MAD: Memory Allocation meets Software Diversity

이 논문은 DRAM 오류로 인한 RowHammer 공격을 해결하기 위해 메모리 할당과 소프트웨어 다양성 원리를 결합하여 엔트로피 부족 문제를 극복하고, 성능 저하 없이 공격을 지연시켜 대응 시간을 확보하는 'MAD'라는 새로운 방어 기법을 제안합니다.

핵심

🏠 1. 문제 상황: "집의 구조를 훔쳐보는 도둑"

먼저 로우해머 공격이 무엇인지 알아야 합니다.
컴퓨터 메모리는 수많은 작은 방 (비트) 들로 이루어진 거대한 아파트라고 상상해 보세요. 보통은 이 방들 사이에 벽이 있어 서로 영향을 주지 않습니다. 하지만 로우해머 공격자는 특정 방 (행, Row) 을 계속 두드려서 (접근해서) 벽을 흔들면, 옆방의 벽이 무너져서 의도치 않게 옆방의 내용물이 변하는 현상을 이용합니다.

• 기존의 방어책: "벽을 더 두껍게 하거나, 특정 방만 잠가라"는 식이었습니다.
• 문제점: 해커는 이제 벽을 두드리는 위치를 바꾸거나, 여러 방을 동시에 두드리는 등 방법을 바꿔서 기존 방어책을 뚫고 있습니다. 마치 도둑이 열쇠 구멍을 바꿔서 계속 들어오려는 것과 같습니다.

🎭 2. 해결책: "MAD(메모리 할당 다양성)"란 무엇인가?

이 논문은 **"메모리를 할당하는 방식 자체를 예측 불가능하게 만들어라"**는 아이디어를 제시합니다. 이를 **소프트웨어 다양성 (Software Diversity)**의 원리를 메모리 관리에 적용한 것입니다.

핵심 비유: "변덕스러운 집주인"

기존의 메모리 관리자 (집주인) 는 규칙이 너무 단순합니다.

• "방을 비우면 바로 그 방을 다시 채워준다."
• "방을 빌려달라고 하면 항상 같은 순서로 방을 준다."
  이렇게 되면 해커는 "아, 내가 방 A 를 비우고 방 B 를 빌리면, 방 C 가 비워져서 내가 원하는 데이터를 넣을 수 있구나!"라고 계산해 공격을 준비합니다.

MAD 는 이 집주인을 '변덕스러운 사람'으로 바꿉니다.

• "방을 비워도 그 방을 바로 다시 쓰지 않고, 다른 방으로 옮겨둘 수도 있어."
• "방을 빌려달라고 해도, 내가 오늘 기분에 따라 다른 방을 줄 수도 있어."
• "빈 방이 없으면, 큰 방을 잘게 쪼개서 줄 수도 있고, 작은 방들을 합쳐서 큰 방을 만들 수도 있어."

이렇게 방의 위치와 배치를 매번 뒤죽박죽으로 섞어버리면, 해커는 "어디에 내 방이 있는지"를 알 수 없게 되어 공격을 준비하는 데 엄청난 시간이 걸리게 됩니다.

🛠️ 3. MAD 가 사용하는 두 가지 마법 (기술적 원리)

MAD 는 두 가지 기술을 섞어서 이 '변덕'을 구현합니다.

1. 수평적 다양성 (Horizontal Diversity): "빈 방 재활용"

   • 해커가 방을 빌렸다가 반납하면, 보통은 그 방을 바로 다른 사람에게 줍니다. 하지만 MAD 는 반납된 방을 바로 다시 쓰지 않고, **'그림자 창고 (Shadow Cache)'**에 잠시 보관했다가, 다시 필요할 때 무작위로 꺼내서 줍니다.
   • 효과: 해커가 "내가 방을 비우면 다시 그 방을 얻을 수 있겠지?"라고 계산해도, MAD 는 그 방을 다른 곳에 숨겨버립니다.

