마이크로소프트는 리눅스 커널을 위한 새로운 보안 모듈 "Hornet"을 소개했습니다. 이 모듈은 eBPF(확장 베르클리 패킷 필터) 기술을 활용하여 커널 작업의 보안을 강화하는 것을 목표로 하고 있습니다. Hornet은 커널 모듈에 사용되는 것과 유사한 서명 검증 체계를 구현하여 실행 파일에 pkcs#7 서명을 추가하고, 이를 통해 bpf_prog_load 호출 시 BPF 명령어와 맵의 무결성을 검증합니다.
Hornet의 주요 특징 중 하나는 사용자 공간에서 로드된 프로그램과 달리 커널 내에서 로드된 프로그램에 대한 암묵적인 신뢰를 제공한다는 점입니다. 이러한 설계 선택은 BPF_PRELOAD 프로그램과 BPF_SYSCALL 프로그램의 출력을 원활하게 실행할 수 있게 합니다. 또한 Hornet은 커널 내에서 실행되는 모든 코드가 서명되도록 보장하며, 이는 사용자 공간 명령어 재작성 없이도 작동하는 경량 스켈레톤 기반 로더 및 정적으로 생성된 프로그램과 호환됩니다.
Hornet의 도입은 특히 eBPF를 활용하는 환경에서 커널 보안의 중요한 발전을 나타냅니다. BPF 프로그램의 무결성 검사를 강화함으로써 Hornet은 커널 내에서 악성 코드 실행의 위험을 줄일 수 있으며, 전반적인 시스템 보안을 향상시킬 수 있습니다. 이 제안은 이미 윈도우에 통합된 eBPF 기술을 수용하려는 마이크로소프트의 광범위한 노력의 일환으로, 크로스 플랫폼 보안 솔루션에 대한 의지를 나타냅니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.