BTI (Branch Target Injection)

개요

**Branch Target Injection(BTI)**는 사이드 채널 공격의 일종인 Spectre Variant 2로, CPU의 분기 예측(Branch Prediction)을 악용하여 비정상적인 경로로 명령어를 실행시키고, 민감한 정보를 유출할 수 있게 하는 취약점입니다. 이에 대응하는 BTI 방어 기술은 하드웨어 및 소프트웨어 계층에서 이 공격을 차단하고 시스템 보안을 강화하는 데 사용됩니다.

---

1. 개념 및 정의

BTI 공격은 공격자가 간접 분기 명령어(indirect branch)의 예측 경로를 제어함으로써, 정상적인 코드 흐름을 벗어난 임의의 메모리 접근을 유도할 수 있도록 합니다. 이를 통해 캐시 상태 등을 관측해 민감한 데이터를 추론할 수 있습니다.

이에 따라 Intel, AMD, ARM 등의 CPU 제조사와 운영체제 공급업체는 BTI 완화를 위한 다양한 방어 기법을 도입해 왔습니다.

---

2. 특징

항목	설명	효과
고성능 CPU 대상	투기 실행(speculative execution) 기능 탑재 CPU에서 발생	클라우드, 모바일, 서버 환경 모두 영향
예측 분기 조작	공격자가 분기 예측 히스토리를 오염시킴	임의 코드 실행 유도 가능
사이드 채널 기반	캐시 타이밍 등을 통한 정보 추출	메모리 격리 우회 가능

BTI는 직접적인 권한 상승 없이도, 데이터 유출을 유도할 수 있어 심각한 보안 이슈로 분류됩니다.

---

3. 구성 요소

구성 요소	설명	예시
Indirect Branch	실행 시점에 대상 주소가 결정되는 분기 명령	jmp *%rax, call *%rbx 등
Branch Predictor	이전 실행 히스토리를 기반으로 분기 대상 예측	CPU 내부 캐시 사용
Poisoning	공격자가 예측 데이터를 조작	악의적 루틴을 분기 대상으로 유도
Side-Channel Monitor	캐시 타이밍 분석 등으로 정보 추출	flush+reload, prime+probe 기법 등

BTI는 마이크로아키텍처 수준에서 동작하므로, 소프트웨어에서의 방어는 우회가 어려운 난이도 높은 기술입니다.

---

4. 기술 요소

기술 요소	설명	적용 사례
Retpoline	간접 분기를 안전하게 우회하는 컴파일 기법	GCC, LLVM에서 지원하는 컴파일러 플래그
IBRS (Indirect Branch Restricted Speculation)	CPU 수준의 투기 제한 명령	Intel CPU 마이크로코드 적용
BTI 지원 비트	ARM에서 분기 명령을 명시적으로 표시	BTI c, BTI j, BTI jc 등
BHB Invalidation	분기 히스토리 버퍼 초기화	컨텍스트 전환 시 자동 초기화

이러한 기술들은 커널 및 애플리케이션 양쪽에서 보완적으로 적용됩니다.

---

5. 장점 및 이점

장점	설명	기대 효과
투기 실행 방어	BTI로 인한 비정상 실행 차단	민감 데이터 노출 방지
커널 보호	커널 공간 분기 주소 무단 접근 차단	보안 경계 강화
성능 영향 최소화 가능	Retpoline은 대부분의 환경에서 효율적	고성능 유지 가능

BTI 완화 기술은 시스템의 기본적인 보안 체계를 근본적으로 강화하는 수단입니다.

---

6. 주요 활용 사례 및 고려사항

분야	활용 사례	고려사항
클라우드 플랫폼	하이퍼바이저 및 컨테이너 보호	호스트와 게스트 간 공유 히스토리 주의 필요
모바일 디바이스	ARM 기반 SoC에서 BTI 마킹 적용	OS 지원 여부 확인 필요
리눅스 커널	Retpoline + IBRS 조합으로 보호	마이크로코드 업데이트 필수

도입 시에는 CPU 마이크로아키텍처, 운영체제, 컴파일러 모두의 연계 대응이 필요합니다.

---

7. 결론

BTI는 투기 실행 기반 사이드 채널 공격 중에서도 가장 파급력 높은 형태 중 하나로, 하드웨어 보안의 핵심 이슈입니다. 이를 방어하기 위한 기술들은 하드웨어와 소프트웨어 전반에 걸쳐 점진적으로 표준화되고 있으며, 앞으로는 AI 모델 보호, 하이퍼바이저 보안 강화, 제로 트러스트 컴퓨팅 환경에서도 주요 요소로 자리 잡을 것입니다.