현대 iOS 보안 기능 – SPTM, TXM, 그리고 Exclaves 심층 분석

(arxiv.org)

Apple 운영체제의 XNU 커널은 기본적으로 단일 신뢰 영역을 제공해왔음
최근 커널 아키텍처 분리 및 마이크로커널화를 통해 보안 취약점의 영향을 줄이기 위한 변화 시도 진행
2023년 도입된 Secure Page Table Monitor (SPTM) 로 인해 핵심 기능 분리와 새로운 신뢰 도메인 구조 형성
Exclaves 및 Trusted Execution Monitor (TXM) 등 최신 보안 메커니즘이 SPTM 기반으로 구현됨
이런 구조 개선은 커널 침해 발생 시에도 시스템 전체 신뢰도 하락을 즉시 초래하지 않음

개요

Apple의 운영체제 핵심인 XNU 커널은 하이브리드 커널로 불리지만 실제로는 단일 특권 신뢰 구역에 모든 시스템 기능이 집약된 일종의 모놀리식 구조로 운용됨. 이 때문에 커널 침해 시 전체 시스템이 즉각적으로 심각한 위협을 받는 문제가 존재. 최근 Apple은 커널을 보다 분할하고 마이크로커널식 설계에 가까워지도록 개선, 예를 들어 페이지 테이블 조작이나 암호화 관련 주요 기능을 커널 영역 밖으로 옮김.

주요 변화 동기 및 연구 방향

보안 강화를 위한 커널 구조 개선 필요성 부각
커널 취약점 악용 시 시스템 전체에 미치는 악영향 최소화 목표
SPTM 등 새로운 메커니즘이 실제 어떻게 설계·작동하는지 과학적으로 분석한 선행 연구 부족
본 논문에서는 이러한 미공개 신기능들을 체계적으로 조사, 현행 모든 보안 장치들의 상호작용과 효과 정리

SPTM (Secure Page Table Monitor) 핵심 메커니즘

SPTM은 Guarded Level 2(최상위 특권 레벨)에서 Guarded Execution Feature (GXF) 와 함께 동작하는 시스템 내 최고 권한의 컴포넌트임
GXF는 기존 AArch64의 예외 레벨 구조에 수평적 보호 레벨을 추가, 시스템 민감 활동을 XNU로부터 직접적 접근에서 격리함
SPTM은 프레임 리타이핑 및 메모리 매핑 규칙 기반으로 신뢰 도메인(domain of trust)을 제공, 각 기능별로 영역을 분리함
이 신뢰 도메인의 대표적 예로 TXM(코드 서명, 권한 검증 담당)과 Exclaves(최신 영역 분리 보안 기능) 등이 존재

Exclaves 및 통신 메커니즘

Exclaves는 독립된 신뢰 구역에서 동작하는 실행 환경으로, SPTM 기반 메모리 보호·통제 체계에 의존
Exclaves와 시스템 간 통신은 xnuproxy(보안 요청 핸들러)와 Tightbeam IPC 프레임워크 등 다양한 방식으로 구현
Tightbeam은 엔드포인트 생성, 메시지 버퍼, 클라이언트-서버 연결 등 복잡한 IPC 구조를 가짐
실제 Exclaves 활용 사례로서, 프라이버시 지시등(녹화·오디오 사용 표시등 등) 조작도 분석 대상에 포함됨

보안 강화 및 향후 전망

핵심 시스템 기능이 XNU 직접 접근에서 분리됨에 따라 커널이 침해되더라도 시스템 전체 신뢰 수준이 보존되는 추가 안전장치 마련
SPTM·Exclaves·TXM 간 상호작용에 대해 정밀 분석 결과, 이전보다 훨씬 강력한 단계적 보호 체계 형성
논문의 결론에서는 SPTM 도입 이후 현황 및 앞으로의 보안 강화 가능성, 잔존 한계점, 후속 연구 방향 간략 제시

구성 및 심층 내용 안내

1장: 동기–목표–구성

Apple 커널 분할 움직임의 역사적 맥락 및 연구 필요성
본 연구의 기여점 강조

2장: 배경 및 기초

AArch64 아키텍처의 예외 레벨, 메모리 접근 방식, Apple 칩의 특수 보호 기법(Fast Permission Restrictions, Page Protection Layer, Guarded Execution Feature, Shadow Permission Remap Register) 소개
기존 보안 연구 및 한계 정리

