커널 무결성 모니터링을 위한 하드웨어 설계

Abstract

반도체 공정의 발달로 인해 고성능의 소형 CPU를 사용한 모바일 기기 들이 등장하고 있다. 이를 기반으로 기존의 폐쇄적이던 시스템이 개방되 면서 컴퓨터를 대상으로 하던 악성코드들이 모바일 기기로 넘어오고 있다. 이를 막기 위해 다양한 방법들이 연구되었으며 그 중에서 프로그램 의 무결성(Integrity)을 검사하여 악성코드를 찾아내는 방법이 있다. 소프트웨어를 기반으로 하는 무결성 검사는 새로운 공격방법이 나타나면 무력해지고 고수준의 루트킷(Rootkit)을 사용하게 된다면 회피가 가능해 이를 해결하기 위해서 하드웨어나 하이퍼바이저(Hypervisor)를 사용하는 방법들이 도입되었다. 하드웨어나 하이퍼바이저를 사용한 방법들은 소프트웨어가 가지고 있던 많은 단점들이 해결되었지만 두 방법도 한계점을 가지고 있다. 하드웨어를 기반으로 하는 방법은 외부에 독립된 시스템이 필요하며 메모리 내용을 복사해 분석하는 방법으로 성능하락의 단점이 있고 하이퍼바이저를 기반으로 하는 경우는 모바일 기기에 적용하기는 하드웨어보다 간단하지만 성능손실이 발생한다는 단점이 있다. 또한 하이퍼바이저를 사용하는 방법도 커널(Kernel) 아래 소프트웨어 층을 추가하는 형태이기 때문에 취약점이 보고되고 있는 상황이다. 이러한 문제점을 해결하기 위해서 본 논문에서는 하드웨어를 기반으로 하는 커널 무결성 검증 시스템을 제안한다. 제안하는 시스템은 감시대상의 버스를 스누핑(Snooping)하는 방식으로 구현이 되었으며 기존의 연구에 비해 성능감소가 없이 더 높은 감지율을 보인다는 것을 실험을 통해 보이도록 하겠다.