트리 기반 검증 데이터의 안전한 연산과 TPM 확장

초록

본 논문은 TPM의 PCR을 해시 트리 형태로 확장하여, 저장된 측정 로그(SML)의 내부 노드에 대한 검증·갱신·인증을 기존 PCR 수준의 보안으로 수행하는 방법을 제시한다. 트리 서브시스템 인증을 통해 플랫폼 속성에 대한 세분화된 증명을 가능하게 한다.

상세 요약

이 논문은 기존 TPM이 제공하는 단일값 PCR(Platform Configuration Register) 구조의 한계를 지적한다. PCR은 순차적인 해시 체인 방식으로 측정값을 누적하지만, 측정 로그가 트리 형태로 구성될 경우 특정 서브트리만을 선택적으로 검증하거나 갱신하는 것이 불가능했다. 저자들은 이를 해결하기 위해 “트리‑형 PCR” 개념을 도입한다. 트리‑형 PCR은 각 노드가 자체 해시값을 보유하고, 루트 노드만이 TPM 내부에 보호되는 전통적 PCR과 동일한 보안 경계를 형성한다. 이렇게 하면 SML의 임의 내부 노드에 대해 독립적인 무결성 검증이 가능해진다.

핵심 연산은 크게 세 가지로 구분된다. 첫째, ExtendTree 연산은 새로운 측정값을 리프 노드에 삽입하고, 해당 경로를 따라 해시값을 재계산해 루트 PCR을 업데이트한다. 둘째, VerifyNode 연산은 주어진 노드와 그 조상 경로의 해시값을 TPM에 제공함으로써, 루트 PCR과 일치하는지 검증한다. 셋째, UpdateNode 연산은 기존 서브트리를 새로운 서브트리로 교체하면서, 교체 전후의 루트 해시 차이를 TPM에 증명하도록 설계되어, 중간에 변조가 발생했는지를 탐지한다.

또한 논문은 Subtree Certification 메커니즘을 제안한다. 인증기관(CA)은 특정 서브트리의 루트 해시와 해당 서브트리 내 측정값들의 의미론적 메타데이터를 결합한 인증서를 발행한다. 플랫폼은 이 인증서를 TPM에 로드하고, 외부 검증자는 인증서와 VerifyNode 연산을 통해 “이 플랫폼은 X 기능을 수행하는 소프트웨어 집합을 실행하고 있다”는 선언을 신뢰할 수 있다. 이는 기존의 전체 시스템 attestation보다 훨씬 세밀한 정책 적용을 가능하게 한다.

보안 분석에서는 TPM의 물리적 보호, 해시 충돌 저항성, 그리고 TPM 명령어 인터페이스에 대한 형식적 검증을 통해 제안된 연산이 기존 PCR 연산과 동등한 보안 수준을 유지함을 증명한다. 특히, 트리 구조 자체가 제공하는 Merkle Proof와 유사한 증명 메커니즘을 활용해, 공격자가 중간 노드를 변조하더라도 전체 루트 해시 불일치가 즉시 탐지된다.

성능 평가에서는 소프트웨어 시뮬레이션과 실제 TPM 하드웨어 테스트를 통해, 트리‑형 PCR 연산이 기존 PCR 연산에 비해 로그 깊이에 비례하는 약간의 오버헤드만을 발생시킴을 보여준다. 깊이가 10인 트리에서는 연산 지연이 5~7 µs 수준에 머물며, 실시간 보안 모니터링에 충분히 적용 가능함을 입증한다.

결론적으로, 이 연구는 TPM 기능을 확장해 복잡한 측정 로그 구조를 효율적으로 관리하고, 세분화된 attestation을 제공함으로써 클라우드, IoT, 엣지 컴퓨팅 등 다양한 환경에서 신뢰 기반 시스템 설계에 새로운 패러다임을 제시한다.