Arm Memory Tagging Extension: 하드웨어로 시작하는 소프트웨어 보안

ARM, 메모리 취약점 해결 위한 하드웨어 솔루션 제시…개발 효율성 증대 기대 [서울=뉴스핌] 최근 소프트웨어 개발 분야에서 고질적인 문제로 지적되는 메모리 취약점 해결을 위해 ARM이 하드웨어 기반 솔루션인 '메모리 태깅 확장(MTE)'을 선보이며 주목받고 있습니다. 이는 과거 에너지 위기 당시 아르트 로젠펠드 박사가 에너지 효율 기준 강화를 통해 에너지 소비를 획기적으로 줄였던 사례와 유사하게, 개발 초기 단계에서부터 근본적인 문제 해결을 시도한다는 점에서 의미가 있습니다. 1973년 로렌스 버클리 국립 연구소의 물리학자 아르트 로젠펠드 박사는 동료들이 퇴근 후에도 전등을 켜놓는 것을 보고 에너지 낭비의 심각성을 깨달았습니다. 그는 곧바로 에너지 효율 기준 강화를 위한 법안 통과를 주도했고, 이는 50년 후 캘리포니아의 냉장고 소비 전력을 절반으로 줄이고 1인당 전력 소비량을 거의 평탄하게 유지하는 '로젠펠드 효과'로 이어졌습니다. 이는 전 세계적으로 에너지 정책의 중요한 고려 사항이 되었습니다. 현재 소프트웨어 개발 분야 역시 유사한 딜레마에 직면해 있습니다. Microsoft와 Google은 자사 제품에서 발견되는 취약점의 약 70%가 메모리 손상에서 비롯된다고 추정합니다. C 및 C++와 같이 오래된 언어로 작성된 많은 애플리케이션은 현대적인 보안 환경에 취약하며, 이는 사용자 불편, 개발자의 시간 낭비, 기업 평판 및 수익 감소로 이어질 수 있습니다. 최악의 경우 데이터 유출이나 서비스 거부 공격의 게이트웨이가 되기도 합니다. 이러한 메모리 취약점을 제거하는 것은 모두에게 큰 이익이 될 수 있지만, 현실은 녹록지 않습니다. 개발자들은 라이브러리 검토나 코드 검증에 충분한 시간을 할애하기 어렵다고 호소합니다. 소셜 미디어 및 스트리밍 서비스 기업들은 문제 해결을 원하지만, 이를 바꿀 힘이나 수단이 부족합니다. 또한, 문제 해결에 드는 초기 비용은 크지만, 그로 인한 피해는 당장 눈앞에 보이지 않는 경우가 많습니다. 2002년 NIST의 연구에 따르면, 버그 수정 비용은 개발 단계가 늦어질수록 기하급수적으로 증가합니다. 이러한 악순환을 끊기 위해서는 제품 개발 초기 단계에서 최소한의 시간으로 버그를 찾아내 제거하는 것이 필수적이며, 이는 실리콘 레벨에서의 해결을 의미합니다. 1970년대 캘리포니아의 에너지 효율 개선처럼, 초기 단계에서의 노력은 가장 어려울 수 있지만, 시간이 지남에 따라 더 나은 코드 위생 관리가 개발 과정에 자연스럽게 통합될 것입니다. 초기 비용은 감소하고 혜택은 증가할 것입니다. ARM은 이러한 문제 해결을 위해 하드웨어 접근 방식을 채택했습니다. ARM 아키텍처의 새로운 기능인 메모리 태깅 확장(MTE)은 메모리 위치에 대한 포인터의 유효성을 사용 전에 교차 확인하여 메모리 취약점을 효과적으로 탐지합니다. 이는 마치 항공 직원이 탑승 직전에 탑승권을 확인하는 것과 유사합니다. 소비자 기기에서는 비동기 모드로 작동하여 메모리 문제가 있는 코드 영역을 최소한의 성능 저하로 표시하며, 개발 단계에서는 동기 모드로 작동하여 코드 실행을 정밀하게 검사합니다. MTE는 메모리 16바이트당 4비트를 사용하여 약 3%의 용량을 차지하며, 테스트 결과 성능 저하가 미미한 것으로 나타났습니다. Google은 ARM과 협력하여 MTE를 안드로이드 스택 전반에 지원할 계획이며, 개발자들이 MTE를 워크플로우에 통합하는 프로그램이 확대될 것으로 예상됩니다. Google의 Kostya Serebryany와 Sudhi Herle는 "메모리 태깅은 실제 환경에서 발생하는 가장 흔한 메모리 안전 버그를 탐지하여 공급업체가 이를 식별하고 수정하도록 도울 것이며, 악의적인 공격자가 이를 악용하는 것을 억제할 것"이라고 밝혔습니다. 개발자들이 MTE를 처음 접할 때, 해결해야 할 취약점이 예상보다 많아 부담을 느낄 수 있습니다. 일부는 MTE 기능을 꺼버릴 수도 있습니다. 하지만 대부분의 개발자는 출시 전에 심각한 취약점을 먼저 수정하고, 업데이트 과정에서 덜 심각한 문제를 해결하는 방식으로 접근할 것으로 예상됩니다. 시간이 지남에 따라 코드는 점차 깨끗해지고, 충돌, 불만, 긴급 대응의 빈도도 줄어들 것입니다. 궁극적으로 업계 주도의 이러한 노력은 향후 규제 도입을 막는 데도 기여할 수 있습니다. 과거 암호화 기술 도입에 HIPAA 벌금과 같은 규제 준수 조치가 중요한 역할을 했던 것처럼, 메모리 취약점 문제도 규제 단계에 이른다면 코드 정제 노력이 보험료 할인 등과 같은 혜택으로 이어질 수도 있습니다. 안전벨트가 운전의 낭만을 해칠 것이라는 우려에도 불구하고 생명을 구했듯이, 흡연 구역 폐지가 식당과 술집의 몰락을 가져올 것이라는 예상과 달리 오히려 긍정적인 변화를 가져왔습니다. 이처럼 과거에도 새로운 규제나 기술 도입에 대한 두려움은 실제보다 과장되는 경우가 많았습니다. 현재 메모리 취약점 문제도 마찬가지입니다. 이 문제는 저절로 해결되지 않을 것이며, 5년 후에는 왜 이렇게 오랫동안 해결하지 못했는지 의아해할지도 모릅니다. ARM의 MTE는 이러한 변화를 위한 중요한 첫걸음이 될 것으로 기대됩니다.