모바일 신뢰 모듈 구현과 사용자 소유권 전환 전략

초록

TCG 모바일 레퍼런스 아키텍처가 제시한 신뢰 엔진 기반 구조를 분석하고, 실제 모바일 OS에 적용하기 위한 설계·구현 방안을 제시한다. 특히 사용자가 기기를 직접 소유하고, 사용자 인증 정보를 안전하게 이식할 수 있는 ‘소유권 전환’ 메커니즘을 상세히 논의한다.

상세 분석

TCG 모바일 워크그룹이 발표한 모바일 레퍼런스 아키텍처는 기존의 단일 신뢰 루트 모델을 탈피하여, 물리적 신뢰 앵커(Physical Trust Anchor, PTA)를 중심으로 다중 이해관계자(Stakeholder)별 신뢰 엔진(Trusted Engine, TE)을 배치한다는 점에서 혁신적이다. PTA는 보통 TPM 2.0 혹은 ARM TrustZone과 같은 하드웨어 기반 보안 모듈을 의미하며, 이 위에 각각의 TE가 격리된 실행 환경을 제공한다. 각 TE는 독립적인 정책 집합, 키 저장소, 그리고 인증 메커니즘을 갖추어, 예를 들어 통신 사업자, 디바이스 제조사, 애플리케이션 제공자, 최종 사용자가 서로 충돌 없이 자신의 보안 요구사항을 구현할 수 있게 한다.

논문은 이러한 다중 TE 구조를 실제 모바일 OS, 특히 안드로이드와 iOS와 같은 대중적인 플랫폼에 통합하는 방법을 단계별로 제시한다. 첫 번째 단계는 PTA와 TE 사이의 신뢰 경계 설정으로, 하드웨어 루트 오브 트러스트(RoT)에서 부팅 시점에 TE를 초기화하고, 각 TE에 고유한 인증서와 측정값(Measurement)을 부여한다. 두 번째 단계는 TE 간 인터페이스 정의이다. 여기서는 표준화된 API와 메시징 프로토콜을 설계해 TE가 서로 데이터를 교환하거나, 상위 TE가 하위 TE의 정책을 검증하도록 한다. 특히, TE 간의 권한 위임(Delegation)과 제한된 리소스 공유를 위한 ‘Capability Token’ 개념을 도입해 최소 권한 원칙을 구현한다.

핵심 기여는 ‘사용자 소유권 전환(Take‑Ownership)’ 메커니즘이다. 기존 모바일 디바이스는 제조사나 통신사가 초기 소유권을 갖고, 사용자는 제한된 권한만을 부여받는다. 논문은 사용자가 최초 부팅 시 PTA에 저장된 초기 루트 키를 교체하고, 개인 키와 인증서를 새로 생성해 TE에 바인딩함으로써, 물리적 소유권을 디지털 신뢰 체계와 일치시킨다. 이 과정에서 안전한 키 교환을 위해 Diffie‑Hellman 기반의 인증된 키 교환(AKE) 프로토콜을 사용하고, 교체된 키는 TPM의 ‘Owner Auth’ 메커니즘에 의해 보호된다.

또한, 사용자 자격 증명(credential)의 이식성을 위해 ‘마이그레이션 프로토콜’을 설계한다. 두 디바이스 간에 TE가 직접 TLS‑1.3 기반의 보안 채널을 맺고, 사용자의 비밀 데이터를 암호화된 형태로 전송한다. 전송 전에는 원본 디바이스의 TE가 해당 자격 증명의 무결성을 검증하기 위해 PCR(Platform Configuration Register) 값을 포함한 메타데이터를 함께 전송한다. 수신 디바이스는 동일한 TE 환경을 재구성하고, 메타데이터를 검증한 뒤에만 자격 증명을 복원한다. 이 과정은 ‘핸드오버 인증(Hand‑over Authentication)’이라고도 불리며, 중간에 공격자가 데이터를 탈취하더라도 PCR 기반 무결성 검증이 실패하면 복구가 불가능하도록 설계되었다.

보안 평가에서는 TPM 2.0의 표준 보안 속성(예: 물리적 공격 저항, 측정 기반 부팅)과 TE 간 격리 메커니즘을 결합해, 악성 코드가 하나의 TE를 침해하더라도 다른 TE와 PTA를 손상시키지 못하도록 한다. 또한, 성능 측면에서 TE 초기화와 키 교환에 소요되는 부팅 지연을 200 ms 이하로 유지하도록 최적화했으며, 이는 기존 스마트폰 부팅 시간에 큰 영향을 주지 않는다.

결론적으로, 이 논문은 TCG 모바일 레퍼런스 아키텍처를 실용적인 모바일 운영체제에 적용하기 위한 구체적인 설계·구현 로드맵을 제공한다. 특히 사용자 중심의 소유권 전환과 자격 증명 이식성을 구현함으로써, 모바일 디바이스가 진정한 ‘신뢰 가능한’ 플랫폼으로 진화할 수 있는 기반을 마련한다.