스마트카드 기반 원격 인증의 함정: Yoon 등 설계의 비밀 변경 및 병렬 세션 취약점 분석

본 논문은 Yoon et al.이 제안한 스마트카드 기반 원격 사용자 인증 스킴을 상세히 검토하고, 특히 비밀번호 변경 단계와 병렬 세션 공격에 대한 취약성을 규명한다. Yoon 등은 기존 Ku‑Chen 스킴의 반사 공격과 내부자 공격을 보완하기 위해 비밀번호 변경 절차를 수정했지만, 설계상의 근본적인 결함을 남겨두었다. 먼저, 등록 단계에서 사용자는 임의의 b를 선택하고 PW_S = f(b⊕PW)를 계산해 AS에 전송한다. AS는 EID = (ID‖n)와 비밀 키 x를 이용해 V = f(EID⊕x)와 R = V⊕PW_S를 생성하고, 이를 스마트카드에 저장한다. 로그인 단계에서는 스마트카드가 C₁ = R⊕f(b⊕PW)와 C₂ = f(C₁⊕T_U)를 계산해 (ID, C₂, T_U)를 서버에 전송한다. 서버는 C₂와 f(V⊕T_U)를 비교해 인증을 수행하고, 성공 시 C₃ = f(V⊕T_S)를 클라이언트에 반환한다. 클라이언트는 C₃와 f(C₁⊕T_S)를 비교해 서버를 인증한다. 비밀번호 변경 단계는 사용자가 현재 비밀번호 PW를 입력하면 스마트카드가 V* = R⊕f(b⊕PW)를 계산하고, 이를 저장된 V와 비교한다. 일치하면 사용자는 새 비밀번호 PW_new을 입력하고, R_new = V*⊕f(b⊕PW_new)으로 R을 교체한다. 논문은 이 단계가 외부 공격자와 내부자 모두에게 취약함을 입증한다. 스마트카드 내부에 저장된 V, R, b가 물리적 공격(전력 분석, 전자파 분석 등)으로 탈취될 경우, 공격자는 R과 b를 이용해 임의의 PW*를 대입해 C₁* = R⊕f(b⊕PW*)를 계산하고, C₂* = f(C₁*⊕T_U)와 실제 전송된 C₂를 비교함으로써 비밀번호를 오프라인 사전 공격으로 복원한다. 복원된 PW를 사용하면 V*와 V가 일치함을 확인하고, 새로운 PW_new을 자유롭게 설정해 R을 교체할 수 있다. 결과적으로 정당 사용자는 기존 스마트카드와 비밀번호로는 로그인할 수 없게 된다. 내부자 공격 측면에서는, AS는 등록 단계에서 PW_S와 V, R을 모두 알고 있다. 내부자가 일시적으로 사용자의 스마트카드를 확보하면, V를 직접 제공하거나 PW_S를 이용해 V*를 계산하고, 새로운 비밀번호를 입력해 R_new을 생성한다. 이는 AS 내부자가 사용자를 완전히 대체하거나, 사용자의 인증 정보를 임의로 변경할 수 있음을 의미한다. 병렬 세션 공격에 대해서도 논문은 상세히 설명한다. 공격자는 정상 사용자가 전송한 로그인 요청 C와 서버가 반환한 (C₃, T_S)를 가로채고, C₃를 C₂로 재사용해 새로운 로그인 요청 C_f = (ID, C₃, T_S)를 서버에 전송한다. 서버는 시간 검증(T_S* ≠ T_S)만 수행하고, C₃가 f(V⊕T_S)와 일치함을 확인하면 인증을 허용한다. 이는 로그인 단계와 서버 응답 단계가 동일한 해시 연산을 사용함으로써 발생하는 구조적 결함이다. 따라서 동일한 해시값을 재활용해 인증을 우회할 수 있다. 결론적으로, Yoon et al.이 제시한 스킴은 비밀번호 변경 단계에서 스마트카드 내부 비밀이 노출될 경우 완전한 권한 탈취가 가능하고, 내부자 역시 동일한 절차를 통해 비밀번호를 임의로 변경할 수 있다. 또한, 병렬 세션 공격에 대한 방어가 설계에 포함되지 않아, 네트워크 상에서 메시지를 재전송함으로써 인증을 위조할 수 있다. 이러한 취약점은 스마트카드 기반 원격 인증 시스템이 물리적 보안, 내부자 위협, 그리고 프로토콜 레벨의 재전송 방어를 모두 고려해야 함을 강조한다.