2. 수직적 다양성 (Vertical Diversity): "방 크기 조절"

   • 만약 그림자 창고에 빈 방이 없다면? MAD 는 큰 방을 잘게 쪼개서 주거나, 작은 방들을 합쳐서 큰 방을 만들어 줍니다.
   • 효과: 해커가 메모리 공간을 다 차지하려고 애를 써도, MAD 는 방의 크기와 위치를 계속 바꿔주기 때문에 해커가 원하는 '특정 배치'를 만드는 것이 거의 불가능해집니다.

🕵️ 4. 해커 잡기: "지나치게 많은 방을 빌리는 도둑"

MAD 는 단순히 공격을 늦추는 것뿐만 아니라, 공격을 탐지하는 기능도 있습니다.

• 비유: 만약 어떤 사람이 "내 집의 모든 방을 빌려달라"고 하거나, "방을 빌려놓고 절대 반납하지 않는다"고 한다면? 이는 정상적인 손님이 아닙니다. 도둑이 집 전체를 장악하려는 시도가 분명합니다.
• MAD 의 역할: MAD 는 메모리 사용 패턴을 감시합니다. 만약 누군가 메모리를 너무 많이 빌려서 MAD 의 '변덕스러운 창고'를 비워버리거나, 특정 패턴으로 방을 차지하려 한다면, MAD 는 **"이건 이상해!"**라고 경보를 울립니다.
• 기존 방어책은 해커가 공격을 성공하기 전까지 모르고 지내지만, MAD 는 공격이 성공하기 전에 "너무 많은 방을 빌리고 있네?"라고 의심할 수 있습니다.

📊 5. 결론: 왜 이것이 중요한가?

• 기존 방어책의 한계: 하드웨어를 바꾸거나 (비쌈), 특정 공격만 막는 방식은 해커가 방법을 바꿀 때마다 무용지물이 됩니다.
• MAD 의 장점:
  • 하드웨어 불필요: 별도의 비싼 칩이 필요 없습니다. 소프트웨어만 업데이트하면 됩니다.
  • 성능 저하 없음: 방을 섞는다고 해서 컴퓨터가 느려지지 않습니다.
  • 예측 불가능성: 해커가 공격을 준비하는 데 걸리는 시간을 수십 배에서 수백 배로 늘려줍니다. 해커가 "이건 너무 어렵다"고 포기하게 만들거나, 그 사이에 보안팀이 해커를 잡을 시간을 벌어줍니다.

💡 한 줄 요약

"MAD 는 컴퓨터 메모리 관리자가 방을 빌려주는 방식을 매일매일 예측할 수 없게 뒤섞어서, 해커가 공격을 준비하는 시간을 영원히 기다리게 만들고, 이상한 행동을 하는 도둑을 미리 잡아내는 똑똑한 시스템입니다."

기술 요약

논문 제목: MAD (Memory Allocation meets Software Diversity)

저자: Manuel Wiesinger, Daniel Dorfmeister, Stefan Brunthaler
주제: RowHammer 공격 방지를 위한 메모리 할당 다양성 (Memory Allocation Diversity)

---

1. 문제 정의 (Problem)

