Core Concepts
CPU 주파수 정보를 활용하여 컨테이너 이미지를 정확하게 식별할 수 있다.
Abstract
이 연구는 현대 클라우드 컴퓨팅 환경에서 사용되는 다양한 샌드박스 기술에 대한 동적 주파수 기반 지문 공격의 가능성을 보여준다.
- 연구진은 Docker 컨테이너, gVisor, Firecracker, Gramine(Intel SGX), AMD SEV 등의 실행 환경에서 실험을 수행했다.
- 각 실행 환경에서 수집한 CPU 주파수 데이터를 기반으로 CNN 모델을 학습시켰다.
- 실험 결과, 모든 실행 환경에서 70% 이상의 정확도로 실행 중인 컨테이너 이미지를 식별할 수 있었다.
- 이는 현재 사용되는 샌드박스 기술들이 동적 주파수 기반 부채널 공격에 취약함을 보여준다.
- 연구진은 또한 다중 컨테이너 실행, 다른 마이크로아키텍처 환경, 샘플 크기 변화 등에 대한 추가 실험을 수행했다.
- 이를 통해 제안된 공격이 실용적이고 효과적임을 입증했다.
- 마지막으로 주파수 노이즈 주입 기반의 대응 기술을 제안했다.
Stats
네이티브 Linux 환경에서 126개 Docker 이미지에 대한 정확도는 84.5%였다.
gVisor 환경에서 126개 Docker 이미지에 대한 정확도는 71.2%였다.
Firecracker 환경에서 126개 Docker 이미지에 대한 정확도는 73.04%였다.
Gramine(Intel SGX) 환경에서 50개 Docker 이미지에 대한 정확도는 91.4%였다.
AMD SEV 환경에서 107개 Docker 이미지에 대한 정확도는 79.8%였다.
Quotes
"CPU 주파수 정보를 활용하여 컨테이너 이미지를 정확하게 식별할 수 있다."
"현재 사용되는 샌드박스 기술들이 동적 주파수 기반 부채널 공격에 취약함을 보여준다."