Intel CET(Control-flow Enforcement Technology) Shadow-Stack

개요

Intel CET(Control-flow Enforcement Technology)의 Shadow Stack은 소프트웨어 복귀 지점의 무결성을 하드웨어 수준에서 보호하기 위한 기능입니다. 특히 ROP(Return-Oriented Programming) 같은 제어 흐름 공격을 방어하기 위한 핵심 기능으로, Intel의 최신 프로세서(11세대 Core 이상)부터 적용되어 소프트웨어와 하드웨어의 통합 보안 프레임워크 구현을 가능케 합니다.

---

1. 개념 및 정의

Shadow Stack은 일반적인 콜스택(Call Stack)과 별도로 하드웨어에 의해 관리되는 보호된 스택으로, 함수 호출 및 반환 시 복귀 주소를 검증하여 공격자가 스택을 조작하는 것을 방지합니다.

• CET 개요: Intel의 제어 흐름 무결성 보장 기술
• Shadow Stack 역할: 복귀 주소를 별도로 저장하고, 반환 시 일치 여부 검사
• 보안 목표: ROP, Stack Pivoting 등의 메모리 공격 방지

---

2. 특징

항목	설명	기존 대비 차이점
하드웨어 기반	CPU 내 명령어 수준에서 동작	소프트웨어 보안보다 속도 및 신뢰성 우수
투명성	기존 코드 수정 없이도 적용 가능 (OS/컴파일러 지원 시)	애플리케이션 수정보다 쉬운 적용
보호 범위	복귀 주소 무결성 검증	기존 Stack Canaries보다 근본적 보호 제공

Shadow Stack은 성능 저하 없이 강력한 보안 효과를 제공합니다.

---

3. 구성 요소

구성 요소	설명	역할
Shadow Stack Pointer (SSP)	Shadow Stack 상의 현재 위치 저장	보호된 주소 공간 유지
ENDBR/ENDBR64	CET 제어 흐름 진입 검증 명령어	올바른 분기만 허용
WRSS/WRUSS	Shadow Stack에 대한 쓰기 제한 명령어	일반 접근 차단
CET 활성화 플래그	BIOS 또는 OS 레벨에서 활성화 필요	시스템 단위 설정 관리

하드웨어와 OS, 컴파일러의 협력이 Shadow Stack 구현에 필수입니다.

---

4. 기술 요소

기술 요소	설명	적용 목적
Return Address Validation	복귀 주소를 Shadow Stack과 비교	ROP 공격 방지
X86 Instruction Extension	CET 전용 명령어 추가 (ENDBR 등)	흐름 제어 강제
Exception Handling	Shadow Stack mismatch 시 예외 발생	즉각 공격 차단 및 분석 가능
OS 및 컴파일러 지원	Windows 10+, Linux Kernel 5.6+, GCC/LLVM	유효한 CET 적용 조건

하드웨어-소프트웨어 통합이 보안 신뢰도를 결정합니다.

---

5. 장점 및 이점

장점	설명	기대 효과
ROP 공격 방지	복귀 지점 조작 불가화	메모리 기반 취약점의 무력화
코드 무결성 유지	원래의 호출 흐름만 허용	악성 흐름 조기 차단 가능
시스템 신뢰성 향상	하드웨어 기반 보호로 안정성 강화	중요 인프라 및 OS 보안 강화

모던 컴퓨팅 환경에서 신뢰할 수 있는 보안 계층 확보에 유리합니다.

---

6. 주요 활용 사례 및 고려사항

사례	설명	고려사항
운영체제 커널 보호	Windows/Linux 커널 복귀 주소 보호	커널 컴파일 시 CET 활성화 필요
브라우저/자바스크립트 엔진	고빈도 호출 함수의 복귀 주소 보호	성능 최적화 고려 필수
가상화 환경 보안	하이퍼바이저 수준 공격 방지	하드웨어 지원 여부 확인 필요

기기 및 운영체제의 CET 지원 여부를 반드시 확인해야 합니다.

---

7. 결론

Intel CET의 Shadow Stack은 ROP와 같은 고도화된 메모리 공격을 방지하기 위한 근본적인 보안 메커니즘으로, 하드웨어와 소프트웨어 간 협력을 통해 시스템 신뢰성과 보안성을 동시에 확보할 수 있습니다. 점점 정교해지는 메모리 공격에 대응하기 위해, 앞으로 더 많은 플랫폼과 애플리케이션에서 Shadow Stack의 도입이 확대될 것으로 전망됩니다.