• DRAM 오류 및 RowHammer 취약점: DRAM 오류로 인한 취약점, 특히 2014 년에 발견된 RowHammer 공격은 운영체제의 핵심 데이터 무결성을 위협하는 심각한 문제입니다.
• 기존 방어 기법의 한계:
  • 초기 RowHammer 공격 (단면/양면 공격) 에 초점을 맞춘 기존 방어 기법들은 최근의 다면 (many-sided) RowHammer 공격으로 일반화되지 못했습니다.
  • 하드웨어적 방어 (Target Row Refresh, TRR) 나 ECC 메모리조차 완전히 안전하지 않은 것으로 입증되었습니다.
  • 기존 방어 기법들은 공격자가 메모리 할당 전략을 예측하여 취약한 구성 (vulnerable configuration) 을 찾아내는 것을 막지 못합니다.
• 공격의 핵심 메커니즘: 모든 RowHammer 공격은 **'메모리 마사지 (Memory Massaging)'**라고 불리는 과정을 필요로 합니다. 공격자는 취약한 메모리 행 (row) 을 제어하고, 타겟 데이터를 해당 위치에 배치되도록 메모리 할당기를 속여야 합니다. 이는 메모리 할당기의 예측 가능성 (predictability) 을 악용하는 것입니다.
• 엔트로피 부족: 소프트웨어 다양성 (Software Diversity) 은 코드 재사용 공격을 막는 데 효과적이지만, 메모리 할당 영역에서는 물리적 메모리 크기가 고정되어 있어 엔트로피 (무작위성) 를 확보하기 어렵다는 큰 장벽이 존재합니다.

2. 방법론 (Methodology)

저자들은 **MAD(Memory Allocation Diversity)**라는 새로운 접근법을 제안합니다. 이는 메모리 관리에 소프트웨어 다양성 원리를 적용하여 공격자가 취약한 메모리 구성을 찾는 시간을 지연시키거나 불가능하게 만드는 것을 목표로 합니다.

• 핵심 아이디어: 메모리 할당기의 예측 가능성을 깨뜨리기 위해 **수평적 다양성 (Horizontal Diversity)**과 **수직적 다양성 (Vertical Diversity)**이라는 두 가지 상호 보완적인 공간 다양화 기법을 결합합니다.
• 구현 구조:
  • MAD 는 기존 메모리 관리자 (예: 리눅스의 Buddy Allocator) 위에 레이어로 작동하며, 하드웨어나 특정 OS 에 종속되지 않습니다.
  • **할당 캐시 (Allocation Caches, $C_A$)**와 **섀도 캐시 (Shadow Caches, $C_S$)**를 도입하여 메모리 블록을 관리합니다.

주요 기법:

1. 수평적 다양성 (Horizontal Diversity):

   • 할당 요청과 해제 (free) 요청 시 블록을 무작위로 선택하여 캐시 내에서 이동시킵니다.
   • 해제된 블록은 섀도 캐시에 무작위 위치에 저장되고, 새로운 할당 요청은 섀도 캐시에서 무작위로 블록을 가져와 할당 캐시로 이동시킵니다.
   • 효과: 동일한 할당/해제 시퀀스가 반복되더라도 물리적으로 다른 블록이 할당되지 않고, 기존에 사용되었던 블록이 재사용 (Recycling) 될 확률을 높여 공격자의 '메모리 매핑'을 어렵게 만듭니다.

2. 수직적 다양성 (Vertical Diversity):

   • 문제 해결: 수평적 다양성만으로는 캐시가 비어 있을 때 하위 메모리 관리자로부터 새 페이지를 할당해야 하므로 예측 가능성이 다시 발생할 수 있습니다.
   • 해결책:
     • 병합 (Merging): 섀도 캐시에서 인접한 '버디 (buddy)' 블록을 찾아 더 큰 블록으로 병합하여 다음 차수 (order) 의 섀도 캐시에 무작위 위치로 배치합니다.
     • 역수직 다양성 (Inverse Vertical Diversity): 할당 캐시가 비었을 때, 더 높은 차수의 할당 캐시에서 블록을 무작위로 선택하여 잘게 쪼개어 (split) 낮은 차수의 할당 캐시에 무작위 위치로 배치합니다.
   • 효과: 외부 메모리 관리자로부터 새 페이지를 할당할 필요성을 줄이고, 블록 재사용률을 극대화하여 공격자가 전체 메모리를 탐색 (Enumeration) 하는 것을 지연시킵니다.