3장: 분석 환경

대상 하드웨어·펌웨어·툴·심볼 및 Apple 전용 레지스터 설명

4장: 전체 아키텍처 설계 개요

EL(예외 레벨)과 GL(수평 보호 레벨)을 아우르는 전체 시스템 구조 시각화

5장: SPTM 심층 구조

SPTM 기본 구성과 초기화, 호출 방식(커널·TXM·Secure Kernel) 및 헤더/디스패치 테이블 상세 해설
SPTM 내부 이벤트 처리, GENTER, SVC/HVC(관리자 콜) 처리 흐름
프레임 리타이핑 로직: 호출 및 검증, 타입/도메인별 유효성 점검, SPRR(Permission Remapping) 갱신, 호출 마무리 등 단계적 설명
페이지 매핑 프로세스 및 보안 장치

6장: Secure Kernel 역할

Secure Kernel과 SPTM 호출, SVC 처리 등 보안 운영 기초

7장: Exclaves 시스템

Exclaves 및 Exclavecore, ExclaveKit 등 주요 컴포넌트
Exclave 메모리·리소스 관리, 도메인별 그룹화, 컨클레이브(부 영역) 상태 머신, 사용자 공간 인터랙션
엔드포인트 생성·스케줄링, Mach 포트, seL4 스타일 IPC, xnuproxy, Tightbeam 등 통신 방식과 실제 사용 예시(예: 프라이버시 인디케이터)

8장: TXM (Trusted Execution Monitor)

TXM의 SPTM 연동 방식, 디스패치·리타이핑 및 보호 영역 운영 구조
TXM의 보안 책임 및 호출 처리 방식 설명

9~10장: 전반적 논의 및 결론

SPTM과 Exclaves 도입에 따른 보안적 유의점, 현재 한계, 미래 방향성
연구 마무리 및 참고 자료·용어 설명 부록 제공

주요 용어 해설

XNU: Apple 운영체제의 핵심 커널로, ‘X is Not Unix’의 약자
SPTM: 메모리 보호와 분할을 통한 신뢰 도메인 부여 핵심 모듈
TXM: 코드 서명 검증 등 민감 작업 담당 보안 감독자
Exclaves: 별도의 물리적·논리적 영역에서 격리 실행되는 신뢰 보안 환경
Tightbeam IPC: Exclaves와 시스템 간 안전한 통신 지원 프레임워크
GXF/GL: AArch64 기준의 보호 예외 레벨, 여기에 더한 Guarded Level 기반 수평 신뢰구역 제어 기능

결론

현대 iOS의 보안 구조는 SPTM·TXM·Exclaves를 중심으로 신뢰도 분리와 역할 분담을 극대화하는 방향으로 진화하는 중임. 이러한 계층적 보호 체계는 커널 하위 계층 침해 리스크를 획기적으로 줄이고, 미래의 보안 위협에도 견고히 대응할 수 있는 기술적 기반을 제공함.

▲

GN⁺ 8시간전 [-]

