기억소거 기반 디스크 암호화 솔루션

초록

본 논문은 콜드 부트 공격에 취약한 기존 디스크 암호화 방식을 보완하기 위해, 키를 CPU 레지스터에만 저장하고 메모리 복사본을 완전히 차단하는 Loop‑Amnesia라는 커널 기반 암호화 모듈을 제안한다. 이 설계는 소프트웨어만으로 다중 키를 지원하면서도 평균 2배 정도의 I/O 성능 저하만을 보이며, 실험을 통해 실제 콜드 부트 상황에서도 키가 유출되지 않음을 확인하였다.

상세 분석

콜드 부트 공격은 전원이 차단된 메모리 모듈을 급속히 냉각시켜 DRAM에 남아 있는 잔류 전하를 이용, 메모리 내용을 복원하는 기법이다. 특히 디스크 암호화 시스템에서는 암호화 키가 메모리에 평문으로 존재하기 때문에, 공격자는 물리적 접근만으로도 키를 추출하고 전체 볼륨을 복호화할 수 있다. 기존 연구들은 하드웨어 기반 키 보호(예: TPM, CPU 내 보안 모듈)나 시스템 재부팅 시 키를 영구 삭제하는 방식을 제안했지만, 다중 키를 지원하거나 일반 사용자 환경에 적용하기엔 한계가 있었다.

Loop‑Amnesia는 이러한 한계를 극복하기 위해 키를 오직 x86‑64 레지스터(예: xmm, ymm) 내부에만 보관한다. 레지스터는 전원이 차단되면 즉시 사라지며, DRAM에 복사되지 않도록 커널 메모리 할당과 페이지 교체 메커니즘을 우회한다. 구체적으로는, loop‑AES의 기존 구조를 그대로 유지하면서 키 스케줄링 단계에서 생성된 라운드 키들을 모두 레지스터에 로드하고, 암호화/복호화 루틴이 실행되는 동안 메모리 접근을 차단한다. 이를 위해 커널 모듈은 페이지 핀(pinned) 기술과 CPU 특수 명령인 clflush를 활용해 키가 포함된 캐시 라인을 강제로 무효화한다.

키 관리 측면에서 Loop‑Amnesia는 다중 키를 지원한다. 각 볼륨마다 별도의 레지스터 세트를 할당하고, 볼륨 마운트 시점에 사용자 패스프레이즈를 받아 키 파생 함수를 실행한다. 파생된 키는 즉시 레지스터에 로드되고, 파생 과정에서 사용된 중간값은 모두 스택과 레지스터에만 머무르게 설계되었다. 또한, 키가 필요 없을 때는 xor 연산을 이용해 레지스터 값을 무작위 값으로 덮어써 메모리 잔류를 방지한다.

성능 평가에서는 동일한 하드웨어 환경에서 Loop‑Amnesia와 기존 loop‑AES를 비교하였다. 평균 I/O 지연은 약 2배 증가했으며, 이는 레지스터 기반 키 접근과 추가적인 캐시 플러시 비용에 기인한다. 그러나 실제 파일 시스템 워크로드(예: 복사, 압축, 데이터베이스 트랜잭션)에서는 전체 처리량 감소가 30% 이하에 머물렀다. 이는 보안 강화와 성능 저하 사이의 합리적인 트레이드오프를 제공한다는 점에서 의미가 크다.

보안 분석에서는 메모리 덤프, DMA 공격, 그리고 악성 커널 모듈을 통한 레지스터 읽기 시도를 모두 시뮬레이션하였다. 결과적으로 키는 물리적 메모리나 디스크에 남아 있지 않으며, 레지스터 자체도 커널 권한이 없는 프로세스에서는 접근이 불가능하도록 설계되었다. 다만, CPU 레지스터가 물리적으로 노출될 경우(예: 전원 차단 직후 회로 분석) 완전한 방어는 불가능하다는 점을 인정하고, 이러한 극단적 상황은 현재의 위협 모델 범위 밖이라고 명시한다.

Loop‑Amnesia는 오픈소스 Linux 커널 모듈로 제공되며, x86‑64 외에도 ARMv8 등 레지스터 기반 아키텍처에 적용 가능하도록 설계가 확장 가능하다. 향후 연구에서는 레지스터 할당 최적화, 키 교체 시 실시간 무효화 메커니즘, 그리고 하드웨어 보안 확장(예: SGX)과의 연동을 통해 보안성과 성능을 동시에 향상시킬 계획이다.