인텔 STORM(STrategic Offensive Research & Mitigations)에서 지난 2018년 공개되어 큰 파장을 불러온, 멜트다운과 스펙터로 널리 알려진 현세대 CPU의 사이드 채널 보안 취약점 개선을 위한 새로운 이론을 발표했다.
SAPM(Speculative-Access Protected Memory)이라 명명된 사이드채널 보호 기법을 간단히 설명하면, 사이드 채널 취약점의 근본 원인인 추측 실행 및 비순차 실행(Out of Order)과 관련해 특정 메모리 영역에 명령어 수준의 직렬화를 적용, SAPM이 적용 중인 명령어 처리가 끝나고 비워진 후에야 그 이후 단계의 명령어가 실행되도록 한다.
즉, 사이드 채널 공격이 첨단 CPU의 성능 향상을 위해 도입된 추측 실행과 비순차 실행 방식을 취약 영역에서 차단하므로 성능 저하는 불가피하지만, 근원을 차단하기에 현재 발견된 취약점과 향후 발견될 사이드 채널 방식 취약점에 폭 넓게 대응할 가능성을 열었다.
인텔 STORM 팀은 SAPM이 현재 도입 중인 소프트웨어 수준의 완화 조치에 비해 영향이 미미하고, 물리 또는 가상 어드레스 레벨로 구현해 운영체제에서도 제어할 수 있어 지원이 중단된 구형 CPU나 타사 CPU의 취약점에도 대응이 가능하다고 소개했다.
단지, SAPM은 아직 이론 단계인 만큼 실제 구현까지 얼마의 시간이 소요될지 확실치 않은 것은 아쉽지만, 실용화될 경우 각종 변종이 계속 보고되고 있는 사이드 채널 취약점의 위협에 대한 우려를 크게 덜 수 있을 것으로 기대된다. |
