구글이 데이터센터 핵심 칩 디자인을 오픈소스로 푸는 까닭은?

구글이 최근 자사 글로벌 데이터센터들에 투입된 타이탄 칩의 오픈소스화한 오픈타이탄을 공개했다. 보안 강화를 이유로 내걸었다. 

구글 정도 되는 기업이면 데이터센터에서 돌아가는 하드웨어와 소프트웨어 인프라들을 속속들이 알수 있을 거 같은데, 구글은 그렇게 생각하지 않는 것 같다.

MIT테크놀로지리뷰에 따르면 구글은 비영리 엔지니어링 회사인 로우리스크(lowRISC)가 관리할 오픈타이탄을 통해 자사 클라우드 플랫폼에서 운영되는 기기들이, 신뢰할 수 있고, 취약점이 추가되지 않았으며, 남모르게 누군가의 통제 아래 있지 않다는 것을 암호학적으로 입증하는 것을 목표로 하고 있다. 구글 고객들이 데이터센터에서 돌아가는 기기들을 가장 저수준에서 조사하고 이해할 수 있도록 해, 전원을 켜는 첫 순간부터 완전히 신뢰할 수 있게 하겠다는 것이다.

오픈타이탄 프로젝트의 목표는 구글 데이터센터 고객들이 낮은 수준의 코드에서부터 장비들을 살펴보고 이해하고 신뢰할 수 있도록 하는 것을 목표로 하고 있다.

클라우드 컴퓨팅 데이터센터에서 가장 낮은 단계에 있는 인프라는 실리콘 하드웨어다. 실리콘 하드웨어는 전기가 들어오고 기계가 부팅 되면, 첫 코드를 돌리게 된다. 기계가 부팅되면 각각의 컴포넌트들은 엄청 많은 코드를 시작부터 돌리게 된다. 

이들 코드는 그동안 잘 알기도 아려웠을 뿐더러 완전히 이해하거나 효과적으로 보호하려하지 않았던 것들이다. 보안 소프트웨어가 가동되기전, 펌웨어 같은 코드는 이미 활성화되어 부팅 프로세스를 통제한다. 

보안 측면에서 이같은 상황은 리스크가 크다. 펌웨어와 다른 저수준 소프트웨어는 해커들에겐 대단히 매력적이라는 것이다.

지난해 러시아 정부 소속 해커들은 컴퓨터 펌웨어에 미리 설치된 추적 소프트웨어에 있는 취약점을 활용해 스파이 활동을 한 것으로 확인됐다. 

암스테르담 자유대학교(Vrije Universiteit Amsterdam)의 카베흐 라자비 보안 연구원은 "구글은 첫 지시가 실행되기전, 전력 버튼을 누르는 시작부터 정확하게 모든 것의 결과를 검증할 수 있를 원한다"고 말했다.

오픈타이탄은 펌웨어에서 생성된 코드가 칩이 예상한 코드와 일치하지 않으면, 전체 부팅 프로세스를 무효화시킨다. 캐빈 페리스 로우리스크 이사회 멤버는 "기계들의 부팅을 신뢰하지 않으면 그걸로 게임 끝"이라고 말했다.

저수준 단계의 하드웨어에서 스파이 활동을 하기 위한 공격은 이미 현실이다. 비용도 매우 저렴하다.

구글 클라우드 사업 부문의 로얄 한센 엔지니어링 부사장은 "데이터센터에 있는 수백만대의 서버가 생각해보라. 이들 마더보드는 기반 보드 관리 컨트롤러, 네트워크 인터페이스 컨트롤러 등 모든 종류의 칩을 갖고 있다"면서 "보안은 실리콘 하드웨어부터 시작될 필요가 있다. 부팅이 되고 로딩이 시작되기전 당신은 이미 지났기 때문에 소프트웨어에선 할 수 없다"고 지적했다.

인텔이 CPU에 크게 알리지 않고 내장시킨 운영체제인 미닉스(MINIX)도 사례로 제시됐다.

완벽하게 알려지지 않고 복잡한 운영체제에 직면한 구글은 자사 플랫폼에서 독점적이고 취약한 미닉스 코드를 제거하기 위한 작업을 시작했다. 

구글 엔지니어들 입장에서 미닉스는 이해나 방어에 대해 알수 없었던 전체 공격 표면이었다면서 미닉스는 구글이 자체 하드웨어 제작을 밀고 나가 오픈타이탄으로 이어지게한 촉매중 하나였다고 MIT테크놀로지리뷰는 전했다. 

오픈타이탄이 진화된 해킹 그룹을 방어할 확실한 묘책은 아니다. 그럼에도 공격자가 알람을 터뜨리지 않고 오랫동안 머물러 있게 하는 것은 어렵게 할 것이란 평가다. 라자비는 "한 노드가 침해를 당하면 공격자는 그 장비에 계속 머물고 싶어할 것이다. 소프트웨어나 다른 부품이 업데이트된다고 해도 무슨일이 일어나는지 여전히 보고싶어할 것이다"고 말했다.

클라우드 제공 업체들이 걱정해야할 진화된 위협이 이것 뿐만은 아니다. 최악의 시나리오는 지능적인 공격자가 나쁜 취약점을 발견하면 누구나 그것을 사용할 수 있다는 것이다. 

한센 부사장은 "모든 수준에서 잠재적으로 나쁜 코드가 주입될 가능성이 있다. 이것을 탐지하기 위한 유일한 방법은 처음부터 코드가 생각했던 코드인지 확인하는 것이다"고 거듭 강조했다.

테크잇 뉴스레터를 전해드립니다!

오피니언 기반 테크 블로그 'TechIt'
테크 비즈니스를 보는 다양한 통찰들을 이메일로 간편하게 받아 볼 수 있습니다.

About the author

endgame
endgame

테크 블로거 / 공유할만한 글로벌 테크 소식들 틈틈히 전달하겠습니다

No more pages to load


TechIT

테크 비즈니스를 보는 다양한 통찰 '테크잇'

독자 여러분들께서 좋은 의견이나 문의 사항이 있으시면 아래 양식에 따라 문의 주시기 바랍니다.

Contact