디지털 라이브러리[ 검색결과 ]
상용 시스템에서 구동 가능한 소프트웨어 기반의 안전한 분리 메모리 시스템
http://doi.org/10.5626/JOK.2024.51.9.757
분리 메모리 시스템은 여러 서버의 메모리를 통합해 응용에 대규모 메모리를 제공하는 기술이 다. 그런데 여러 서버의 메모리를 통합하기 때문에 한 서버의 보안 위협이 다른 서버로 쉽게 전파될 수 있다는 문제가 있다. 이를 해결하기 위한 기존 연구들은 특수 하드웨어를 기반으로 하기 때문에 추가 비용 이 발생하며 상용 서버에 즉시 도입하기 어렵다. 본 논문은 소프트웨어만을 활용한 분리 메모리 시스템 보 안 보장 기법을 제시한다. 제안 기법은 분리 메모리 시스템에서 발생할 수 있는 보안 위협을 방지하기 위 해 시스템 내 서버 간 전송되는 데이터들에 대한 암호화와 무결성 검증을 소프트웨어로 수행한다. 소프트 웨어 구현으로 인한 성능 부하를 줄이기 위해 데이터 전송과 복호화를 중첩시키고 민감 데이터만 선택적 으로 암호화한다. 또, 암호화 메타데이터 크기를 최적화해 메모리 부하를 줄인다. 실험 결과, 분리 메모리 로 인한 성능 부하가 적은 경우 보안 기법 적용에 따른 추가 성능 부하가 거의 없음을 확인하였다.
반환 지향 프로그래밍 공격에 대한 효율적인 방어 기법 설계 및 구현
반환 지향 프로그래밍 공격(ROP)은 프로그램에 존재하는 반환 명령어로 끝나는 코드 조각들을 조합하여 가젯을 만들고, 연속적으로 실행하여 스택의 내용을 조작함으로써 프로그램의 제어권을 가져오는 공격이다. 이에 대한 기존 방어기법은 높은 실행 오버헤드와 바이너리 증가 오버헤드를 갖거나, 적용범위의 제한이 있는 문제점이 있다. 본 논문에서는 기존 기법의 문제점을 갖지 않으면서 성능 및 바이너리 크기 증가 측면에서 효율적인 방어 기법인 zero-sum defender를 제안한다. 반환 지향 프로그래밍 공격은 정상적인 프로그램의 흐름과 다르게, 함수 호출 명령어가 실행되지 않고 여러 반환 명령어가 실행되는 실행 특성을 가진다. 제안 기법은 이러한 특성을 이용하여 프로그램 실행 흐름이 반환 지향 프로그래밍 공격에 의해 오용되는지 모니터링하여 방어 기능을 수행한다. 실제 공격 모델에 대한 실험을 통해 방어 기법의 효용성을 확인하였고, 벤치마크 실험을 통해 약 2%의 성능 오버헤드와 약 1%의 바이너리 크기 증가만으로 방어가 이루어짐을 확인하였다.
