Microsoft, C 코드 보안 강화를 위한 하드웨어 솔루션 'CHERIoT' 공개

Microsoft는 기존 C 및 C++ 코드의 보안 문제를 차단하는 것을 목표로 하는 CHERIoT(사물 인터넷용 RISC-V의 기능 하드웨어 확장) 프로젝트에 대한 작업을 공개했습니다. CHERIoT는 기존 C/C++ 코드 베이스를 재작업 없이 보호할 수 있는 솔루션을 제공합니다. 이러한 보호 기능은 프로세서가 제공하는 특수 확장 프로세서 명령어(ISA) 세트를 사용하는 수정된 컴파일러를 통해 구현되며, 하드웨어 수준에서 메모리 액세스를 모니터링하고, 포인터 처리의 정확성을 검사하며, 코드 블록의 격리를 보장합니다.

이 프로젝트는 C 언어의 저수준 특성이 메모리 작업 시 오류의 원인이 되어 버퍼 오버플로, 이미 해제된 메모리 접근, 포인터 역참조, 또는 메모리 이중 해제와 같은 문제를 야기한다는 점을 고려하여 개발되었습니다. 실제로 구글이나 마이크로소프트처럼 엄격한 변경 검토 정책을 시행하고 최신 개발 방식과 정적 분석 도구를 사용하는 대기업조차도 메모리 작업 시 오류가 없다고 보장할 수 없습니다. (예를 들어, 마이크로소프트와 구글 소프트웨어 제품의 취약점 중 약 70%는 안전하지 않은 메모리 처리로 인해 발생합니다.)

이 문제는 메모리에서 안전한 작업을 보장하는 프로그래밍 언어를 사용하거나, 추가 검사가 포함된 바인딩을 사용하여 해결할 수 있습니다. 예를 들어, 일반 포인터 대신 MiraclePtr(raw_ptr)을 사용하면 해제된 메모리 영역에 대한 추가 검사를 수행합니다. 하지만 이러한 방법은 새 코드에 더 적합하며, 기존 C/C++ 프로젝트를 재작업하는 것은 상당히 까다롭습니다. 특히 임베디드 시스템이나 사물 인터넷 기기와 같이 리소스가 제한된 환경에서 실행하려는 경우 더욱 그렇습니다.

CHERIoT 하드웨어 구성 요소는 RISC-V 아키텍처 기반 마이크로컨트롤러로 설계되었으며, 보호형 CHERI 프로세서 아키텍처(RISC-V에 대한 기능 하드웨어 확장)를 구현하여 "기능"(메모리에 대한 각 읽기 및 쓰기 작업이 승인됨)에 기반한 제어된 메모리 액세스 모델을 제공합니다. CHERIoT에서 제공하는 명령어 세트 아키텍처(ISA)를 기반으로, 개별 객체 수준에서 메모리 작업의 안전성을 보장하고, 이미 해제된 메모리에 대한 액세스를 보호하며, 가벼운 메모리 액세스 격리 시스템을 구현하는 소프트웨어 모델이 구축되었습니다. 이 소프트웨어 보호 모델은 C/C++ 언어 모델에 직접 반영되어 기존 애플리케이션을 보호하는 데 사용할 수 있습니다(CHERIoT ISA를 지원하는 장비에서 재컴파일하여 실행하기만 하면 됩니다).

제안된 솔루션은 객체가 메모리 경계를 벗어나는 오류를 차단하고, 포인터 대체를 허용하지 않으며(모든 포인터는 기존 포인터에서 생성되어야 함), 해제 후 메모리 접근을 추적합니다(잘못된 포인터를 통한 메모리 접근이나 해제된 객체를 참조하는 포인터는 예외를 발생시킴). 예를 들어, CHERIoT를 사용하면 자동 경계 검사를 구현하고, 메모리 영역의 수명을 추적하며, 신뢰할 수 없는 데이터를 처리하는 구성 요소에서 코드를 변경하지 않고도 포인터 무결성을 보장할 수 있습니다.

이 프로젝트에는 확장된 CHERIoT 명령어 세트 아키텍처 사양, CHERIoT ISA를 지원하는 32비트 RISC-V CPU의 참조 구현, 그리고 수정된 LLVM 툴킷이 포함됩니다. Verilog로 작성된 CPU 프로토타입 회로와 하드웨어 블록 설명은 Apache 2.0 라이선스에 따라 배포됩니다. CPU는 lowRISC 프로젝트의 Ibex 커널을 기반으로 합니다. CHERIoT ISA 코드 모델은 Sail 언어로 정의되며 BSD 라이선스에 따라 배포됩니다.

또한, 256MB RAM을 탑재한 임베디드 시스템에서도 컴파트먼트를 분리할 수 있는 기능을 제공하는 CHERIoT RTOS 실시간 운영체제 프로토타입을 제안합니다. CHERIoT RTOS 코드는 C++로 작성되었으며 MIT 라이선스에 따라 배포됩니다. 부트로더, 스케줄러, 메모리 할당 시스템과 같은 기본 OS 구성 요소는 컴파트먼트 형태로 설계되었습니다.

CHERIoT RTOS의 구획은 코드와 전역 변수의 격리된 조합으로, 공유 라이브러리와 유사하지만 공유 라이브러리와는 달리 변경 가능하고 별도의 보안 컨텍스트에서 실행됩니다. 외부 코드는 특별히 정의된 진입점을 호출하거나 다른 구획을 호출할 때 명시적으로 전달된 객체에 대한 포인터를 사용하는 경우를 제외하고는 구획 내의 코드로 제어권을 넘기거나 객체에 접근할 수 없습니다. 구획 내의 코드와 전역 객체에 대한 무결성과 기밀성은 보장됩니다.

출처 : opennet.ru