Arm, 보안에 대한 지속적인 노력

미국 내 차량 절도 범죄가 기승을 부리면서 일부 운전자들은 예상치 못한 전략을 택하고 있습니다. 바로 차량 문을 잠그지 않고 열어두는 것입니다. 심지어는 도둑이 창문을 깨거나 다른 손상을 입히지 않기를 바라는 마음으로 돈을 붙인 메모를 남기기도 합니다. 하지만 경찰 수사관들은 이러한 전략이 실패할 가능성이 높다고 지적합니다. 많은 도둑들이 메모를 읽을 시간도 없이 창문을 부수기 때문입니다. 안타깝게도 이러한 상황은 사이버 보안 분야에서도 흔히 발생합니다. 올해 사이버 범죄로 인한 피해액은 6조 달러에 달할 것으로 예상되며, 이는 마약 거래 규모나 자연재해로 인한 연간 손실액을 능가하는 수치입니다. 전문가들은 이 수치가 2025년까지 10조 5천억 달러로 증가할 것으로 전망하고 있습니다. 이러한 보안 우려는 기후 변화와의 싸움 및 기타 중요한 문제 해결에 필요한 AI, 5G, IoT 기술의 도입을 지연시킬 수도 있습니다. 문제는 많은 기업과 소비자들이 보안 문제를 가능한 한 회피하려 한다는 점입니다. 또한, 날로 정교해지는 위협에 기술이 얼마나 효과적으로 대응할 수 있을지에 대해 회의적인 시각을 보이기도 합니다. 최근 PSA Certified가 실시한 설문 조사에 따르면, 응답자의 54%는 불확실한 투자수익률(ROI)과 직원들의 보안 인식 부족으로 인해 보안 조치에 지속적으로 투자하는 것을 꺼린다고 답했습니다. 새로운 제품에 대해 위협 분석을 수행하는 기업은 47%에 불과했으며, 중소기업의 경우 이 수치는 33%로 떨어집니다. 일부에서는 사용자의 책임을 탓할 수 있지만, 문제의 상당 부분이 기술 산업에 있다고 생각합니다. 보안 침해의 근본적인 메커니즘을 이해하기 어렵고, 침해의 영향과 결과, 그리고 재발 방지책 또한 모호하고 혼란스러울 수 있습니다. 이에 기업과 소비자는 적극적인 역할을 하기보다는 두려움, 불확실성, 의심에 휩싸이게 됩니다. 개발자들 역시 상황이 크게 다르지 않습니다. SolarWinds 공격을 예로 들 수 있습니다. 공격이 광범위했다는 사실은 알지만, 어떻게 확산되었는지, 공격자들이 무엇을 노렸는지, 그리고 유사한 공격을 어떻게 방지할 수 있는지 여전히 명확히 알지 못합니다. 때로는 사이버 보험 청구가 최선의 방어책처럼 보이기도 합니다. 아키텍처 수준의 보안 이러한 문제 해결을 위해 Arm의 보안팀은 실리콘 수준에서 위험과 방어 체계를 명확하게 파악하기 위한 노력을 배가하고 있습니다. 혁신이 실리콘 수준에서 시작된다면, 보안에 대한 이해의 명확화 역시 실리콘 수준에서 시작되어야 합니다. 이상적으로는, 더 명확한 그림이 Arm 보안 커뮤니티 내에서 협업과 창의적인 사고를 증진시켜, 더 나은 성능을 내고 더 폭넓게 채택되며 사이버 범죄의 증가 추세를 억제하는 데 도움이 되는 솔루션으로 이어질 수 있을 것입니다. 그렇다면 보안 방어와 위험을 어떻게 분류할 수 있을까요? 네 가지 범주로 나눌 수 있습니다. 1. 방어적 실행 기술 랜섬웨어, 부채널 공격, DDoS 공격 등은 갑작스럽고 때로는 압도적인 힘에 의존합니다. 이러한 공격의 상당수는 메모리 취약점과 관련이 있으며, 바이러스가 기존 애플리케이션의 결함이나 프로세서가 특정 애플리케이션을 처리하는 방식을 통해 잠입하는 방식입니다. 마이크로소프트 익스플로잇의 약 70%가 이러한 유형의 공격에 흔한 경로인 메모리 취약점과 관련이 있는 것으로 추정됩니다. Arm 아키텍처에는 메모리 접근 및 제어 흐름 공격에 대한 방어를 돕는 기술이 포함되어 있습니다. 예를 들어, Pointer Authentication Code (PAC)는 암호화 서명을 포인터에 적용하여 공격자가 프로그램의 제어 흐름을 조작하는 것을 방지합니다. 또 다른 예로는 Memory Tagging Extension이 있는데, 이는 버퍼 오버플로우와 같이 텍스트 문자열이나 배열과 같은 객체가 할당된 범위를 벗어나 접근되는 경우를 감지하는 기능을 제공합니다. PAC와 MTE는 이러한 방어를 지원하는 컴파일러로 소프트웨어를 재컴파일하여 활성화할 수 있는 경우가 많습니다. 2. 