MS, TPM 대체할 보안칩 '플루톤' 공개

마이크로소프트(MS)가 윈도 데이터 암호화와 윈도 헬로 로그인 등 보안 기능을 담당하는 새로운 프로세서인 '플루톤'(Pluton)을 공개했다.

플루톤 프로세서는 지금까지 쓰였던 TPM 칩 대신 프로세서 안에 내장되며 윈도 생체 인증, 파일 암호화 등을 수행한다.

MS는 인텔과 AMD, 퀄컴 등 주요 프로세서 제조사와 협력해 이들 제조사의 CPU에도 플루톤을 탑재할 계획이다. 이들 프로세서는 이르면 내년 말부터 시장에 출시 예정이다.

■ 윈도 운영체제, 주요 보안 기능에 TPM 칩 활용

TPM(Trust Platform Module, 신뢰 플랫폼 모듈) 칩은 2000년대 초반부터 노트북과 각종 PC에 내장되기 시작한 보안 칩이다. 프로세서와는 별도로 설치되며 노트북에는 납땜 형태로, 데스크톱PC용 메인보드에는 모듈 형태로 장착된다.

MS는 2009년 출시된 윈도7부터 TPM 칩을 보안에 활용해 왔다. SSD나 하드디스크 드라이브에 저장된 파일을 암호화하는 기능인 비트로커에서 파일을 암호화하는 키를 TPM 칩에 저장했다.

2015년 출시된 윈도10부터는 비밀번호 대신 지문이나 얼굴 인식으로 윈도 로그온을 실행하는 윈도 헬로에 TPM 칩을 활용했다. 주요 PC 제조사의 기업용 노트북도 부팅에 필요한 비밀번호 등을 기록하는데 TPM 칩을 활용했다.

■ 40달러짜리 기판으로 TPM 칩 무력화 성공

문제는 최근 TPM 칩을 직접적, 혹은 간접적으로 공격해서 비트로커로 암호화된 드라이브 안 파일을 들여다 보려는 시도가 계속되고 있다는 것이다.

뉴질랜드 보안업체인 펄스 시큐리티는 지난 2019년 3월 HP 노트북과 MS 서피스 프로3에 내장된 TPM 칩을 공격해 비트로커 암호화 키를 빼내는 방법을 시연했다.

펄스 시큐리티는 이들 노트북에 내장된 TPM 칩과 4만원 내외에 팔리는 FPGA 기판을 연결한 다음 프로세서와 TPM 칩 사이에 오가는 신호를 추출한 다음 이를 바탕으로 비트로커 암호화 키를 빼냈다.

또 이 노트북에서 분리한 SSD를 다른 컴퓨터에 연결한 다음 저장된 파일의 암호화를 푸는데도 성공했다. 저장장치를 분리해 다른 PC에 연결해도 내용물을 볼 수 없게 하는 비트로커의 기능이 무력화된 것이다.

■ 별도 칩 대신 플루톤 안에 암호화 키 등 저장

MS가 공개한 플루톤은 프로세서 내부에 직접 내장되는 방식으로 작동한다. 프로세서 외부에 납땜 형태로 설치되던 TPM 칩과 달리 전선이나 별도 기판을 이용한 공격에서 안전하다.

플루톤 내장 프로세서를 탑재한 윈도 PC에서는 플루톤 프로세서가 기존 TPM 칩을 흉내내는 방식으로 작동한다. 비트로커 암호화 키는 물론 ID와 비밀번호, 개인정보 등도 플루톤 안에 저장되며 악성코드 등으로 접근할 수 없다.

이는 애플이 A시리즈 프로세서에 탑재하는 보안 모듈인 SE(시큐어 인클레이브)와 비슷한 방식이다. 애플은 아이폰5S 출시 이후 기기 잠금을 해제하는 터치ID(지문)·페이스ID(얼굴) 등 정보와 비밀번호 등을 프로세서에 내장된 SE에 저장한다.

MS는 AMD와 협조해 2013년 출시된 콘솔게임기인 X박스원에 이미 플루톤 프로세서를 탑재했다고 밝혔다. 또 2018년 MS가 공개한 사물인터넷(IoT) 기기를 위한 운영체제인 '애저 스피어'(Azure Sphere)에도 플루톤 관련 기술이 탑재되었다고 덧붙였다.

■ 이르면 내년 말 플루톤 탑재 PC 프로세서 나온다

MS는 X박스원과 애저 스피어에 플루톤 프로세서를 적용하면서 얻은 노하우를 바탕으로 인텔과 AMD, 퀄컴 등 주요 CPU 제조사와 협력해 플루톤 기술을 확대하겠다고 밝혔다.

마이크 노드퀴스트 인텔 커머셜 클라이언트 시큐리티 총괄은 "인텔은 윈도PC 보안 강화를 위해 마이크로소프트와 협력해 왔으며 향후 출시될 인텔 프로세서에 플루톤 도입을 통해 인텔 하드웨어와 윈도 운영체제의 통합이 한층 강화될 것"이라고 밝혔다.

관련기사