์ฌ์ด๋ฒ ๋ณด์
NVIDIA, ํ ์ฌ๋ผ ์์จ ์ฃผํ ์์คํ ์ ์ ์ ๊ธ๋ฆฌ์น ๊ณต๊ฒฉ ์ทจ์ฝ์ ํ์ธ
독일의 새로운 연구 논문에 따르면 NVIDIA는 테슬라의 자율 주행 시스템에서 특권 코드 실행을 얻을 수 있는 하드웨어 취약점을 확인했다. 이 공격은 하드웨어를 불안정하게 만드는 ‘클래식’ 방법인 전압 급등을 이용하여 보통 소비자에게 비활성화된 부트로더를 해제할 수 있다. 이 공격은 또한 메르세데스-벤츠 인포테인먼트 시스템에서도 유효하지만 훨씬 덜 위험한 결과를 초래한다.
연구 논문 《The Forgotten Threat of Voltage Glitching: A Case Study on Nvidia Tegra X2 SoCs》은 테크니셰 우니베르시타트 베를린에서 발행되었으며, 일부 연구자의 최근 연구에서 AMD Secure Encrypted Virtualization의 유사한 취약점을 공개한 후속 연구이다.
연구 논문은 다음과 같이述한다:
《우리는 우리의 실험 결과와 매개변수를 NVIDIA에 책임적으로 공개했다. NVIDIA는 우리의 실험을 재구성하고 테스트된 Tegra Parker SoC와 이전 칩에 결함 주입이 영향을 미친다는 것을 확인했다. 그들에게 따르면, 모든 새로운 Tegra SoC에는 이러한 유형의 공격을 완화하는 대책이 포함될 것이다. 또한 취약한 칩에서 전압 결함 주입의 효과를 줄이는 대책을 제안했다…》
연구 논문은 이 연구에서 示된 공격 유형이 시스템 펌웨어를 조작하여 인간 장애물에 반응하는 자율 주행 차량의 필수적인 제어 시스템을 손상시키도록 허용할 수 있다고述한다.
그들은 또한 조종석 디스플레이 시스템을 조작하는 것이 실제 위험을 초래할 수 있으며, 현재 주행 속도와 같은 중요한 정보의 잘못된 표시를 허용할 수 있다고 주목한다.
전압 결함 주입
전압 결함 주입(Voltage Fault Injection, FI), 또는 전압 글리치(Voltage Glitching)은 시스템 전원 공급을 순간적으로 과전압 또는 저전압으로 만든다. 이는 매우 오래된 공격 형태이며, 연구자들은 스마트 카드가 20년 전부터 이 접근 방식에 대해 강화되었으며, 칩 제조업체가 이 특정 공격 벡터를 효과적으로忘却했다고 주목한다.
그러나 시스템 온 칩(System on a Chip, SoC)을 보호하는 것이 최근 몇 년 동안 복잡한 전원 트리와 더 높은 전력 소비로 인해 발생할 수 있는 혼란을 악화시키기 때문에 더 복잡해졌다고 인정한다.
이러한 유형의 공격은 과거에 NVIDIA Tegra X1 SoC에 대해 가능했지만, 새로운 Tegra X2 SoC(‘Parker’)는 테슬라의 자율 주행 시스템과 메르세데스-벤츠 및 현대 차량에서 사용되는 시스템에 더 중요한 시스템에서 사용된다.
새로운 연구 논문은 Tegra X2 SoC에서 전압 글리치 공격을 示しており, 연구자들은 시스템의 내부 읽기 전용 메모리(iROM)에서 내용을 추출할 수 있었다. 이는 제조업체의 지적 재산권을 손상시키는 것 외에도 신뢰할 수 있는 코드 실행을 완전히 비활성화할 수 있다.
영구적인 손상 가능
또한, 침입은 취약하거나 반드시 재시작 시에 제거되지 않는다: 연구자들은 루트 오브 트러스트(Root of Trust, RoT)를 영구적으로 비활성화할 수 있는 ‘하드웨어 임플란트’를 개발했다.
