IOMMU
개요
IOM(Input-Output Management Unit, 입출력 메모리 관리 장치)는 컴퓨터 시스템에서 입출력(I/O) 장치가모리에 직접하는 과정을 관리하고 보호하는드웨어 구성 요소입니다 IOMMU는 CPU의 MMU(Memory Management Unit)와 유사한 역할을 수행하지만, CPU 대신 주변 장치(예: GPU, 네트워크 카드, 저장 장치 등)의 메모리 접근을 제어합니다. 이 기술은 주로 DMA(Direct Memory Access)를 사용하는 장치들이 시스템 메모리에 안전하고 효율적으로 접근할 수 있도록 설계되었습니다.
IOMMU는 보안, 가상화, 시스템 안정성 향상에 중요한 역할을 하며, 특히 가상 머신(VM) 환경에서 물리적 장치를 가상 머신에 직접 할당하는 직접 장치 할당(Passthrough) 기술에 필수적입니다.
IOMMU의 주요 기능
IOMMU는 장치가 사용하는 물리적 I/O 주소(IOVA, I/O Virtual Address)를 실제 시스템 메모리의 물리 주소(PA, Physical Address)로 변환합니다. 이는 MMU가 프로세스의 가상 주소를 물리 주소로 변환하는 것과 유사한 메커니즘입니다.
- 장치는 IOVA를 사용하여 메모리에 접근
- IOMMU는 IOVA를 PA로 매핑하여 실제 메모리 접근 수행
- 이 과정은 장치 드라이버나 운영체제에 투명하게 이루어짐
IOMMU는 장치가 허가되지 않은 메모리 영역에 접근하는 것을 방지함으로써 시스템 보안을 강화합니다.
- DMA 공격 방지: 악성 또는 오작동 장치가 커널 메모리나 다른 프로세스의 메모리를 읽거나 쓰는 것을 차단
- 가상화 환경에서 VM 간 메모리 격리 보장
가상 머신에서 물리적 장치를 직접 사용하려면, 장치가 VM의 가상 메모리 주소 공간에 접근할 수 있어야 합니다. IOMMU는 이 문제를 해결하기 위해 장치의 DMA을 VM의 물리 메모리로 안전하게 리다이렉션합니다.
- Intel VT-d(Virtualization Technology for Directed I/O)
- AMD-Vi(AMD Virtualization with IOMMU)
- 이들 기술은 각각 Intel과 AMD CPU 아키텍처에서 IOMMU를 구현한 표준
IOMMU의 작동 원리
주소 변환 테이블
IOMMU는 페이지 테이블(Page Table) 기반의 주소 변환 메커니즘을 사용합니다. 이 테이블은 운영체계 또는 하이퍼바이저에 의해 설정되며, IOMMU가 이를 참조하여 DMA 요청을 처리합니다.
- 테이블 구조는 x86-64 아키텍처에서 사용하는 4단계 페이지 테이블과 유사
- 각 엔트리는 유효성, 읽기/쓰기 권한, 캐시 가능 여부 등의 속성을 포함
IOMMU는 메모리 주소 변환 외에도 인터럽트(Interrupt)를 리매핑하는 기능을 제공합니다.
- 장치가 발생시키는 인터럽트를 특정 CPU 또는 가상 머신으로 라우팅
- 보안 인터럽트 관리 및 가상화 환경에서의 정확한 인터럽트 처리 가능
주요 구현 기술
| 제조사 |
기술 이름 |
설명 |
| Intel |
VT-d (Virtualization Technology for Directed I/O) |
IOMMU 기능을 제공하며, PCIe 장치의 DMA 보호 및 가상화 지원 |
| AMD |
AMD-Vi (formerly AMD IOMMU) |
AMD 프로세서 및 칩셋에 내장된 IOMMU 구현 |
| ARM |
SMMU (System Memory Management Unit) |
ARM 아키텍처 기반 SoC에서 사용되는 IOMMU 표준 |
이들 기술은 UEFI BIOS 설정에서 활성화할 수 있으며, 운영체제(예: Linux, Windows)에서 IOMMU를 인식하고 활용할 수 있도록 드라이버 및 커널 지원이 필요합니다.
