[Fault Detection] Synergy of Environmental Sensing and Voltage Control: A Dual-Factor Analysis of DRAM RowHammer

 

 

 

RowHammer는 DRAM row 근처를 집중적으로 때릴 때 해당 row에 Bit-Flip이 발생하는 취약점이다.

기존 연구는 Hardware Counter Performance 지표만 사용해서 Bit-Flip을 관찰했다면, 이번 논문에서는 하드웨어 외부 환경인 온도를 함께 관찰한다.

 

공장에서 돌아가는 엣지 디바이스들은 외부 환경이 중요할거니까.. HPC 데이터 외에도 외부 환경 데이터를 읽어야 함.

꼭 공장이 아니더라도 무거운 연산을 수행하다 보면 시스템 온도를 변화시킬 수 있고, 이 온도는 해커의 공격으로 활용될 수 있다.

즉, Bit-Flip을 온도 센서로 활용하는거임.

 

이 논문은 IoT 디바이스에서 DRAM의 온도를 감시하는 새로운 RowHammer 공격인 SpyHammer를 제안한다.

다만 DRAM 모델마다 RowHammer 공격과 온도 간의 상관관계가 서로 다름. 

 

SK Hynix, Micron에서 제조한 DRAM은 온도가 올라가면 BER이 증가한다.

다만 Samsung에서 제조한 DRAM은 온도가 올라가면 오히려 BER이 감소한다. 

 

 

 

 

 

제조사마다 상관관계의 방향이 다르고 절대적인 에러 개수가 칩마다 다르지만, 같은 모델에 대해 온도가 n도 변할 때 BER이 변하는 정도를 그래프로 시각화하면 똑같이 나타남을 확인할 수 있음.

그러니 공격자는 DRAM과 똑같은 모델을 구매해서 테스트해보고 그래프를 그려본다면 시스템의 에러 변화만 보고 온도를 측정할 수 있다.

 

SpyHammer는 에러가 났는지 안 났는지에 집중하는게 아니라, 에러의 개수와 온도의 관계를 측정하는 것.

 

 

 

---

 

 

 

 

DRAM Bender를 사용해 온도를 조절하고, 간섭을 제거해 모든 에러가 RowHammer때문에 터지는 환경을 구축함.

50도에서 95도까지 1도 단위로 테스트 했을 때 온도 변화를 측정해보면 아래와 같이 나온다.

 

 

 

 

 

제조사별로 온도와 BER간의 상관관계를 보여준다. 

삼성 말고는 온도가 증가함에 따라 Bit-Flip Per Row 도 증가함을 확인할 수 있음. 

 

 

 

 

 

 

DRAM 모듈을 48개의 영역으로 쪼개서 테스트해보면 DRAM의 어느 부분을 때려도 온도와 에러의 상관관계가 동일하게 나타남을 알 수 있음.

그러니 DRAM이면 다 적용할 수 있다는거임. 

 

 

 

 

 

 

실제 온도와 공격자가 추측한 온도의 차이를 관찰해보면, 정규분포와 비슷한 형태를 확인할 수 있음.

즉, 오차가 0일 확률이 가장 높은 것.. DRAM의 특성을 미리 알고 있다면 오차 없이 온도를 예측할 수 있다. 

 

SpyHammer의 목표는 DRAM의 Bit-Flip을 온도계로 사용해 DRAM의 온도를 추정하는 것.

즉, "RowHammer 공격을 수행했더니 에러가 n개 발생했다"라는 정보를 사용해 그 디바이스의 온도를 예측한다.

 

 

---

 

 

 

일단 큰 주제는 외부 환경 + HPC 지표로 Fault Detection 모델을 구현하는거니까, 온도 말고도 다른 요인을 고려할 수 있음.

이번에는 전압을 고려해보자.

 

Wordline은 전선으로 생각해면 됨. 워드라인 전압 (Vpp)는 전선에 가해주는 전압을 의미한다.

 

RowHammer로 DRAM의 특정 row를 계속 때리면 해당 row의 Wordline 전압을 저전압과 고전압 사이에서 번갈아 변화시킬 수 있음.

Wordline 전압이 흔들리면 해당 row와 인접한 row에서 간섭이 발생해 Bit-Flip으로 이어진다.

 

이 논문에서는 Vpp를 낮춰서 Bit-Flip을 줄이자는 접근을 사용한다.

제조사는 DRAM을 만들 때 최악의 상황을 가정해 Guardband를 넉넉하게 잡으니 이걸 조금만 깎아서 RowHammer 방어에 사용한다는 전략을 사용함.

 

Vpp를 낮추면 인접한 row에 가해지는 강도 자체가 약해지기에 RowHammer를 통한 Bit-Flip 성공률이 낮아질 수 밖에 없다.

DRAM 테스트 플랫폼인 SoftMC를 수정해서 테스트 인프라를 구축함.

 

 

 

 

 

전압이 낮아질수록 Bit-Flip이 감소한다. 2.5V가 정상 전압이고, 왼쪽으로 갈수록 전압이 낮아짐. 

BER을 정규화해서 2.5V일 때 1.0만큼의 에러가 발생했다면 Vpp를 낮출수록 에러가 낮아짐을 확인할 수 있음. 

 

 

 

 

 

 

전압이 낮아질수록 강도가 낮아지니 Bit-Flip을 발생시키기 위해 RowHammer로 더 많이 때려야 한다.

다만, Vpp를 너무 낮추면 부작용이 생길 수 있음.

 

전압을 낮추면 트랜지스터가 문을 천천히 열기에 대기시간이 길어진다. 

2.5V 에서 2.0V 까지는 Guardband 덕분에 아무런 에러가 발생하지 않지만, 2.0V보다 더 낮추면 시스템이 데이터를 읽지 못하는 Read Fault 상태에 빠진다.

 

 

 

 

 

 

참고문헌

1. SpyHammer: Understanding and Exploiting RowHammer under Fine-Grained Temperature Variations

https://arxiv.org/abs/2210.04084

2. Understanding RowHammer Under Reduced Wordline Voltage: An Experimental Study Using Real DRAM Devices

https://arxiv.org/abs/2206.09999