- 최근 발표된 학술 논문에서 암호화 키의 보안을 위협하는 애플 M 시리즈 칩에서 'GoFetch'라는 심각한 취약점이 발견되었습니다.

- 이 취약점은 데이터를 미리 예측하고 검색하려고 시도하는 애플 프로세서의 데이터 메모리 종속 프리페처(DMP)에 있으며, 컴퓨터 작동에 대한 민감한 정보를 잠재적으로 노출시킬 수 있습니다.

- 이 연구는 특히 애플 실리콘의 DMP가 공격자가 시스템에 직접 액세스하지 않고 정보를 획득하는 사이드 채널 공격으로부터 보호하도록 설계된 상시 프로그래밍 모델을 우회할 수 있다는 점을 강조합니다.

- GoFetch 공격은 프로그램이 패턴을 드러내지 않도록 설계된 경우에도 데이터를 주소로 취급하고 캐시 사이드 채널을 통해 정보를 유출하는 DMP의 잘못된 메모리 콘텐츠 해석을 악용합니다.

- 이 공격은 기존 암호화 방법과 포스트 퀀텀 암호화 방법을 포함하여 널리 사용되는 암호화 알고리즘에 심각한 위협이 되며, 공격자가 비교적 짧은 시간 내에 암호화 키와 같은 민감한 정보를 추출할 수 있게 해줍니다.

원문 번역

새로 발표된 학술 연구 논문(ArsTechnica를 통해)에 따르면 공격자가 특정 조건에서 Mac에서 비밀 암호화 키를 추출할 수 있는 Apple의 M 시리즈 칩에서 패치할 수 없는 취약점이 발견되었습니다.

"GoFetch"라는 이름의 이 사이버 공격 유형에는 데이터 메모리 의존 프리페처(DMP)가 포함되어 있으며, 컴퓨터가 다음에 필요로 할 데이터를 예측하여 미리 가져오는 것을 시도합니다. 이는 처리 속도를 높이기 위한 것이지만 컴퓨터가 수행하는 작업에 대한 정보가 의도치 않게 노출될 수 있습니다.

이 논문은 특히 Apple 프로세서의 DMP가 어떤 데이터를 처리하든 실행하는 데 동일한 시간이 걸리도록 프로그램을 작성하는 데 사용되는 상수 시간 프로그래밍 모델이 제공하는 보안에 심각한 위협이 될 수 있음을 발견했습니다.

정시 프로그래밍 모델은 사이드 채널 공격 또는 누군가가 컴퓨터 시스템에 직접 액세스하지 않고도 특정 패턴을 관찰하여 민감한 정보를 얻을 수 있는 공격 유형으로부터 보호하기 위한 것입니다(예: 특정 패턴 관찰). 모든 작업에 동일한 시간이 걸리면 공격자가 관찰하고 악용할 수 있는 시간이 줄어든다는 개념입니다.

그러나 이 논문은 특히 Apple 실리콘의 DMP가 프로그램이 메모리에 액세스하는 방식에서 어떤 패턴도 드러나지 않도록 설계된 경우에도 정보를 유출할 수 있다는 사실을 발견했습니다. 새로운 연구에 따르면 DMP는 때때로 메모리 내용을 혼동하여 데이터를 메모리 액세스를 수행하는 주소로 취급할 수 있으며, 이는 상수 시간 모델에 위배됩니다.

저자들은 보안 소프트웨어에서 암호화 키를 추출하기 위해 DMP의 이러한 취약점을 악용할 수 있는 새로운 유형의 공격으로 GoFetch를 제시합니다. 이 공격은 사이드 채널 공격에 저항력이 있다고 여겨지는 일부 인기 있는 암호화 알고리즘에 대해 작동하며, 여기에는 기존(예: OpenSSL Diffie-Hellman 키 교환, Go RSA 복호화) 및 포스트 퀀텀(예: CRYSTALS-Kyber 및 CRYSTALS-Dilithium) 암호화 방법이 모두 포함됩니다.

저자들은 ArsTechnica에 보낸 이메일에서 다음과 같이 설명했습니다:

프리페처는 일반적으로 액세스된 데이터의 주소를 보고(액세스된 데이터의 값은 무시) 유용할 수 있는 미래의 주소를 추측하려고 합니다. DMP는 주소 외에도 데이터 값을 사용하여 예측(이동하여 프리페치할 주소 예측)을 하기 때문에 이러한 점에서 다릅니다. 특히 데이터 값이 포인터처럼 '보이는' 경우, 실제로는 포인터가 아닌 '주소'로 취급되어 이 '주소'의 데이터를 캐시로 가져옵니다. 이 주소가 캐시에 도착하면 캐시 사이드 채널을 통해 유출되는 것을 볼 수 있습니다.

저희의 공격은 이 사실을 악용합니다. 암호화 키를 직접 유출할 수는 없지만, 선택한 입력 공격을 통해 암호화 알고리즘 내부의 중간 데이터를 포인터처럼 보이도록 조작할 수 있습니다. 그러면 DMP는 데이터 값이 주소처럼 "보이는" 것을 확인하고 이 "주소"의 데이터를 캐시로 가져와서 "주소"를 유출합니다. 데이터 값이 프리페치되는 것은 중요하지 않지만, 중간 데이터가 주소처럼 보인다는 사실은 캐시 채널을 통해 볼 수 있으며 시간이 지나면 비밀 키를 알아내기에 충분합니다.

요약하자면, 이 논문은 Apple 실리콘 CPU의 DMP 기능이 이러한 유출을 방지하는 것으로 알려진 암호화 소프트웨어의 보안 조치를 우회하는 데 사용될 수 있으며, 공격자가 2048비트 RSA 키와 같은 민감한 정보에 1시간 이내에 액세스할 수 있다는 것을 보여줍니다.

저자에 따르면 애플 칩의 결함은 직접 패치할 수 없다고 합니다. 대신 타사 암호화 소프트웨어에 방어 기능을 구축해야만 공격 벡터를 줄일 수 있는데, 특히 초기 M1 및 M2 칩에서 암호화 작업을 실행할 때 극심한 성능 저하를 초래할 수 있습니다. 애플의 최신 칩인 M3의 DMP에는 개발자가 이를 비활성화할 수 있는 특수 비트가 있지만, 연구원들은 이 성능 최적화를 해제했을 때 어떤 불이익이 발생할지 아직 확신하지 못하고 있습니다.

ArsTechnica가 지적했듯이 연구자들이 Apple DMP에서 위협을 발견한 것은 이번이 처음이 아닙니다. 2022년에 문서화된 연구에 따르면 M1과 애플의 아이폰용 A14 바이오닉 칩에서 이러한 위협이 발견되어 '어거리' 공격이 발생했습니다. 그러나 이 공격은 결국 상수 시간 방식을 사용했을 때 민감한 데이터를 추출하지 못했습니다.