하이퍼바이저와 시큐어 운영체제를 이용한 커널 보호 기법

Abstract

많은 보안 연구에도 불구하고 운영체제의 커널에 대한 공격은 여전히 존재하고 있다. 공격자는 커널을 공격함으로써 시스템의 주요 정보에 접근하거나, 악성 행동을 숨기거나, 악성 프로그램의 권한을 상승시킨다. 전통적인 보안 기법은 보안 도구들을 커널에 위치시켜서 그러한 공격들을 막는 것이다. 하지만 커널과 같은 주소공간에 위치하며 커널과 같은 실행 레벨을 갖는 보안 도구들은 커널 자체가 공격당하게 되면 더 이상 보안 도구로서 기능하지 못하는 문제가 발생한다. 이를 해결하기 위해 최근 연구에서는 하이퍼바이저를 통해 보안 도구의 실행 레벨을 높이고 격리시키거나, 하드웨어에 기반한 격리된 실행 공간 안에 보안 도구를 위치시키는 방법을 제시한다. 그러나 전자의 방법은 하이퍼바이저의 코드 크기가 지나치게 커지는 문제가 발생하며, 후자의 방법은 실시간 감시를 위한 오버헤드가 크다는 단점이 존재한다. 본 논문에서는 상기 방법들을 상호 적용하여 단점을 보완한, 적은 오버헤드로 실시간 감시를 하며 격리된 실행 환경 안에서 보안도구를 적용하는 방법을 제시한다. 이를 위한 마이크로하이퍼바이저의 구현과 ARM TrustZone의 활용 방법에 대한 구체적인 연구내용을 보일 것이다.

Despite the effot of researchers on security studies, attacks on the OS kernel still threaten many systems. By attacking the kernel, attackers can access sensitive information of the system, hide malicious behavior or escalate the privilege of malicious processes. Traditionally, security techniques that locate security tools in the kernel have been used to protect kernel. However, when the kernel is attacked those security tools can no longer function as security tools. Because the security tools would be consequently compromised. To address this, recent studies suggest how to increase the execution level of security tools through hypervisors or to place security tools in 'Isolated Execution Environment' based on hardware. However, the former has a problem in that the code size of the hypervisor becomes excessively large and the latter has a large overhead for real time monitoring. In this paper, I propose a method to apply security tools in an isolated execution environment with real-time monitoring with little overhead. This paper will show you how to implement a micro-hypervisor and how to use ARM TrustZone.