인텔 TDX 실시간 마이그레이션 보안 평가: 새로운 취약점과 방어 전략

초록

**
구글과 인텔이 공동으로 진행한 최신 인텔 TDX(Trust Domain Extensions) 보안 평가에서는, 라이브 마이그레이션 및 TD 파티셔닝 기능이 추가된 TDX 1.5를 실제 하드웨어에서 테스트하였다. 평가 결과, VMM이 TD를 완전히 장악할 수 있는 1개의 심각한 취약점과, VMM·TD 양쪽에서 인텔 TDX 모듈의 기밀 메모리를 유출할 수 있는 4개의 취약점을 발견했다. 그 외에도 여러 설계상의 약점이 보고되었으며, 기밀 컴퓨팅 환경을 안전하게 운영하기 위해 방어‑인‑깊이(Defense‑in‑Depth) 접근이 필요함을 강조한다.

**

상세 분석

**
이번 평가의 핵심은 인텔이 새롭게 공개한 TDX 1.5 소스와 문서를 기반으로, 실제 TDX를 지원하는 서버(Compute Node)에서 라이브 마이그레이션 파이프라인을 구현하고, Gemini와 Notebook LM을 활용해 복잡한 사양을 자동화·시각화한 점이다. 이를 통해 기존 정적 코드 리뷰에 머물렀던 “가정 기반” 취약점 탐색을 넘어, 동적 실행 환경에서 발생 가능한 레이스 컨디션, 메모리 경계 검증 오류, 시큐어 엔클레이브(SEAM) 호출 흐름의 미비점을 실증적으로 검증했다.

1️⃣ VMM‑to‑TD 전면 장악 취약점

• 취약점 위치: TD 입출력(‘TD‑IO’) 경로에서 VMM이 제공하는 메모리 페이지를 TD가 검증 없이 매핑하는 로직.
• 공격 시나리오: 악의적인 VMM이 조작된 페이지를 TD에 전달하면, TD 내부에서 실행 중인 코드가 해당 페이지를 신뢰하고 실행하게 된다. 이때 페이지에 삽입된 악성 코드는 SEAM 호출을 우회해 인텔 TDX 모듈의 보호 경계(‘SEAMCALL’)를 직접 호출, 결국 TD 내부 비밀키와 메모리를 탈취하거나 임의 명령을 실행할 수 있다.
• 심각도: CVSS 9.8 수준으로, 완전한 권한 상승 및 데이터 유출을 초래한다.

2️⃣ VMM‑to‑TD 메모리 누출 4가지

• 공통 원인: TD‑INIT 단계에서 TDX 모듈이 제공하는 ‘TD‑KEYS_CONFIGURED’ 플래그와 메모리 보호 비트가 충분히 검증되지 않아, VMM이 TD 메모리 영역을 직접 읽을 수 있는 경로가 남아 있다.
• 세부 취약점: (a) ‘TD_HKID_ASSIGNED’ 플래그가 비활성화된 상태에서도 VMM이 HKID(핸드쉐이크 ID)를 조회, (b) ‘TD_BLOCKED’ 상태 전환 중에 메모리 해제 오류가 발생해 이전에 할당된 비밀 데이터가 남아 있음, (c) ‘TD_TEARDOWN’ 과정에서 메모리 클리어 루틴이 누락, (d) ‘SEAMCALL’ 파라미터 검증 부재로 VMM이 임의 주소를 지정해 읽기 가능.
• 영향: 인텔 TDX 모듈의 마스터 키, 측정값(Measurement) 및 정책 데이터가 노출될 위험이 있다. 각각 CVSS 7.5~8.2 수준.

3️⃣ 설계 약점 및 버그

• TD 파티셔닝(중첩 VM) 구현 부재: 현재 TDX 1.5는 ‘Nested TD’(TD 안에 VM)를 지원하지만, SEAM 내부에서 파티션 경계 검증이 미흡해, 중첩된 VM이 상위 TD의 메모리를 직접 접근할 수 있는 가능성이 제기된다.
• 마이그레이션 상태 머신 오류: ‘OP_STATE_INITIALIZED’와 ‘OP_STATE_MIGRATING’ 전환 시, 상태 플래그가 비동기적으로 업데이트돼 레이스 컨디션이 발생, 마이그레이션 중에 메모리 복제본이 두 개 존재하면서 일관성 검증이 무시된다.
• SEAMCALL 허용 정책: ‘SEAMCALL_LEAF_ALLOWED’ 검증 로직이 하드코딩된 화이트리스트에 의존해, 새로운 SEAM API가 추가될 경우 자동 업데이트가 되지 않아 잠재적 공격 표면이 확대된다.
• 키 관리 흐름: ‘tdh_mng_key_config’와 ‘tdh_mng_addcx’ 함수가 키 교환 시점에 충분히 랜덤성을 보장하지 않아, 키 재사용 공격에 취약할 수 있다.

4️⃣ 방어‑인‑깊이(Defense‑in‑Depth) 권고

• VMM 신뢰 모델 재정립: VMM은 최소 권한 원칙에 따라, TD에 전달하는 페이지에 대한 서명·검증 절차를 반드시 수행하도록 설계 변경.
• 메모리 보호 강화: ‘TD_BLOCKED’·‘TD_TEARDOWN’ 단계에서 메모리 영구 삭제(Zero‑ize)와 페이지 테이블 무효화(Invalidate) 절차를 하드웨어 수준에서 강제.
• 마이그레이션 원자성 보장: 상태 전환을 위한 ‘SEAMLOCK’ 사용을 확대하고, 마이그레이션 중에 발생할 수 있는 레이스를 방지하기 위해 ‘SEAMCALL’ 호출 전후에 메모리 일관성 검증을 삽입.
• 키 교환 프로토콜 업데이트: ‘tdh_mng_key_config’에 최신 난수 생성기와 하드웨어 기반 RNG를 연동하고, 키 교환 로그를 감사(Audit) 가능한 형태로 남기도록 개선.
• 정적·동적 분석 파이프라인: Gemini와 Notebook LM을 활용한 자동 사양 파싱·코드 경로 추적을 CI/CD에 통합해, 새로운 기능 추가 시 즉시 보안 검증이 이루어지도록 자동화.

5️⃣ 산업적 파급 효과

• 클라우드 서비스 제공자는 TDX 기반 기밀 컴퓨팅을 서비스할 때, VMM이 완전 신뢰되지 않는 상황을 가정하고 설계해야 한다. 특히 멀티‑테넌트 환경에서 ‘공유 VMM’ 모델을 채택한다면, 위에서 발견된 메모리 누출 취약점은 데이터 유출 위험을 급격히 높인다.
• 정부·금융 등 고보안 분야는 TDX 1.5의 ‘Live Migration’ 기능을 활용해 워크로드를 물리적 서버 간에 이동하려는 경우, 마이그레이션 전후에 반드시 무결성 검증 및 키 재생성을 수행해야 한다.
• 인텔은 이미 1.5.24/1.5.25 및 2.0 버전에서 해당 취약점을 패치했지만, 기존 배포된 시스템에 대한 패치 관리와 취약점 스캔이 필수적이다.

**