뉴스 및 동향
보안 네트워크 구축에 FPGA의 선택이 중요 (Building secure networks for comms work) 기재: 2003년 11월 03일
By Jon Ewald Director of Product Marketing Actel Corp.
요즘처럼 네트워크 보안이 중요한 적은 없었다. 빠르게 움직이는 세계의 정치적 발전, 점점 길어지는 경제적 침체기, 더욱 커져가는 업체의 네트워크에 대한 의존도 모두가 보안을 더욱 널리 장려하도록 했다. 이러한 환경에서 사업과 조직의 생존력과 존속력은 이들이 이용하는 네트워크 만큼만 안전하다.
매우 안전한 네트워크를 개발하는 방법은 시스템 부품 선택에서 시작된다. 결국 각 부품은 적대적 공격에 대한 잠재적 문을 나타낸다. 그러나 최근 네트워크 장비 디자인에서의 중요한 변화가 최근 발생했으며 네트워크 보안에 대한 그 의미는 대개 주목받지 않은 채로 지나갔다.
지난 몇 년에 걸쳐 FPGA (field-programmable gate array)는 조용히 네트워크 장비 디자인에서 점점 더 중요해지고 있는 역할이라고 여겨졌다. 얼마 전에 이 프로그램 가능 부품들은 기본적으로 글루 로직 애플리케이션에 사용되었다. 상대적으로 적은 집적도로 제한된 FPGA는 일반적으로 애플리케이션 지정 표준 부품과 주문형 애플리케이션 지정 집적 회로 (ASIC) 사이에서 인터페이스하는데 사용되었었다.
그러나 실리콘 제조업체들이 딥 서브미크론 기술로의 공정 경로를 낮추고 FPGA 집적도와 클럭 레이트가 급상승 했으므로 이러한 프로그램 가능 부품의 역할은 급격하게 변했다. 마스크 비용이 크게 증가하고 칩 디자이너들은 강력한 입출력 본드 패드 제한에 직면해 있으므로 ASIC 디자인의 수는 크게 떨어졌다. 현재 시스템 디자이너들은 더욱 빠르고 더욱 집적적이며 더욱 가격 효율적인 FPGA를 이용해서 현재까지 ASIC에 위임된 수 많은 주요 시스템 기능을 구현하고 있다.
세 가지 아키텍처
안타깝게도 그들이 선택하는 FPGA의 보안 의미를 이해하는 통신 장비 디자이너는 거의 없다. 현재 디자이너들은 세 가지 매우 다른 기술 중 어떤 것이든 기본으로 하는 FPGA를 이용할 수 있다.
SRAM 기반 FPGA가 시장 대부분을 차지하고 있다. 그러나 이들은 또한 현재 사용되는 모든 FPGA 아키텍처 중 가장 덜 안전하다는 것을 나타낸다. 휘발성 메모리 기술을 기반으로 하고 있는 이 디바이스들은 전원이 들어올 때마다 초기화되고 구성되어야 한다. 일반적으로 FPGA는 PROM에서 비트 스트림을 부하함으로써 초기화되거나 온보드 마이크로컨트롤러를 통해 FPGA에 전송된다. 이 특성이 SRAM 기반 FPGA를 쉽게 프로그램 가능하게 하는 동시에 서비스 부정, 복제, 리버스 엔지니어링, 과잉 건설 같은 중요한 보안상의 위험을 나타나게 한다. SRAM 기반 FPGA으로 SRAM 기반 FPGA의 디자인에 사용된 지적 소유권을 복제하려는 자들은 간단히 프로세서에서 비트 스트림을 도중에 가로채거나 부트 PROM을 복사함으로써 이를 실행할 수 있다.
안티퓨즈나 플래시 같은 대체 비휘발성 기술을 기반으로 한 FPGA는 더욱 안전한 솔루션을 나타내고 있다. SRAM 기반의 FPGA와는 달리 이 비휘발성 디바이스들은 시스템을 켤 때 비트 스트림이 필요없다. 대신 이들은 이들이 일반 사용자에게 전달되기 전에 구성될 수 있다.