격리 기술 방어적 실행 기술이 보안 게이트나 문 잠금 장치에 비유된다면, 격리 기술은 가장 귀중한 자원을 위한 강화되고 작고 안전한 영역인 금고와 같습니다. 목표는 암호화되지 않은 데이터를 안전하게 공유, 분석 또는 볼 수 있는 침투 불가능한 공간을 만드는 것입니다. 실제 세계에서 격리된 공간은 변호사-고객 비밀 유지 특권이나 히포크라테스 선서와 동일한 기능을 수행합니다. 소비자는 개인 정보를 침해하지 않고 데이터를 공유하는 이점을 얻을 수 있습니다. 최근 발표된 Arm Confidential Compute Architecture의 일부인 Realms는 하이퍼바이저를 포함한 특권 및 비특권 소프트웨어로부터 격리된 작고 제한된 가상 공간을 신뢰할 수 있는 서비스나 애플리케이션이 생성할 수 있도록 합니다. 신뢰할 수 있는 파트너는 이 공간에 접근하여 데이터를 처리하고, 공유된 정보를 분석한 후, 완료 시 공간을 삭제할 수 있습니다. 이 공간 내에서는 데이터가 공간을 둘러싸고 지원하는 인프라에 접근할 수 없다는 것을 확신하기 위해 격리 속성을 측정하고 증명할 수 있습니다. Arm TrustZone과 같은 격리 기술은 수년 동안 존재해 왔지만, 데이터 도난에 대한 강력한 방어책 중 하나가 될 것으로 예상되므로 향후 10년 동안 훨씬 더 광범위하게 사용될 가능성이 높습니다. Google, Amazon 및 기타 기업(Arm 포함)도 격리를 자동화하여 채택과 사용을 단순화하기 위해 노력하고 있습니다. 3. 공통 플랫폼 보안 서비스 수조 개의 장치가 존재하는 세상에서 누구를 신뢰할 수 있을까요? 공통 플랫폼 보안 서비스는 사실상 디지털 세계의 신원 조회와 같습니다. Arm은 신뢰 경계를 넘어 표준 펌웨어 및 소프트웨어 아키텍처를 개발하여 채택을 단순화하고 시스템 소프트웨어를 훨씬 더 이식 가능하게 만드는 데 기여하고 있습니다. PSA Certified의 펌웨어 프레임워크와 인증 프로세스는 장치에서 신뢰의 근원을 확립하는 데 점점 더 인기를 얻고 있습니다. Arm Confidential Compute Architecture와 함께 제공되는 Veraison은 증명 검증 서비스를 구축하는 데 사용할 수 있는 새로운 구성 요소를 추가합니다. 다시 한번, 업계로서 우리는 이러한 표준이 최종 구매자에게 유용하도록 해야 합니다. 응답자의 84%가 IoT에 대한 업계 주도 표준에 관심이 있다고 답했지만, 48%는 다양한 표준과 규제가 주요 과제 중 하나라고 말했습니다. 4. 표준 보안 API 전기의 초기 시절, 전구 바닥에 있는 알루미늄 나사인 에디슨 나사는 제조업체와 소비자에게 업계가 번창하면서 안전 위험과 오용을 줄일 수 있는 편리한 표준을 제공했습니다. 플랫폼 보안 API와 PARSEC API는 보안에 대해서도 동일한 역할을 하려고 합니다. 특히 보안 API의 표준화는 IoT 및 엣지 컴퓨팅과 같은 시장에서 중요할 것입니다. 표준 구현은 이러한 기술을 대규모로 배포하는 데 따르는 마찰을 제거하는 데 도움이 될 것입니다. 조정, 협업 및 신중함이 중요합니다. 잘못 설계된 API는 그 자체로 공격 벡터가 될 수 있습니다. 복잡성도 또 다른 문제입니다. 구현하거나 사용하기 위해 전문가가 되어야 한다면 많은 사람들이 실수를 저지를 가능성이 높습니다. 물론 더 높은 인식과 이해는 시작일 뿐입니다. 우리는 새로운 공격에 대한 방어를 지속적으로 개발하고 무선 업그레이드와 같은 "입증된" 보안 프로세스에 대한 우리의 가정을 계속해서 질문해야 할 것입니다. 그럼에도 불구하고 보안을 보고 이해하는 더 경계하고 적극적인 고객 기반은 우위를 유지하는 길을 열어줄 수 있습니다. 손자가 말했듯이, 우리는 적이 도착하지 않기를 바라는 방어 중심에서 적이 도착했을 때를 대비하는 방어로 전환하고 싶습니다. 내장형 제품 보안 수십 년 동안 Arm은 연구원 및 기타 기술 회사와 협력하여 칩에서 클라우드까지 장치를 보호해 왔습니다. Arm은 최근 엔드투엔드 보안 제품군을 확장하고 고객의 보안을 유지하기 위한 지속적인 노력을 통해 이러한 역사를 계속 발전시키고 있습니다.