[연구] 시스템보안연구실(지도교수: 이호준), ACM CCS 2023에 논문 게재 승인
- 소프트웨어융합대학
- 조회수1660
- 2023-07-26
시스템보안 연구실 (지도교수 이호준, https://sslab.skku.edu)의 Dinh Kha(박사과정), 조규원(박사과정), 노태현(석사과정) 학생의 "Capacity: Cryptographically-Enforced In-process Capabilities for Modern ARM Architectures" 논문이 보안 분야 4대 학회 중 하나인 ACM Conference on Computer and Comunnications Security (CCS) 2023에 게재 승인되어 11월에 발표될 예정입니다.
오늘 날의 소프트웨어는 코드 베이스의 크기 및 복잡성 그리고 지속적인 변화로 인하여 취약성을 제거하기가 매우 어려워 많은 보안 사고의 원인이 되고 있습니다. 특히나 소프트웨어의 여러 구성 요소들이 하나의 주소공간에 위치하는 monolithic한 형태를 가진 경우가 많아, 단 한 개의 취약점으로도 프로그램의 전 부분이 위험해지는 문제를 가지고 있습니다. 이를 보완하기 위한 기술로써, 프로그램을 여러 개의 도메인으로 격리하여 각 도메인의 취약성의 위험성을 제안하는 기법인 In-Process Isolation (IPI)가 널리 연구되고 있습니다.
제안된 Capacity는 기존 운영체제 접근제어 기능을 ARM의 새로운 하드웨어 기능인 Pointer Authentication과 Memory Tagging Extension을 통해 확장하여 Capability기만의 접근제어를 구현합니다. Capacity는 프로세스 리소스에 대한 Reference 타입들인 메모리 포인터와 file descriptor를 하드웨어적으로 각 도메인의 키를 통해 서명하고, 모든 사용에 대해 검증함으로써 Capability 시스템을 구현합니다. Capability 철학에 기반하여 서명된 Reference의 보안을 유지하는 장치들이 강건하게 구현되어 보안성이 높으며, 실제 NGINX, OpenSSH등의 프로그램들에 적용하여 그 실용성 및 성능 검증을 마쳤습니다.