피드로 돌아가기
The RegisterSecurity
원문 읽기
Ring -3 관리 엔진을 통한 하드웨어 계층의 보안 통제 상실 위험 분석
Europe built sovereign clouds to escape US control. Then forgot about the processors
AI 요약
Context
유럽의 Sovereign Cloud 전략이 소프트웨어 및 법적 규제 중심의 SecNumCloud 프레임워크에 집중함에 따라 하드웨어 공급망의 보안 취약점이 간과됨. Intel ME와 AMD PSP 같은 관리 엔진이 OS 하위 계층인 Ring -3에서 동작하여 호스트 보안 스택의 감시 범위를 완전히 벗어난 아키텍처적 한계 존재.
Technical Solution
- Ring -3 특권 레벨 설계를 통한 OS 및 Hypervisor 제어권 외부의 독립적 실행 환경 구축
- 별도의 Memory, Clock, Network Stack을 보유하여 호스트 MAC/IP 주소를 공유하는 은닉 통신 채널 확보
- TCP 포트 16992~16995를 활용한 Serial-over-LAN(SOL) 기반의 데이터 무단 유출 경로 제공
- Modern Standby 상태에서도 100-200mW의 전력을 지속 소모하며 네트워크 대기 상태를 유지하는 저전력 SoC 설계
- 하드웨어 펌웨어 변조를 통한 공급망 공격 시 호스트의 전원 상태와 무관한 원격 제어 가능성 확보
실천 포인트
- 하드웨어 선정 시 Intel vPro 및 AMD PSP의 관리 기능 활성화 여부와 기본 자격 증명 제거 확인 - Ring -3 수준의 위협 모델링을 위해 하드웨어 독립적인 네트워크 격리 및 외부 트래픽 모니터링 체계 구축 - 공급망 보안 검증을 위해 단순 소프트웨어 인증을 넘어 펌웨어 수준의 무결성 검사 프로세스 도입 검토