Intel CET (Control-flow Enforcement Technology)

개요

Intel CET(Control-flow Enforcement Technology)는 리턴 지향 프로그래밍(ROP) 및 점프 지향 프로그래밍(JOP) 등 런타임 메모리 조작 공격을 방지하기 위해 인텔이 설계한 하드웨어 기반 보안 기술입니다. 이는 CPU 레벨에서 제어 흐름 무결성을 강화함으로써 소프트웨어만으로는 막기 어려운 취약점을 보완합니다. Windows 10/11, Linux 커널 등 주요 운영체제에서 지원되며, 최신 하드웨어 보안 전략의 핵심 요소로 부상하고 있습니다.

---

1. 개념 및 정의

구분	내용
정의	런타임 제어 흐름 무결성을 하드웨어 수준에서 보장하는 CPU 보안 기능
목적	ROP/JOP 기반 제로데이 공격 차단
필요성	기존 DEP, ASLR 우회 공격 증가에 따른 하드웨어 방어 기술 필요

---

2. 특징

특징	설명	차별점
Shadow Stack	원래의 리턴 주소를 보호용 메모리에 복사	ROP 방지 핵심 메커니즘
Indirect Branch Tracking	허가된 코드 경로만 분기 가능	JOP/COOP 방지 역할 수행
하드웨어 내장형	CPU 마이크로아키텍처 수준에 구현	소프트웨어만으로는 불가능한 보호

Intel CET는 기존 소프트웨어 보안 기법을 보완하여 다층적 방어를 가능케 합니다.

---

3. 기술 구성 요소

구성 요소	설명	역할
Shadow Stack	호출된 함수의 리턴 주소를 별도 메모리 공간에 저장	ROP 방어 및 무결성 검증
ENDBR(End Branch) 명령어	Indirect Call/Jump 앞에 삽입	CET 유효 진입점 명시
IBT(Indirect Branch Tracking)	잘못된 브랜치 경로를 탐지 및 차단	JOP 방지의 핵심 기능
CET 활성화 플래그	운영체제 및 애플리케이션의 CET 지원 여부 설정	동적 보안 정책 관리

특히 Shadow Stack은 함수 복귀 주소를 보호함으로써 ROP 공격에 매우 효과적입니다.

---

4. 운영체제 및 아키텍처 지원

플랫폼	지원 현황	비고
Windows 10/11	Core Isolation → Memory Integrity 옵션으로 설정 가능	Windows Defender Exploit Guard와 통합
Linux (v5.10+)	GCC/Clang 컴파일러 플래그로 활성화 가능	glibc 및 커널 수준 지원 필요
Intel CPU	11세대 Tiger Lake 이후	CET 지원 여부는 CPUID 확인 필요

소프트웨어는 CET를 인식하고 대응할 수 있어야 하며, 운영체제 커널 및 컴파일러와의 통합이 중요합니다.

---

5. 장점 및 기대 효과

항목	설명	기대 효과
런타임 공격 방어	ROP, JOP 등 복잡한 공격 차단	제로데이 공격 대응력 향상
하드웨어-소프트웨어 연계	OS, 애플리케이션과 긴밀한 연동	다층 보안 아키텍처 구현
성능 영향 최소화	대부분 하드웨어 처리로 오버헤드 낮음	실사용 환경에서도 높은 효율성

기존 보안 기능(DEP/ASLR)을 우회한 공격 시나리오에서도 효과적으로 작동합니다.

---

6. 도입 고려사항 및 실무 적용 팁

항목	설명	참고사항
호환성 이슈	오래된 소프트웨어는 ENDBR 미삽입으로 실행 오류 발생 가능	앱 재컴파일 또는 예외 목록 구성 필요
커널/컴파일러 지원	CET 활성화 위해 최신 GCC/Clang 및 glibc 필요	배포환경에 따라 테스트 필요
관리 정책	CET 로그 수집 및 이벤트 모니터링 체계 필요	SOC/SIEM 통합 고려

보안성을 높이기 위해서는 시스템 단위 정책 수립과 운영체제/펌웨어 수준의 점검이 병행되어야 합니다.

---

7. 결론

Intel CET는 제어 흐름 위조 공격에 대한 근본적인 방어를 가능하게 하는 최신 보안 기술입니다. Shadow Stack과 IBT 기술을 통해 메모리 오류 및 리턴 주소 조작에 강력하게 대응하며, 소프트웨어 보안의 한계를 보완하는 하드웨어 중심의 보안 전략으로 각광받고 있습니다.