사용 사례
1. 가상 머신에서의 장치 Passthrough
- KVM/QEMU, VMware 등에서 GPU, NIC 등을 특정 VM에 직접 할당
- IOMMU 없이는 장치가 호스트 시스템의 전체 메모리에 접근할 수 있어 위험
2. 보안 강화
- DMA 공격 방어: Thunderbolt, FireWire 등 고속 인터페이스를 통한 악성 접근 방지
- 예: Linux의
[intel_iommu=on](/doc/%EA%B8%B0%EC%88%A0/%EC%9A%B4%EC%98%81%EC%B2%B4%EC%A0%9C/Linux/intel_iommu%3Don) 부트 옵션 활성화 시 DMA 보호 가능
3. 컨테이너 및 에지 컴퓨팅
- 장치 격리가 필요한 컨테이너 환경에서 IOMMU 기반 보안 강화
- 에지 디바이스에서 다중 애플리케이션 간 리소스 격리
Linux에서의 IOMMU 설정
Linux 커널은 IOMMU를 지원하며, 부트 파라미터를 통해 활성화할 수 있습니다.
# Intel 시스템에서 IOMMU 활성화
intel_iommu=on iommu=pt
# AMD 시스템에서 IOMMU 활성화
amd_iommu=on
# dmesg로 IOMMU 활성화 확인
dmesg | grep -i iommu
또한, 장치 그룹(Device IOMMU Group)은 /sys/kernel/iommu_groups/ 디렉터리에서 확인 가능하며, Passthrough 설정 시 중요한 정보입니다.
참고 자료 및 관련 문서
IOMMU는 현대 컴퓨터 아키텍처에서 보안과 가상화의 핵심 요소로 자리 잡고 있으며, 클라우드 인프라, 엔터프라이즈 서버, 고성능 컴퓨팅 환경에서 필수적인 기술로 평가받고 있습니다.
# IOMMU
## 개요
**IOM**(Input-Output Management Unit, 입출력 메모리 관리 장치)는 컴퓨터 시스템에서 입출력(I/O) 장치가모리에 직접하는 과정을 관리하고 보호하는드웨어 구성 요소입니다 IOMMU는 CPU의 MMU(Memory Management Unit)와 유사한 역할을 수행하지만, CPU 대신 주변 장치(예: GPU, 네트워크 카드, 저장 장치 등)의 메모리 접근을 제어합니다. 이 기술은 주로 **DMA**(Direct Memory Access)를 사용하는 장치들이 시스템 메모리에 안전하고 효율적으로 접근할 수 있도록 설계되었습니다.
IOMMU는 보안, 가상화, 시스템 안정성 향상에 중요한 역할을 하며, 특히 가상 머신(VM) 환경에서 물리적 장치를 가상 머신에 직접 할당하는 **직접 장치 할당**(Passthrough) 기술에 필수적입니다.
---
## IOMMU의 주요 기능
### 1. 가상 주소 변환
IOMMU는 장치가 사용하는 **물리적 I/O 주소**(IOVA, I/O Virtual Address)를 실제 시스템 메모리의 **물리 주소**(PA, Physical Address)로 변환합니다. 이는 MMU가 프로세스의 가상 주소를 물리 주소로 변환하는 것과 유사한 메커니즘입니다.
- 장치는 IOVA를 사용하여 메모리에 접근
- IOMMU는 IOVA를 PA로 매핑하여 실제 메모리 접근 수행
- 이 과정은 장치 드라이버나 운영체제에 투명하게 이루어짐
### 2. 메모리 보호 및 격리
IOMMU는 장치가 허가되지 않은 메모리 영역에 접근하는 것을 방지함으로써 시스템 보안을 강화합니다.
- DMA 공격 방지: 악성 또는 오작동 장치가 커널 메모리나 다른 프로세스의 메모리를 읽거나 쓰는 것을 차단
- 가상화 환경에서 VM 간 메모리 격리 보장
### 3. 가상화 지원
가상 머신에서 물리적 장치를 직접 사용하려면, 장치가 VM의 가상 메모리 주소 공간에 접근할 수 있어야 합니다. IOMMU는 이 문제를 해결하기 위해 **장치의 DMA을 VM의 물리 메모리로 안전하게 리다이렉션**합니다.
