클라우드 시대에 퍼블릭 클라우드는 효율적이지만 언제나 보안 측면의 ‘격리성’에 대한 우려를 받아 왔다. 인텔은 이러한 우려에 대해 4세대 제온 스케일러블 프로세서에서 TDX (Trust Domain Extensions) 기술로 하드웨어 기반의 ‘VM(가상 머신) 격리’ 구현을 선보였다. 향후 퍼블릭 클라우드 서비스에서 새로운 서비스 모델의 구현에 활용될 수 있을 것으로 기대된다.
인텔은 지난 12월 13일과 14일 양일간 미국 오레곤주 포틀랜드의 인텔 존스팜(Jones Farm) 캠퍼스에서 그간 코드명 ‘사파이어 래피즈(Sapphire Rapids)’로 알려졌던 4세대 인텔 제온 스케일러블 프로세서 제품군의 주요 특징을 소개하는 워크숍을 진행했다.
이날 워크숍에서 아닐 라오(Anil Rao) 인텔 시스템 아키텍처&엔지니어링 부문 부사장과 에이미 산토니(Amy Santoni) 인텔 펠로우는 핵심 기술로 ‘TDX’를 소개하고 향후 주요 퍼블릭 클라우드 서비스에서 이 기술을 활용한 서비스들이 선보일 계획이라고 밝혔다.
TDX는 퍼블릭 클라우드에서도 관리자와 하드웨어 수준에서 완전히 격리된 ‘가상 머신’을 제공할 수 있는 기술이다.
컨피덴셜 컴퓨팅(Confidential Computing)은 이러한 상반된 상황에서 민감한 데이터를 활용함에 있어 애플리케이션 실행 환경의 신뢰성과 사용자간 격리성, 데이터의 보안성을 확보할 수 있는 방법으로 꼽힌다. 컨피덴셜 컴퓨팅의 ‘신뢰할 수 있는 실행환경(TEE: Trusted Execution Environment)’은 클라우드 상의 다른 테넌트와의 격리성, 데이터 소유자가 데이터 접근을 위한 ‘키’를 소유하는 보안성, 애플리케이션 실행 환경의 검증된 ‘무결성’ 등이 특징이다.
인텔은 이 ‘컨피덴셜 컴퓨팅’을 위한 다양한 포트폴리오를 제공하고 있다. 인텔의 ‘SGX(Software Guard Extensions)’는 애플리케이션 레벨에서의 격리와 신뢰할 수 있는 실행환경을 하드웨어 수준으로 제공하는 기술로, 4세대 제온 스케일러블 프로세서 등에서 제공된다. 또한 4세대 제온 스케일러블 프로세서의 등장과 함께 주요 클라우드 사업자를 통해 ‘TDX(Trust Domain Extensions)’ 기술이 제공될 예정이며, 인프라의 신뢰성에 대한 독립적 인증 서비스인 ‘프로젝트 앰버(Project Amber)’도 2023년 중반까지 준비될 계획이다.
인텔의 TDX 기술은 이 신뢰 범위 수준을 ‘가상 머신’ 단위로 맞춘다. 클라우드 관리자와 사용자의 VM 간 서로 다른 암호화 키를 사용하는 등 하드웨어 수준의 격리를 구현해, 자원을 공유하는 퍼블릭 클라우드 기반에서도 물리적으로 자원이 분리 구성된 듯한 ‘프라이빗 인프라’ 환경을 VM 단위로 만들 수 있는 것이 특징이다. SGX와 비교하면 격리 단위가 VM 수준까지 넓어지는 만큼, 기존의 레거시 앱과 운영체제 환경이 그대로 적용 가능하다.
인텔은 사용자의 보안 수준 요구에 따라 SGX와 TDX의 활용이 나뉠 것으로 기대했다. SGX는 데이터나 소프트웨어 IP의 가치가 높고, 위협 수준이 높은 정부, 결제, 프리미엄 콘텐츠 영역 등에서 효과적일 것으로 기대된다. TDX는 데이터 제어와 주권이 중요한 경우에 유리하며, 신뢰할 수 있는 환경에서 기존의 앱을 구동할 수 있는 유연성이 특징이다. 한편, 이 기술들의 중간 지점에는 GDPR, HIPAA 등 민감한 개인정보 관련 규제 준수가 필요한 헬스케어, 금융 서비스, 개인화 제공되는 애드테크 기업 등이 있다.
소프트웨어의 안전한 동작을 위한 CET(Control-Flow Enforcement Technology) 기술은 4세대 제온 스케일러블 프로세서 전 제품에서 제공된다. 이 기술은 정상적인 코드로 보이지만 리턴, 점프, 콜을 기반으로 멀웨어처럼 활동할 수 있는 공격 기법 ‘가젯(Gadgets)’을 방어하기 위한 기술이다. 이 CET는 ‘가젯’의 주소로 리턴 커맨드가 수행되는 것을 막는 ‘쉐도우 스택(Shadow Stack)’, 무작위 주소에서의 점프나 콜 명령을 막는 ‘간접 분기 추적(Indirect Branch Tracking)’ 등의 기술로 구성된다.
권용만 기자 yongman.kwon@chosunbiz.com
- SK하이닉스 'DDR5 서버용 D램' 세계 첫 인텔 4세대 CPU 인증
- [4세대 제온 CPU] ⑨나승주 인텔 상무 “혁신에 자부심, 고성능의 의미 재정의”
- [4세대 제온 CPU] ⑥AI 시대 ‘컨버지드 엣지’의 핵심
- [4세대 제온 CPU] ⑤고성능 컴퓨팅을 위한 '제온 MAX CPU'
- [4세대 제온 CPU] ⑧차세대 ‘그래나이트 래피즈’ 준비 중, ‘옵테인’은 이번이 마지막
- [4세대 제온 CPU] ④‘지속가능성’ 역대 최고 달성
- [4세대 제온 CPU ] ③모든 데이터센터 워크로드에 최적화
- [4세대 제온 CPU] ①디지털 인프라 '세대 교체'
- 삼성, 업계 최선단 ‘12나노급 D램’ 개발…"DDR5 시장 확대 기폭제"
- 삼성·SK D램 반등 호재, 인텔 새 서버용 CPU-DDR5 궁합