기밀 컴퓨팅 지원하는 신뢰실행환경 'SGX', 메모리 보호하는 'TME' 등

인텔은 차세대 중앙처리장치(CPU)인 3세대 인텔 제온 스케일러블 플랫폼(코드명 아이스레이크)에 새로운 보안 기능들을 추가했다./인텔

인텔은 차세대 중앙처리장치(CPU)인 3세대 인텔 제온 스케일러블 플랫폼(코드명 아이스레이크)에 새로운 보안 기능들을 추가했다고 15일 밝혔다.

인텔은 ‘보안 우선 서약(Security First Pledge)에 전념하며 인텔 소프트웨어 가드 익스텐션(Intel Software Guard Extension, Intel SGX)을 아이스레이크(Ice Lake) 플랫폼 전체에 적용했다. 이와 함께 플랫폼 강화와 기밀성 향상 및 데이터 무결성을 위해 인텔 토털 메모리 인크립션(Intel Total Memory Encryption, Intel TME), 인텔 플랫폼 펌웨어 레질리언스(Intel® Platform Firmware Resilience, Intel PFR), 새로운 암호화 가속기를 지원한다.

데이터는 창출할 수 있는 사업적 가치와 보호해야 하는 개인 정보 측면에서 모두 중요한 자산이다. 때문에 사이버 보안은 업계에서 최우선 관심사다. 아이스레이크의 보안 기능을 통해 인텔의 고객은 보안 상태를 개선하고 금융 서비스와 의료 분야의 규제 데이터같이 개인 정보 및 컴플라이언스와 관련된 리스크를 줄일 수 있는 솔루션을 개발할 수 있다.  

디스크 및 네트워크 트래픽 암호화 등의 기술은 스토리지 내에서, 또는 전송 중에 데이터를 보호한다. 하지지만 메모리에서 사용되는 동안에 데이터는 가로채기와 변조에 취약할 수 있다.

'기밀 컴퓨팅(Confidential Computing)'은 데이터가 신뢰실행환경(TEE)에서 사용되는 동안 데이터를 보호하는 방법으로 급부상하고 있다. 인텔 SGX는 시스템 내에서 공격 표면이 가장 작은 데이터 센터 기밀 컴퓨팅을 위해 가장 많이 연구 및 업데이트된 신뢰실행환경이다.

사용 중인 환경에서 최대 1테라 바이트의 코드 및 데이터를 보호하기 위해 엔클레이브(Enclave)라고 불리는 프라이빗 메모리 영역에서 애플리케이션 격리를 가능하게 한다.

캘리포니아대학교 샌프란시스코 캠퍼스(UCSF), NEC, 마그니트(Magnit) 등 규제가 심한 산업 분야의 고객들은 그들의 보안 전략을 위해 인텔을 사용해 왔고, 입증된 결과를 바탕으로 인텔 SGX를 활용했다. 예를 들어, 의료 기관은 환자의 프라이버시를 보다 잘 보존하는 신뢰할 수 있는 컴퓨팅 환경으로 전자 건강 기록을 포함한 데이터를 보다 안전하게 보호할 수 있다. 

인텔 TME는 고객 자격 증명, 암호화 키 및 기타 지적재산(IP) 또는 외부 메모리 버스의 개인 정보를 포함해 인텔 CPU에서 액세스하는 모든 메모리가 암호화되도록 한다. 인텔은 하드웨어 공격에 대응해 시스템 메모리를 더욱 안전하게 보호하기 위해 해당 기능을 개발했다. 

하드웨어 공격에는 듀얼 인라인 메모리 모듈(DIMM)을 제거하거나, 액체 질소를 분사해 읽거나, 특수 제작된 공격용 하드웨어를 설치하는 등이 있을 수 있다. 미국표준기술연구소(NIST) 스토리지 암호화 표준을 기반으로 하는 암호화 키 AES XTS는 소프트웨어에 노출되지 않은 프로세서 상의 강화된 난수 생성기에서 만들어진다. 이를 통해 기존 소프트웨어는 변형되지 않고 구동되며, 메모리를 보호한다.

인텔의 설계 목표 중 하나는 고객이 더 나은 보호 기능과 허용 가능한 성능 중 하나를 선택할 필요가 없도록 보안 강화로 인한 성능 영향을 제거하거나 줄이는 것이다. 아이스레이크는 혁신적인 암호화 성능을 제공하기 위해 순차적으로 구동되는 두 알고리즘의 작동을 결합해 동시에 실행될 수 있도록 했고, 여러 개의 독립적인 데이터 버퍼를 병렬로 처리하게 했다.

정교한 공격자들은 데이터를 가로채거나 서버를 다운시키기 위해 플랫폼의 펌웨어를 손상시키거나 비활성화하려고 할 수 있다. 아이스레이크는 인텔 제온 스케일러블 플랫폼에 인텔 PFR을 도입해 공격을 감지, 교정해 공격자가 기계를 손상시키거나 비활성화하기 전에 플랫폼 펌웨어 공격을 막도록 도울 수 있다. 

인텔 PFR은 프로그래머블반도체(FPGA)를 신뢰성 플랫폼 루트로 사용, 펌웨어 코드가 실행되기 전에 부팅시 위험이 있는 플랫폼의 펌웨어 구성 요소를 검증한다. 보호되는 펌웨어 구성요소에는 BIOS 플래시(BIOS Flash), BMC 플래시(BMC Flash), SPI 디스크립터(SPI Descriptor), 인텔 매니지먼트 엔진(Intel Management Engine) 및 전원 공급 펌웨어가 포함될 수 있다.

리사 스펠만(Lisa Spelman) 인텔 데이터 플랫폼 그룹 부사장 겸 제온 및 메모리 그룹 총괄은 "데이터 보호는 데이터로부터 가치를 추출하는 데 필수적”이라며, “향후 출시될 3세대 제온 스케일러블 플랫폼의 기능을 통해 인텔은 고객이 데이터 기밀성과 무결성을 향상시키는 동시에 가장 어려운 데이터 과제를 해결할 수 있도록 지원할 것이다. 이는 보안 혁신을 추진하기 위해 생태계 전반에 걸쳐 협력해온 인텔의 오랜 역사를 확장하는 것"이라고 말했다.

저작권자 © KIPOST(키포스트) 무단전재 및 재배포 금지

키워드

Tags #인텔 #보안 #PFR #TME #TEE #SGX