Hacker News 의견

SEAR과 Apple 팀이 iOS 보안에서 정말 훌륭하게 일해 주고 있다는 생각임, 이 점에서 큰 칭찬을 보내고 싶음
하드웨어 레벨부터 모든 스택 전체에 보안 기능을 심는 노력도 멋지고, 실제로 ITW(현실 공격) 익스플로잇을 살펴보고 이를 막는 방법도 계속 연구함
예를 들어 PPL 같은 기능을 도입해봤지만 완벽하지 않다는 결론이 나면 과감히 버리고 새로운 기법을 찾아감
Apple은 수직 통합 구조라 이런 일이 Android에 비해 훨씬 수월함. Android에선 하드웨어 업체(QC, Mediatek)에 협업 요청을 하고, linux 커널, AOSP, LLVM upstream 등 여러 단계를 거쳐야 함
Pointer Authentication Codes(PAC)도 좋은 사례임. Apple은 “우리가 해보자”는 자세로 자체 LLVM 브랜치를 유지하며 도입했고, 실제로 ITW 기반 공격을 보완해 문제를 해결함
- 나는 Apple 제품을 사는 이유가 단순히 보안과 프라이버시가 뛰어나기 때문만이 아니라, Apple이 이런 기능을 돈벌이를 위해 반드시 해야만 하는 일이 아님에도 불구하고 열정을 갖고 진심으로 추진하기 때문임
  실제론 마케팅 홍보를 넘어, 닥터 jailbreaking 커뮤니티 최고의 해커를 보안팀에 영입하고, Private Relay, 프라이빗 메일, trusted compute, multi-party inference 등 혁신을 가져옴
  물론 Apple의 위선적인 태도에 문제도 분명 있음. 예를 들어 VPN 허용(Apple 서버로 가는 트래픽은 예외), 프라이버시 보장 기본값(와이파이 콜링이나 “journaling suggestions”은 제외) 등은 아쉬움
  사실상 Apple과 일부 통신 파트너로부터는 보안이 되지 않는다는 조건이 붙긴 하지만, 그래도 Google은 “Google 또는 Google 광고 구매자 외 모두에게 안전합니다”라는 느낌이라 Apple이 훨씬 앞서 있다고 생각함
- 엄청난 공학적 노력을 들인 후에도, iMessage에는 의심스러운 코드가 커널에서 실행되는 경로가 여전히 남아있고, 이로 인해 0-click 익스플로잇이 계속 존재함
- 이런 노력이 가져오는 또 다른 장점은, Apple이 보안을 강화한 새 프로세서에서 코드 경로가 한 번이라도 실행되면 모든 플랫폼의 보안이 자연스럽게 높아진다는 점임
  이론적으로 정적 분석만으로는 잡기 힘든 문제도 더 쉽게 포착할 수 있고, 단순한 크래시 외에 더 깊은 인사이트도 얻을 수 있음
- Google도 사실 몇 년 전부터 MTE를 추가할 수 있었지만, Android 인증의 일환으로 OEM 강제 적용을 원하지 않았음
  OS 업데이트와 마찬가지로 비슷한 역사가 반복되는 셈임
- 현재 Apple이 보안에 신경쓰는 이유는 사용자를 보호하려는 목적만은 아님
  본질적으로 사용자가 승인받지 않은 소프트웨어를 직접 실행하거나 탈옥 같은 행위를 어렵게 만들어, App Store 독점을 유지하기 위해서임
  결국 사용자의 이익이 아닌 회사의 이익을 우선으로 한다고 봄
iOS 보안에 대해 읽을 때마다 항상 그 복잡성에 놀람
하드웨어 단계, 커널 단계, 다양한 샌드박싱 기법 등 상당한 레이어가 쌓여 있음
이런 구조가 “과거의 신뢰를 가정한 설계에 덧댄 임시방편”인지 궁금함
처음부터 다시 설계한다면 더 단순하게 만들 수 있는지, 실제로 그렇게 설계된 운영체제(OS)가 존재하는지 궁금함
- 취약점은 플랫폼에서 다양한 사용 사례를 지원할수록 피할 수 없음
  이에 대응하는 방법이 바로 다층 방어(Defence-in-depth)임
- iOS는 MacOS를 기반으로 하고, MacOS는 NeXT, 그 뿌리는 Unix임
  처음부터 낮은 사용자 신뢰를 염두에 두고 설계됨
  시대에 따라 사용자를 신뢰하는 정도도 달라졌고, 최근에는 항상 연결된 네트워크 기능과 Spectre 이후의 새로운 위협 등 점점 복잡해졌음
- 역사적 설계 결정에 대한 임시방편이라는 질문에 답하자면, 그렇다고 생각함
  Unix 보안 모델과 C 언어 기반 시스템 프로그래밍의 한계를 보완하는 노력의 결과임
  만약 처음부터 새롭게 설계한다면 capability architecture 등을 적용해 복잡성을 줄일 수 있겠지만, POSIX 호환성 문제 때문에 실제로는 대부분 학술/취미로만 존재하고 있음
  완전히 새로운 모델로 가면 기존 Unix 프로그램 대부분을 곧바로 버려야 하기 때문에 실질적 도입은 매우 어려움
- seL4는 속도가 빠르고 보안성이 뛰어나며 공식적으로 검증된 마이크로커널 구조임
  높은 수준의 접근 제어, 가상 머신 지원 등 탁월함
  seL4 마이크로커널 아키텍처 설명 글
  그러나 “나머지 부분”이 빠져있어서, 실제 운영체제라기보단 연구용에 가깝다고 생각함
- 둘 다 시도해볼 수 있지 않을까 생각함
  "하드웨어 보안"에도 고유한 신뢰전제가 있지만, 결국엔 하드코딩된 소프트웨어일 뿐이라 복잡성이 높아질수록 버그 발생 가능성도 같이 커짐
이번 Hexacon Ivan Krstić Keynote에서 Apple이 버그 바운티 프로그램을 강화한다고 발표했음
관련 공식 블로그
정기 업데이트나 앱 실행 시 평문(암호화되지 않은) 연결 문제가 아직 해결됐는지 궁금함
관련 참고 자료

답변달기