1회성 프로그램 가능 안티퓨즈 아키텍처는 전통적 리버스 엔지니어링 전략을 이용하려는 저작권 침해자들에게 커다란 장애가 된다. 안티퓨즈 FPGA는 두 금속 라인 사이의 오픈 스위치로 일반적으로 1 평방 micron보다 더 적은 소규모 절연체를 이용하고 있다. 두 금속 라인 사이의 커넥션을 물리적으로 확인하기 위해서는 저작권 침해자가 이 디바이스를 deprocess하거나 크로스섹션해야 하며 스캐닝 전자 마이크로스코프로 각각의 링크를 검증해야 한다. 이 방법은 단 하나의 링크 위치를 찾기 위해 매우 시간 소모적인 시행 착오 과정이 필요하다. 더욱이 일반적인 안티퓨즈 디바이스가 매우 많은 스위치 요소를 특징으로 하고 있다면 종종 수백만개를 세고 디자인을 리버스 엔지니어링하는 것이 일반적으로 터무니없이 비싸고 시간 소모적이 된다. 결론적으로 링크는 매우 작고 약하며 저작권 침해자는 칩을 레이어하거나 크로스 섹션할 때 요점을 망가뜨릴 위험을 감수하게 된다.
SRAM 기반 FPGA보다 더 높은 수준의 보안을 필요로 하나 또한 하드웨어 업그레이드를 위해 재프로그램 가능성을 지원해야 하는 애플리케이션을 위해 플래시 기반 FPGA 또한 매우 안전한 대안책을 제안한다. 안티퓨즈 FPGA처럼 플래시 기반 디바이스는 본질적으로 비휘발성이며 이들이 사업장에서 출시되기 전에 구성될 수 있다. 또한 일단 이들이 프로그램되면 플래시 기반 FPGA는 사용자가 이를 바꿀 때까지 프로그램 가능한 상태로 남아있게 된다. 이 디바이스가 외부 비트 스트림을 필요로 하지 않으므로 무단 사용자가 쉽게 복제할 수 있는 것은 아무것도 없다.
최신 플래시 기반 FPGA는 현재 성공 가능성이 훨씬 적은 간접 공격을 하도록 하는 보안 기능을 제공하고 있다. 사용자는 사용자 열쇠에 액세스를 하지 않고는 디바이스 컨텐츠를 읽거나 바꿀 수 없으며 현재 디바이스는 최고 263 비트의 길이로 되어 있다. 키를 임의로 결정할 brute force 공격은 무단 사용자가 연속으로 각각 사용 가능한 열쇠 조합을 시도하도록 한다. 열쇠는 JTAG 포트를 통해 20 MHz 이상의 속도로 부하될 수 없으므로 이 방법론은 수십억년이 걸릴 수도 있다. 또한 프로그래밍 전압을 바꾸거나 특정 코드 순서를 전송함으로써 플래시 기반의 디바이스를 테스트 모드로 속이는 것은 불가능하다.
대부분의 안티퓨즈 기반 FPGA처럼 플래시 기반 디바이스 또한 침략적 공격으로부터 매우 안전한데 그 이유는 이 디바이스 안에 있는 프로그래밍 요소의 판독이 매우 어렵기 때문이다. 플래시 기반 FPGA를 decapping 하는 것은 디바이스의 구조만 나타낼 뿐 내용을 나타내는 것이 아니다. 플래시 기반 FPGA는 스위치를 이용하여 인터섹팅 금속 라인을 연결하기도 하고 분리하기도 한다. 단일 소수점 게이트는 두 개의 금속 라인을 연결하는 스위치 상태를 정하기 위해 충전되거나 방전된다. 프로그램이나 스위치 디바이스에서 어떠한 물리적 변화도 일어나지 않으므로 재료 분석으로 감지할 것이 없다. 그러한 디바이스의 리버스 엔지니어에게 엔지니어는 충전이 각 구성 트랜지스터의 부동 게이트에 나타나있는지 아닌지 결정해야 한다. 그러한 과정은 매우 정교한 장비와 상당한 시간을 필요로 하게 될 것이다. 또한 일단 무단 사용자가 전체적인 트랜지스터 레이아웃과 그 칩에서 프로그램된 트랜지스터 위치를 결정하는데 성공했다면 이 무단 사용자는 이 패턴을 다시 디자인 복제를 제작하기 위한 또다른 부분을 구성하는데 사용될 수 있는 구성 비트 스트림으로 바꿔야 할 것이다. 디자인을 리버스 엔지니어링하는 것은 엔지니어가 비트 패턴을 디바이스의 물리적 구조로 맵해서 이 부분의 설계도를 제작하도록 하므로 훨씬 더 어렵다.