독일 연구자들이 개발한 ‘크로바 크로바 회로’ 다이어그램 – Tegra X2에서 루트 오브 트러스트를 조작할 수 있는 영구적인 하드웨어 수정 출처: https://arxiv.org/pdf/2108.06131.pdf
공격을 매핑하기 위해, 연구자들은 X2에 대한 숨겨진 문서를 찾으려고 했다 – L4T 패키지의 일부로 포함된 숨겨진 헤더 파일. 매핑은 기술되지 않았지만, Jetson TX2 부트 흐름에 대한 온라인 문서에서 암시적으로 기술되어 있다.
TX2의 부트 소프트웨어 흐름 출처: https://docs.nvidia.com/
그러나, 헤더 파일을 얻은 후에도, 연구자들은 GitHub에서 NVIDIA 관련 코드를 검색하여 상당한 도움을 받았다:
《우리는 헤더 파일이 NVIDIA에서 제공된다는 것을 깨닫기 전에 GitHub에서 검색했다. NVIDIA 코드가 포함된 저장소를 찾은 외에도, ‘switch-bootroms’라는 저장소를 발견했다. 이 저장소에는 Tegra SoC의 모델 번호 T210과 T214에 대한 누출된 BR 소스 코드가 포함되어 있다. T210은 원래 Tegra X1(코드명 ‘Erista’)이며, T214는 업데이트된 버전으로도 불리우며, Tegra X1+(코드명 ‘Mariko’)이다. X1+에는 빠른 클록 속도와, 저장소의 주석과 코드에 따르면, FI에 대해 강화된 버전이 포함되어 있다. 우리의 조사 동안 이 코드에 대한 접근은 우리의 X2 이해를 크게 증가시켰다.’》
《(푸터는 나에 의해 하이퍼링크로 변환됨)》
모든 퓨즈와 암호화 코드는 새로운 방법으로 발견되었으며, 부트로더 시스템의 후반부는 성공적으로 해독되었다. 이 공격의 가장 주목할 만한 성과는 아마도 전용 하드웨어를 통해 재시작 간에 지속되도록 하는 능력일 것이다. 이는 처음으로 Nintendo Switch 임플란트에 대한 X1 칩 시리즈에서 Team Xecutor가 개발한 기술이다.
완화
연구 논문은 미래의 X 시리즈 SoC에서 전압 글리치 공격에 저항할 수 있는 강화 방법을 제안한다. NVIDIA와의 논의에서, 회사는 기존 SoC의 경우, 열과 용매에 의해 분해되지 않는 에폭시를 사용하는 보드 수준의 변경이 유용하다고 제안했다. 회로는 쉽게 분해될 수 없으면 침입하기가 훨씬 더 어렵다.
연구 논문은 또한 SoC 전용 인쇄 회로 기판( Printed Circuit Board, PCB)을 사용하는 것이 공격에서 설명된 커플링 캐패시터의 필요성을 제거하는 방법 중 하나임을 제안한다.
미래의 SoC 설계에서는 최근 NVIDIA에서 특허를 받은 크로스 도메인 전압 글리치 감지 회로를 사용하여 악의적이거나 의심스러운 전압 혼란에 대한 경고를 트리거할 수 있다.
소프트웨어를 통해 문제를 해결하는 것은 더 큰 도전이다. 왜냐하면 악용되는 결함의 특성은 소프트웨어 수준에서 이해하고 대응하기가 어렵기 때문이다.
연구 논문은, 놀랍게도, 대부분의 명백한 안전 장치가 오래된 X1 칩을 보호하기 위해 시간이 지남에 따라 발전했지만 X2에는 없다는 것을 관찰한다.
연구 논문은 다음과 같이 결론을 맺는다:
《제조업체와 설계자는 이미 20년 이상 존재하는 간단한 하드웨어 공격을 잊지 말아야 한다.’》
