Core Concepts
CPU 주파수 정보를 활용하여 컨테이너 이미지를 정확하게 식별할 수 있다.
Abstract
이 연구는 현대 클라우드 컴퓨팅 환경에서 사용되는 다양한 샌드박스 기술에 대한 동적 주파수 기반 지문 공격의 가능성을 보여준다.
연구진은 Docker 컨테이너, gVisor, Firecracker, Gramine(Intel SGX), AMD SEV 등의 실행 환경에서 실험을 수행했다.
각 실행 환경에서 수집한 CPU 주파수 데이터를 기반으로 CNN 모델을 학습시켰다.
실험 결과, 모든 실행 환경에서 70% 이상의 정확도로 실행 중인 컨테이너 이미지를 식별할 수 있었다.
이는 현재 사용되는 샌드박스 기술들이 동적 주파수 기반 부채널 공격에 취약함을 보여준다.
연구진은 또한 다중 컨테이너 실행, 다른 마이크로아키텍처 환경, 샘플 크기 변화 등에 대한 추가 실험을 수행했다.
이를 통해 제안된 공격이 실용적이고 효과적임을 입증했다.
마지막으로 주파수 노이즈 주입 기반의 대응 기술을 제안했다.
Stats
네이티브 Linux 환경에서 126개 Docker 이미지에 대한 정확도는 84.5%였다.
gVisor 환경에서 126개 Docker 이미지에 대한 정확도는 71.2%였다.
Firecracker 환경에서 126개 Docker 이미지에 대한 정확도는 73.04%였다.
Gramine(Intel SGX) 환경에서 50개 Docker 이미지에 대한 정확도는 91.4%였다.
AMD SEV 환경에서 107개 Docker 이미지에 대한 정확도는 79.8%였다.
Quotes
"CPU 주파수 정보를 활용하여 컨테이너 이미지를 정확하게 식별할 수 있다."
"현재 사용되는 샌드박스 기술들이 동적 주파수 기반 부채널 공격에 취약함을 보여준다."