디바이스 인터럽트 격리로 기밀 VM 보호

초록

본 논문은 Arm CCA 기반 기밀 가상머신(CVM)에서 악성 하이퍼바이저가 장치 인터럽트를 조작해 기밀성을 훼손하는 문제를 해결한다. DevL ore는 인터럽트 관리를 하이퍼바이저에 위임하되, 신뢰 소프트웨어가 그 동작을 검증하는 “delegate‑but‑check” 방식을 도입한다. 프로토타입 구현과 실험 결과, GPU 등 4가지 장치에 대해 평균 0.06% 수준의 미미한 성능 오버헤드만을 보인다.

상세 분석

DevL ore 논문은 기밀 컴퓨팅 환경에서 가장 간과되기 쉬운 “인터럽트” 채널을 공격 표면으로 삼는 최신 위협을 체계적으로 분석하고, 실용적인 방어 메커니즘을 제시한다. 먼저, Arm Confidential Computing Architecture(CCA)의 세계 구조(루트, 리얼름, 일반, 시큐어)와 GIC( Generic Interrupt Controller)의 가상화 흐름을 정리한다. CCA에서는 물리 인터럽트가 리얼름 세계의 RMM(Realm Management Monitor)으로 트랩된 뒤, 하이퍼바이저가 vGIC를 통해 가상 인터럽트를 CVM에 전달한다. 이 과정에서 하이퍼바이저는 물리‑가상 매핑, 우선순위 설정, 인터럽트 ACK 등 전체 라이프사이클을 완전히 제어할 수 있기 때문에, 악의적인 하이퍼바이저가 “가짜 물리 인터럽트” 혹은 “가짜 가상 인터럽트”를 삽입해 CVM 내부 로직을 오동작시키는 것이 가능하다. 논문은 이러한 공격 시나리오를 구체적인 드라이버 예시(카운터, 무선칩 WCNSS)와 함께 제시하여, 인터럽트 기반 Iago‑style 공격이 실제 서비스에 미치는 위험을 강조한다.

핵심 설계 아이디어는 “delegate‑but‑check”이다. 인터럽트 등록·전달·우선순위 관리 등 대부분의 작업을 기존 하이퍼바이저에 그대로 맡기면서, 신뢰 영역(리얼름·RMM)에서는 하이퍼바이저가 만든 vGIC 설정을 검증한다. 구체적으로는 (1) 장치가 요청한 인터럽트 번호가 사전에 할당된 범위 내에 있는지 확인하고, (2) 물리 인터럽트가 실제 장치에 의해 발생했는지 GIC 레지스터 상태를 검사하며, (3) 가상 인터럽트가 CVM에 전달될 때 우선순위와 ACK 흐름이 사양에 부합하는지 검증한다. 이러한 검증은 RMM이 수행하므로, 하이퍼바이저가 임의로 인터럽트를 삽입하거나 삭제하더라도 RMM이 이를 차단한다.

구현 측면에서 DevL ore는 Arm FVP(Full‑System Virtual Platform)와 실제 RK3588 기반 Rock5b 보드에 각각 프로토타입을 배포한다. 하이퍼바이저(KVM 기반), 펌웨어, 리눅스 커널(호스트·게스트) 모두 약 7k LOC 정도의 작은 변경만으로 동작한다. 장치 드라이버 수정이 필요 없으며, 기존 메모리 격리 메커니즘(암호화된 바운스 버퍼, SMMU GPC)과도 호환된다. 평가에서는 GPU, UART, LED, 키보드 네 종류의 디바이스를 대상으로 기능 검증과 스트레스 테스트를 수행했으며, 지속적인 인터럽트 부하 상황에서도 최대 1% 이하, 일반 GPU 워크로드에서는 0.06%라는 매우 낮은 오버헤드를 기록했다.

한계점으로는 현재 Arm CCA가 상용 CPU에 아직 보편화되지 않아, 실험이 에뮬레이터와 개발 보드에 국한된다는 점이다. 또한, 타이머·IPI와 같은 시스템 인터럽트는 하이퍼바이저가 조작할 수 없다고 가정했으며, 마이크로아키텍처 수준의 사이드채널 공격은 범위 밖으로 둔 점도 언급한다. 그럼에도 불구하고, 인터럽트 전반에 걸친 라이프사이클 검증을 통해 기밀 VM의 실행 무결성을 보장한다는 점에서, 기존 메모리‑중심 보호 메커니즘을 보완하는 중요한 기여를 한다.