3. 탐지 메커니즘 (Detection):

   • MAD 는 캐시 상태를 모니터링하여 밀집 할당 (Dense-allocation) 공격을 탐지합니다. 공격자가 모든 메모리를 할당하고 타겟 페이지를 해제하여 민감한 데이터를 그 위치에 배치하려 할 때, MAD 의 캐시 상태가 비정상적으로 변하는 것을 감지합니다.
   • 무작위화된 스냅샷 간격을 통해 공격자가 탐지를 우회하려는 시도를 방지합니다.

3. 주요 기여 (Key Contributions)

1. 메모리 할당 다양성 (MAD) 제안: 메모리 관리를 다양화하여 RowHammer 공격의 '메모리 마사지' 단계를 지연시키는 새로운 방법론을 제시했습니다.
2. 엔트로피 장벽 극복: 제한된 물리적 메모리 공간에서도 작동하는 두 가지 새로운 공간 다양화 기법 (수평적/수직적) 을 개발하여 엔트로피 부족 문제를 해결했습니다.
3. 실제 구현 및 평가: 프로토타입을 구현하고 다양한 실험을 통해 보안성을 검증했습니다.
4. 범용성: Buddy Allocator 뿐만 아니라 자유 목록 (free-list) 기반 관리자, 웹 브라우저, 데이터베이스 등 다양한 메모리 관리 환경에 적용 가능합니다.

4. 실험 결과 (Results)

• 희소 할당 마사지 (Sparse-allocation Massaging) 지연:
  • 16GB RAM 시스템에서 모든 물리 메모리 블록을 탐색하는 데 필요한 할당 횟수를 비교했습니다.
  • 기존 Buddy Allocator: 약 770 억 회 할당.
  • MAD 적용 시: 약 2,940 억 회 할당 (약 4 배 이상 증가, 10 배 수준으로 확장됨).
  • 10 억 회 할당 실험에서 MAD 는 고유한 물리 블록 할당 수가 70,000 개에 머무르는 등 (전체 400 만 개 중 극소수) 블록 재사용이 극적으로 증가함을 확인했습니다.
• 공격 성공 확률:
  • 공격자가 취약한 블록을 제어하더라도, MAD 의 무작위성으로 인해 타겟 위치에 원하는 데이터를 배치할 확률은 0.01% ~ 0.3% 미만으로 떨어집니다.
  • 즉, 99.5% 이상의 경우 공격자가 예측 가능하게 타겟 위치를 할당받지 못합니다.
• 밀집 할당 탐지:
  • 밀집 할당 공격 (전체 메모리 소모 후 타겟 데이터 배치) 에 대해 MAD 는 98~100% 의 탐지율을 보였습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 새로운 방어 패러다임: RowHammer 공격에 대한 '격리 (Isolation)' 전략 (공격 행과 타겟 행 분리) 은 다면 공격으로 인해 메모리 요구량이 기하급수적으로 늘어나 비효율적이지만, MAD 는 **확률적 지연 (Probabilistic Delay)**을 통해 공격의 실행 시간을 비현실적으로 길게 만듭니다.
• 지연의 효과: 공격을 지연시키는 것은 시스템이 재부팅하거나, 공격을 심층 분석하거나, 추가적인 대응 조치를 취할 수 있는 시간을 벌어줍니다.
• 하드웨어/소프트웨어 무관성: 특정 하드웨어 정보나 OS 내부 구조에 의존하지 않으므로, 다양한 플랫폼과 미래의 RowHammer 변종 공격에도 적용 가능합니다.
• 향후 과제: MAD 를 실제 OS 와 웹 브라우저에 통합하여 모든 알려진 RowHammer 공격에 대한 보호 능력을 평가하고, 더 강력한 방어 기법과의 하이브리드 방식을 연구할 계획입니다.

요약하자면, MAD 는 메모리 할당 과정에 무작위성과 다양성을 도입하여 RowHammer 공격자가 취약한 메모리 구성을 찾는 것을 극도로 어렵게 만들고, 이를 통해 공격을 지연하거나 탐지할 수 있는 혁신적인 소프트웨어 기반 방어 솔루션입니다.