여러 가지 위협
현재 통신 시스템을 구축하는 디자이너들은 두가지 뛰어난 보안상의 위협에 직면해 있다. 첫째는 IP 도용이다. IP는 매우 복잡한 고유의 디자인을 개발함으로써 경쟁력있는 장점을 가진 업체를 나타낸다. IP 도용으로 고생하고 있는 업체들은 이익 손실에 직면해 있으며 궁극적으로는 시장 점유율 손실에도 직면해있다. 현재 자주 경쟁 제품과 시스템을 차별화시키는 주요 IP는 프로그램 가능 로직에 장착되어 있다.
이 문제의 범위는 최근 급격하게 증가했다. International Anti-Counterfeiting Coalition은 어림잡아 미국 업체들이 매년 전 세계적으로 저작권, 상표 등록, 거래 비밀 침해로 인해 수 천억 달러를 잃고 있다고 한다.
FPGA에 내장된 IP를 훔치는 IP 도용자들이 쓰는 가장 일반적인 전략 중 하나가 소위 연속 사기이다. 일반적으로 이 전략은 디자인을 과잉 제작하고 그런 다음 그레이 마켓 수입업체들에게 특수 부품을 판매함으로써 추가 수익을 얻는 비양심적인 어셈블리 하우스에 의해 사용된다. 추가 디바이스는 일반적으로 원래 제품과 구분할 수 없는 최종 제품으로 마무리된다. 이 작업의 노출을 제한하는 한가지 방법은 안전한 프로그램 가능 로직 디바이스 기술을 사용하고 모든 프로그래밍 인 하우스를 구현하며 그런 다음 유일한 프로그램 디바이스를 계약 제조업체에게 공급하는 것이다.
IP가 도용 당하는 또 다른 일반적인 방법은 리버스 엔지니어링이나 복제를 통해서이다. 리버스 엔제니어링 전략은 수 년에 걸쳐 정교하게 크게 증가해왔다. 도용은 원래 물리적 디바이스에서 도안 레벨의 진술을 반드시 재구성함으로써 디자인을 복사한다. 이는 도용자가 어떻게 이 디자인이 동작하는지 그리고 일부 경우에는 이 성능을 어떻게 향상시키는지 발견하도록 한다. 일부 정교한 경우에 도용자는 레이저나 집중 이온 빔을 이용하여 칩의 특수 부분을 공격하거나 화학 제품을 이용하여 칩의 실리콘 레이어 뒷면을 에칭할 것이다.
복제는 단순히 디자인을 복사하는 것이다. 일반적으로 도용자는 이 디자인이 어떻게 동작하는지 모르며 단지 이 세부사항에 접근하는 법만 알 뿐이다. SRAM 기반의 FPGA는 특히 이 위협에 영향을 받기 쉽다. 온보드 프로세서에서 boot PROM을 복사하거나 구성 비트 스트림을 중간에서 가로챔으로써 도용자는 이 작동 방법에 관한 본질적 지식 없이도 디자인을 쉽게 다시 제작할 수 있다.
통신 시스템의 두번째 주요 보안 위험은 데이터 보안이다. 현재까지 이는 기본적으로 군사 및 경제 애플리케이션으로 제한되어 왔다. 그러나 업체들이 네트워크 상에 점점 더 그들 회사의 기밀 데이터를 실음에 따라 일반 애플리케이션에서도 중요한 관심사가 되었다.
대부분의 업체들은 정교한 방어벽이나 기타 보안 장치를 구현함으로써 그들 네트워크의 앞문을 보호하려 엄청난 노력을 하고 있다. 많은 디자이너들이 이해하지 못하는 것이 FPGA는 잠재적으로 그들 보안 네트워크의 공격당하기 쉬운 뒷문을 나타낸다는 것이다.