- **Intel VT-d**(Virtualization Technology for Directed I/O)
- **AMD-Vi**(AMD Virtualization with IOMMU)
- 이들 기술은 각각 Intel과 AMD CPU 아키텍처에서 IOMMU를 구현한 표준
---
## IOMMU의 작동 원리
### 주소 변환 테이블
IOMMU는 **페이지 테이블**(Page Table) 기반의 주소 변환 메커니즘을 사용합니다. 이 테이블은 운영체계 또는 하이퍼바이저에 의해 설정되며, IOMMU가 이를 참조하여 DMA 요청을 처리합니다.
- 테이블 구조는 x86-64 아키텍처에서 사용하는 4단계 페이지 테이블과 유사
- 각 엔트리는 유효성, 읽기/쓰기 권한, 캐시 가능 여부 등의 속성을 포함
### 인터럽트 리매핑
IOMMU는 메모리 주소 변환 외에도 **인터럽트**(Interrupt)를 리매핑하는 기능을 제공합니다.
- 장치가 발생시키는 인터럽트를 특정 CPU 또는 가상 머신으로 라우팅
- 보안 인터럽트 관리 및 가상화 환경에서의 정확한 인터럽트 처리 가능
---
## 주요 구현 기술
| 제조사 | 기술 이름 | 설명 |
|--------|-----------|------|
| Intel | VT-d (Virtualization Technology for Directed I/O) | IOMMU 기능을 제공하며, PCIe 장치의 DMA 보호 및 가상화 지원 |
| AMD | AMD-Vi (formerly AMD IOMMU) | AMD 프로세서 및 칩셋에 내장된 IOMMU 구현 |
| ARM | SMMU (System Memory Management Unit) | ARM 아키텍처 기반 SoC에서 사용되는 IOMMU 표준 |
이들 기술은 UEFI BIOS 설정에서 활성화할 수 있으며, 운영체제(예: Linux, Windows)에서 IOMMU를 인식하고 활용할 수 있도록 드라이버 및 커널 지원이 필요합니다.
---
## 사용 사례
### 1. 가상 머신에서의 장치 Passthrough
- KVM/QEMU, VMware 등에서 GPU, NIC 등을 특정 VM에 직접 할당
- IOMMU 없이는 장치가 호스트 시스템의 전체 메모리에 접근할 수 있어 위험
### 2. 보안 강화
- DMA 공격 방어: Thunderbolt, FireWire 등 고속 인터페이스를 통한 악성 접근 방지
- 예: Linux의 `intel_iommu=on` 부트 옵션 활성화 시 DMA 보호 가능
### 3. 컨테이너 및 에지 컴퓨팅
- 장치 격리가 필요한 컨테이너 환경에서 IOMMU 기반 보안 강화
- 에지 디바이스에서 다중 애플리케이션 간 리소스 격리
---
## Linux에서의 IOMMU 설정
Linux 커널은 IOMMU를 지원하며, 부트 파라미터를 통해 활성화할 수 있습니다.
```bash
# Intel 시스템에서 IOMMU 활성화
intel_iommu=on iommu=pt
# AMD 시스템에서 IOMMU 활성화
amd_iommu=on
# dmesg로 IOMMU 활성화 확인
dmesg | grep -i iommu
```
또한, 장치 그룹(Device IOMMU Group)은 `/sys/kernel/iommu_groups/` 디렉터리에서 확인 가능하며, Passthrough 설정 시 중요한 정보입니다.
---
## 참고 자료 및 관련 문서
- [Intel VT-d 기술 문서](https://www.intel.com/content/www/us/en/virtualization/virtualization-technology/intel-virtualization-technology.html)
- [AMD-Vi 기술 개요](https://www.amd.com/en/support/tech-docs)
- [Linux Kernel IOMMU Documentation](https://www.kernel.org/doc/html/latest/driver-api/iommu.html)
- [PCI-SIG I/O Virtualization (IOV) 표준](https://pcisig.com/)
---
IOMMU는 현대 컴퓨터 아키텍처에서 보안과 가상화의 핵심 요소로 자리 잡고 있으며, 클라우드 인프라, 엔터프라이즈 서버, 고성능 컴퓨팅 환경에서 필수적인 기술로 평가받고 있습니다.