메모리 안전성 및 양자 내성 암호 기반의 OS 보안 패러다임 전환

Context

기존 C 기반 시스템 유틸리티의 메모리 관리 취약점으로 인한 지속적인 보안 위협 존재. 특히 set-uid root 권한을 가진 sudo와 같은 핵심 바이너리의 Heap Overflow 및 Use-after-free 오류는 심각한 권한 상승으로 이어지는 구조적 한계 노출.

Technical Solution

• 메모리 안전성이 보장된 Rust 언어로 sudo-rs를 재구현하여 /usr/bin/sudo의 기본 바이너리로 교체
• NIST FIPS 203 표준인 ML-KEM-768과 X25519를 결합한 Hybrid Post-Quantum KEM 기반의 mlkem768x25519-sha256 알고리즘을 OpenSSH 기본 Key Exchange로 설정
• 14년간 유지된 레거시 cgroup v1 인터페이스를 완전히 제거하여 리소스 제어 프레임워크 단일화 및 최신 커널 표준 적용
• TOCTOU(Time-of-Check-to-Time-of-Use) 레이스 컨디션 문제가 해결되지 않은 cp, mv, rm 등의 coreutils는 도입 대상에서 제외하여 시스템 안정성 확보
• CVE 발생 가능성이 높은 보안 핵심 컴포넌트부터 단계적으로 Rust로 대체하는 전략적 마이그레이션 수행