네트워크의 데이터를 보호하는데 사용된 전통적 전략은 매우 미세한 암호화 기법을 사용하는 것이다. 1970 년대 IBM사와 미국 정부가 개발한 Data Encryption Standard (DES)는 56 비트의 기밀 키 암호화 알고리즘을 이용하여 데이터를 보호한다. 실질적으로 모든 선두적 FPGA 벤더들은 암호화의 코어를 제공해서 그들 제품에 DES를 구현하고 있으나 DES가 적절한 수준의 보안을 제공하는지 아닌지에 대해 의문을 제기하는 비평이 수 년 동안 있어 왔다. 몇 몇 경우에 업체들은 얼마나 쉽게 알고리즘이 망가지는지 보여주었었다. 현재 미국 정부는 DES를 Advanced Encryption Standard라고 하는 성과로 바꾸려는 과정을 겪고 있다.
재구성 가능한 FPGA를 이용하는 시스템은 암호화 결과를 피하기 위한 시도에 영향을 받기가 매우 쉽다. 예를 들면 SRAM 기반의 FPGA에서 비트 스트림을 중간에 가로챔으로써 도용자가 암호화 구조를 망가뜨릴수도 있었다. 최악의 시나리오로는 이 정보가 나중에 앞으로의 암호화 결과도 망가뜨리는데 사용될 수도 있다는 것이다. 재프로그램 가능 플래시 기반의 FPGA를 이용하는 시스템은 훨씬 더 많은 보안 솔루션을 제시하고 있다.
데이터 도용이 주요 관심사이긴 하지만 데이터 보안에 관한 가장 일반적인 공격 형태는 서비스 거부이다. 이러한 공격 시에 무단 사용자는 데이터를 훔치려 노력하는 것이 아니라 사용자의 네트워크 사용을 거부하도록 한다. 사람들은 어떻게 해커들이 메시지로 네트워크를 가득 채움으로써 네트워크 서비스를 마비시키는지 설명하는 뉴스를 반복해서 듣게 된다.
시스템 하드웨어를 향상시키는데 SRAM 기반 FPGA에 의존하는 네트워크는 특히 서비스 거부 공격에 노출되기 쉽다. FPGA의 비트 스트림에 접근함으로써 침입자는 FPGA를 망가뜨리고 네트워크를 마비시킬 수 있게 된다. 더욱 수준 높은 해커는 하드웨어를 조절하기 위해 FPGA를 다시 프로그램함으로써 더 큰 문제도 일으킬 수 있다. 예를 들면 통신 네트워크에서 해커는 빌링 알고리즘을 바꿔서 특정 고객들이 금액 지불을 못하게 하거나 침입자들이 바이러스를 FPGA에 침투시켜서 네트워크 전체에 이를 퍼뜨릴 수도 있게 된다. 이러한 경우에 하드웨어를 향상시키기 위해 SRAM 기반FPGA를 이용하는 시스템은 디바이스를 초기화하기 위해 사용된 비트 스트림이 보호되지 않으므로 훨씬 더 크게 공격에 노출된다.
현재 퍼져있는 지정학적 경제적 조건으로 인해 네트워크 보안 관심사는 어느 때보다 매우 중요하다. 그러나 이들이 시스템에 사용하는 부품에 관한 보안 의미를 아는 네트워크 장비 디자이너들은 거의 없다. 올바른 FPGA를 신중히 선택하는 것은 시스템의 데이터 통합을 보장할 뿐 아니라 귀중한 IP를 보호하기 위한 디자이너의 능력에 매우 큰 영향을 미치기도 한다.
이전 기사로 | 전자 엔지니어
저작권 2003 eMedia Asia Ltd. 사가 모든 권한을 보유하고 있습니다. eMedia Asia Ltd. 사의 명시적인 서면 허락 없이는 전체 또는 부분을 어떠한 형태나 매체로도 게재할 수 없습니다.
본 웹사이트에서 임의의 제품이나 서비스, 또는 간행물에 대해 설명하거나 언급(하이퍼링크를 통한 설명이나 언급을 포함하여)한다고 해서 eMedia Asia Ltd. 사가 그 제품이나 서비스, 또는 간행물을 추천한다는 뜻은 아닙니다. eMedia Asia Ltd. 사는 구체적인 서면 증명을 통한 경우 외에는 본 웹사이트를 통해 제안되는 제품 및 소프트웨어를 보증하지 않으며, 보증하는 경우라 해도 공급자가 그같은 제품이나 소프트웨어와 관련하여 제공하는 서면 인가서나 보증서를 통해서만 보증합니다.
|