니다.

• 런타임 TCB 제거: 부팅 시에만 존재하는 Skadi Loader(신뢰할 수 있는 로더) 가 시스템을 초기화한 후 스스로를 파괴 (Self-destruct) 합니다. 런타임에는 신뢰할 수 있는 소프트웨어가 존재하지 않습니다.
• 상호 격리된 서브시스템: 스케줄러, 메모리 할당기, DMA 드라이버, ISRs 등 모든 구성 요소가 별도의 서브시스템으로 격리됩니다.
• **서브시스템 호출 **(Subsystem Call) 권한 상승 없이 서로 다른 서브시스템 간에 안전하게 제어 흐름을 전환하는 메커니즘. 호출 시 레지스터를 초기화하여 정보 유출을 방지합니다.
• 신뢰할 수 없는 드라이버 및 DMA: 드라이버와 DMA 장치는 신뢰할 수 없으며, 오직 할당된 능력 (Capability) 범위 내에서만 메모리에 접근할 수 있습니다.

3. 주요 기여 (Key Contributions)

1. **첫 번째 하드웨어 구현체 **(Bredi) Northcape 개념을 FPGA 기반의 cva6 RISC-V 프로세서에 구현하여, 이론적 개념을 실증했습니다.
2. **런타임 소프트웨어 TCB 없는 OS **(Skadi) 커널, 드라이버, ISRs, 할당기 등 모든 런타임 구성 요소를 격리된 서브시스템으로 변환하여, 신뢰할 수 있는 소프트웨어가 실행 중일 필요가 없는 OS 를 구현했습니다.
3. 하드웨어 지원 인터럽트 격리: 인터럽트 처리 시 레지스터를 분리하고, 비마스크 가능 인터럽트 (NMI) 를 활용하여 공격자가 인터럽트 처리를 방해하거나 정보를 유출하는 것을 방지했습니다.
4. 성능과 보안의 균형: 계산 집약적 작업에서는 기존 Zephyr 과 유사한 성능을 보이며, I/O 작업에서는 격리로 인한 오버헤드가 발생하지만 실용적인 수준임을 입증했습니다.

4. 평가 결과 (Results)

• 하드웨어 오버헤드: Bredi 구현은 FPGA 리소스 (LUT, FF 등) 를 약 31% 증가시켰으나, 실시간 요구사항을 만족하는 주파수 (50 MHz) 에서 동작했습니다.
• **성능 **(Compute) Coremark 및 Stream 벤치마크에서 Skadi 는 Zephyr 과 거의 동일한 성능을 보였습니다 (L1 NTLB 히트율 100% 덕분).
• **성능 **(Network/I/O) 네트워크 패킷 처리 (Ping, iperf) 및 MQTT 에서 Zephyr 대비 약 3~4 배의 지연 시간 증가가 관찰되었습니다. 이는 격리된 컴파트먼트 간 통신 (서브시스템 호출) 이 빈번하게 발생하기 때문이나, 절대적인 수치로는 임베디드 환경에서 실용적입니다.
• **실시간성 **(Real-time) 인터럽트 응답 시간은 Zephyr 대비 3~7 배 느리지만, 여전히 밀리초 (ms) 단위 (약 0.1ms) 내에서 응답하여 소프트 실시간 시스템으로서의 적합성을 입증했습니다.
• 보안성: 악성 드라이버, 커널, DMA 장치가 서로의 메모리에 접근하거나 권한을 탈취하는 것을 하드웨어 수준에서 차단했습니다.

5. 의의 및 결론 (Significance)

• **보안 설계 **(Security-by-Design) 임베디드 장치의 보안 위협을 근본적으로 해결하기 위해, 신뢰할 수 있는 소프트웨어에 의존하지 않는 아키텍처를 제시했습니다.
• 차세대 임베디드 보안의 기초: 5G 기지국, 네트워크 인프라 등 고보안이 요구되는 임베디드 시스템에 적용 가능한 강력한 기반 기술을 제공합니다.
• 하드웨어/소프트웨어 통합 접근: 기존 커널 기반 보안의 한계를 넘어, 하드웨어 능력 (Capability) 을 시스템 버스 레벨로 확장하여 DMA 공격까지 포괄적으로 방어하는 새로운 패러다임을 제시했습니다.

이 연구는 "신뢰할 수 없는 것 (Untrusted)"을 전제로 시스템을 설계하더라도, 하드웨어 지원 능력 기반 아키텍처를 통해 강력한 보안과 실시간 성능을 동시에 달성할 수 있음을 증명했습니다.