인텔은 3세대 인텔 제온 스케일러블 플랫폼(코드명 아이스레이크)에 대한 새로운 보안 기능 세트를 공개했다. 인텔은 ‘보안 우선 서약에의한 선도적이고 인증된 인텔 소프트웨어 가드 익스텐션(SGX)을 아이스레이크(Ice Lake) 플랫폼 전 영역에 제공한다. 이와 함께 인텔 토털 메모리 인크립션(TME), 인텔 플랫폼 펌웨어 레질리언스(PFR), 새로운 암호화 가속기를 지원한다.
SGX, 메모리 인크립션, 펌웨어 레질리언스
혁신적 암호화 가속기 등 새로운 보안 혁신 이뤄
인텔은 출시 예정인 3세대 인텔 제온 스케일러블 플랫폼(아이스레이크)에 대한 새로운 보안 기능 세트를 15일 공개했다.
▲ 3세대 제온 스케일러블 프로세서 [사진=인텔]
인텔은 ‘보안 우선 서약(Security First Pledge)’을 기반으로 한 선도적이고 인증된 인텔 소프트웨어 가드 익스텐션(SGX)을 아이스레이크 플랫폼 전 영역에 제공한다. 이와 함께 플랫폼 강화와 기밀성 향상 및 데이터 무결성을 위해 인텔 토털 메모리 인크립션(TME), 인텔 플랫폼 펌웨어 레질리언스(PFR), 새로운 암호화 가속기를 지원한다.
아이스레이크의 보안 기능을 통해 인텔의 고객은 보안 상태를 개선하고 개인 정보 및 컴플라이언스와 관련된 리스크를 줄일 수 있는 솔루션 개발이 가능하다.
디스크 및 네트워크 트래픽 암호화 등의 기술은 스토리지 내에서, 또는 전송 중에 데이터를 보호하지만, 메모리에서 사용되는 동안에 데이터는 가로채기와 변조에 취약할 수 있다. 이에 '기밀 컴퓨팅(Confidential Computing)'은 데이터가 신뢰실행환경(TEE)에서 사용되는 동안 데이터를 보호하는 방법으로 급부상하고 있다.
인텔 SGX는 시스템 내에서 데이터 센터 기밀 컴퓨팅을 위해 가장 많이 연구 및 업데이트됐고, 실전에 대비된 신뢰실행환경(TEE)이다. 이는 사용 중인 환경에서 최대 1테라 바이트의 코드 및 데이터를 보호하기 위해 엔클레이브(Enceval)라고 불리는 프라이빗 메모리 영역에서 애플리케이션 격리를 가능하게 한다.
마크 루시노비치 마이크로소프트 애저 CTO는 “마이크로소프트 애저는 기밀 컴퓨팅을 제공하는 최초의 메이저 퍼블릭 클라우드였으며, 오늘날 금융, 의료, 정부 등 업계 고객들은 애저에서 기밀 컴퓨팅을 사용하고 있다”며 “애저는 가상 머신, 컨테이너, 머신 러닝 등을 위한 기밀 컴퓨팅 옵션을 보유하고 있다. 마이크로소프트는 완전한 메모리 암호화 및 암호화 가속 기능을 특징으로 하는 차세대 인텔 제온 프로세서가 고객들이 더욱 안전하게 컴퓨팅을 사용할 수 있도록 도울 것이다”라고 밝혔다.
실제로 캘리포니아대학교 샌프란시스코 캠퍼스(UCSF), NEC, 마그니트(Magnit) 등 규제가 심한 산업 분야의 고객들은 보안을 위해 인텔을 사용해 왔고, 의료 기관은 환자의 프라이버시를 보다 잘 보존하는 신뢰할 수 있는 컴퓨팅 환경에 건강 기록을 포함한 데이터를 안전하게 보호할 수 있다.
플랫폼의 전체 메모리를 더 잘 보호하기 위해 아이스레이크는 인텔 TME란 새로운 기능을 도입한다. 인텔 TME는 고객 자격 증명, 암호화 키 및 기타 IP 또는 외부 메모리 버스의 개인 정보를 포함해 인텔 CPU에서 액세스하는 모든 메모리가 암호화되도록 한다. 인텔은 하드웨어 공격에 대응하고 시스템 메모리를 더욱 안전하게 보호하기 위해 해당 기능을 개발했다.
하드웨어 공격에는 듀얼 인라인 메모리 모듈(DIMM)을 제거하거나, 액체 질소를 분사해 읽거나, 특수 제작된 공격용 하드웨어를 설치하는 등이 있을 수 있다. 미국표준기술연구소(NIST) 스토리지 암호화 표준을 사용해 암호화 키인 AES XTS는 소프트웨어에 노출되지 않은 프로세서 상의 강화된 난수 생성기를 사용해 생성된다. 이를 통해 기존 소프트웨어는 변형되지 않고 구동되며, 메모리를 보호한다.
인텔의 설계 목표는 성능엔 영향을 주지 않으며 보안은 강화하는 것이다. 아이스레이크는 혁신적인 암호화 성능을 제공하기 위해 알고리즘 및 소프트웨어 혁신과 함께 새로운 방식을 도입한다. 첫 번째는 대개 순차적으로 구동되는 두 알고리즘의 작동을 결합해 동시에 실행될 수 있도록 하는 것이다. 두 번째는 여러 개의 독립적인 데이터 버퍼를 병렬로 처리하는 방법이다.
향후 출시될 3세대 제온 스케일러블 프로세서의 프라이버시를 보호하고 신뢰할 수 있는 플랫폼은 데이터의 완전한 가치를 구현하고자 하는 조직이 훨씬 더 혁신적인 서비스, 사용 모델 및 솔루션을 추진할 수 있도록 지원할 것이다.
인텔 데이터 플랫폼 그룹 부사장 리사 스펠만(Lisa Spelman)은 "데이터 보호는 데이터로부터 가치를 추출하는 데 필수적”이라며, “향후 출시될 3세대 제온 스케일러블 플랫폼의 기능을 통해 인텔은 고객이 데이터 기밀성과 무결성을 향상시키도록 지원할 것"이라고 말했다.
