인텔은 리눅스의 보안 기능을 강화하기 위해 선형 주소 공간 분리(Linear Address Space Separation, LASS)를 도입하고 있습니다. 이 새로운 메커니즘은 사용자 모드와 커널 모드 간의 악의적인 가상 주소 공간 접근으로부터 보호를 강화하는 것을 목표로 합니다. 기존의 보호 방식이 페이지 매핑 및 SMEP, SMAP와 같은 메커니즘에 의존하는 것과 달리, LASS는 메모리 내 페이지 구조를 탐색할 필요 없이 작동합니다. 이는 악성 소프트웨어가 커널 메모리 레이아웃에 대한 세부 정보를 유추할 수 있는 타이밍 정보를 노출할 수 있는 페이지 구조 탐색을 피할 수 있다는 점에서 중요합니다.
LASS는 페이지 매핑 이전에 모드 기반 보호를 시행하여 소프트웨어가 변환 캐시(Translation Lookaside Buffers, TLBs) 및 중간 캐시와 같은 캐싱 구조에서 타이밍 정보를 유도하는 것을 효과적으로 방지합니다. 이중 페이지 결함(double page faults) 및 TLB 플러시와 리로드와 같은 기법을 통해 탐색을 피함으로써, LASS는 리눅스 시스템의 보안 태세를 강화하여 잠재적인 공격에 대한 저항력을 높입니다. 이 혁신은 커널 보안에서 중요한 진전을 나타내며, 전통적인 페이지 매핑 메커니즘에서 존재해온 취약점을 해결합니다.
LASS의 의미는 깊습니다. 이는 리눅스 시스템의 보안을 강화할 뿐만 아니라 운영 체제 보안 기능의 미래 개발에 대한 선례를 설정합니다. 인텔이 이 기술을 지속적으로 개선함에 따라, 다양한 플랫폼에서의 광범위한 채택과 구현으로 이어져 전체 시스템 무결성을 향상시킬 수 있을 것입니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.