인텔® 소프트웨어 가드 익스텐션(인텔® SGX) 이해하기

오늘날 보안 솔루션은 데이터가 스토리지에 있을 때와 네트워크를 통해 전송될 때 암호화를 제공하지만, 데이터가 메모리에서 활발하게 처리될 때 여전히 취약할 수 있습니다. 예를 들어, 정보 보안 취약점 표준 코드(CVE) 데이터베이스1에는 현재 잠재적으로 악용될 수 있는 취약점이 11,000개 이상 포함되어 있으며, 34%는 여전히 완화되지 않았습니다. 시스템의 운영 체제(OS) 및 가상 머신(VM) 소프트웨어 계층을 우회하는 인텔 SGX는 이러한 유형의 공격에 대해 상당한 추가 보호 기능을 제공하고 데이터 보안을 추가하며 더 많은 기밀 컴퓨팅에 대한 필요성을 해결해 줍니다. 암호화를 통해 메모리 액세스 방식을 변경하는 하드웨어 기반 보안 솔루션을 제공하며, 애플리케이션과 데이터를 실행하기 위한 보호 메모리 영역을 제공하기도 합니다. 인텔 SGX는 또한, 실행중인 응용 프로그램과 하드웨어를 검증할 수 있도록 해줍니다.

부채널 공격이란 무엇인가요? 우려해야 할 대상인가요?

부채널 공격은 데이터 사용 패턴을 간접적으로 추론하기 위해 프로세서에서 직접적으로 전력 상태, 방출 및 대기 시간과 같은 정보를 사용하는 것을 기반으로 합니다. 이러한 공격은 매우 복잡하고 실행하기 어렵기 때문에 잠재적으로 물리적, 네트워크, 시스템 등 여러 수준에서 회사의 데이터센터를 침해해야 합니다.

해커는 일반적으로 저항이 가장 적은 경로를 따릅니다. 오늘날에는 일반적으로 소프트웨어 공격을 의미하죠. 인텔 SGX는 특별히 부채널 공격 보호를 목적으로 설계된 것은 아니지만, 공격자를 방어하는 수준을 높이는 코드와 데이터에 대한 격리 형태를 제공하고 있습니다. 인텔은 잠재적인 부채널 위험을 파악, 완화하기 위해 고객 및 연구 커뮤니티와 함께 지속적으로 열심히 노력 중입니다. 부채널 취약성에도 불구하고 인텔 SGX는 강력한 추가 보호 계층을 제공하기 때문에 여전히 가치를 발휘할 수 있습니다.

인텔 SGX를 신뢰할 수 있을까요?

인텔 SGX는 가장 많은 테스트와 연구를 거쳐 배포된 하드웨어 기반 데이터센터 신뢰 실행 환경(TEE)이며 시스템 내에서 사용 가능한 공격 표면이 가장 적습니다. 엄격한 데이터 개인 정보 보호 및 보안 요구 사항이 있는 경우, 인텔 SGX는 명확한 전략적 이점이 있습니다.

일반적인 소프트웨어 기반 공격을 방어하는 데 도움이 될 뿐만 아니라 인텔 SGX의 증명 메커니즘을 통해 애플리케이션의 손상 여부와 실행 중인 프로세서의 최신 보안 업데이트 여부 확인을 요청할 수 있다는 점도 인텔 SGX의 보호를 받는 고객에게 좋은 소식입니다.

인텔 SGX는 수천 개의 알려진 그리고 알려지지 않은 위협으로부터 보호하며 그 위협 중 다수에는 다른 완화 방안이 존재하지 않습니다2. 인텔 SGX를 사용하면 없을 때보다 코드와 데이터를 훨씬 더 안전하게 보호할 수 있습니다.

암호화된 데이터에서 암호화된 컴퓨팅으로의 전환

인텔 SGX는 공격 경로를 줄여 또 다른 방어 레이어를 더해줍니다.

인포그래픽 다운로드

법적 고지 및 면책 사항3

FAQ

자주 묻는 질문

인텔 SGX는 공격 표면을 줄이도록 지원하여 또 다른 방어 계층을 추가합니다. 인텔 SGX는 데이터가 처리되는 동안 악성 소프트웨어 및 권한 확대에 의한 공격으로부터 코드와 데이터를 보호합니다. 개발자는 프로세서/메모리 도메인 내에서 신뢰할 수 있는 실행 환경(TEE)을 직접 만들 수 있습니다.

부채널 공격은 데이터 활동과 값을 추론하기 위해 전원 상태, 방출 및 대기 시간과 같은 외부 정보를 프로세서에서 수집하도록 설계되었습니다.4

해커는 일반적으로 저항이 가장 적은 경로를 따릅니다. 오늘날에는 일반적으로 소프트웨어 공격을 의미하죠. 인텔 SGX는 특별히 부채널 공격 보호를 목적으로 설계된 것은 아니지만, 공격자를 방어하는 수준을 높이는 코드와 데이터에 대한 격리 형태를 제공하고 있습니다.

인텔 SGX가 보안 취약성을 해결하는 방법:

  • 협업: 기밀 컴퓨팅 컨소시엄의 창립자 역할을 포함하여 연구자 및 파트너와의 지속적인 협업은 취약성을 신속하게 파악, 완화하는 데 도움이 됩니다.
  • 보안 강화: 인텔 SGX는 정기적인 업데이트를 통해 공격에 대한 보안을 지속적으로 강화되도록 설계되었습니다.
  • 검증: 인텔 SGX를 사용하면 응용 프로그램이 성능 저하가 없고 패치가 적용된 시스템에서 실행 중인지 확인을 요청할 수 있습니다.

제품 및 성능 정보

2 인텔 SGX는 대부분의 OS 계층 위협에 취약하지 않으며 오늘날 데이터베이스에는 140,000개 이상의 위협이 있습니다. https://cve.mitre.org.
4 2020년 8월 현재 수백 개의 연구 논문이 인텔 SGX를 참조했습니다.