라이어와 동료들의 원격 인증 스킴 보안 분석

본 논문은 라이어 등(2006)이 제안한 스마트카드 기반 원격 사용자 인증 스킴을 체계적으로 분석하고, 그 보안성을 평가한다. 먼저 스킴의 전체 흐름을 다섯 단계로 정리한다. 등록 단계에서는 사용자가 ID와 비밀번호를 서버에 전송하고, 서버는 비밀키 x와 ID를 해시한 값 vᵢ와 비밀번호를 XOR한 eᵢ 를 스마트카드에 저장한다. 여기서 전송 채널이 보호되지 않을 경우 비밀번호가 평문으로 노출될 위험이 있다. 로그인 단계에서는 스마트카드가 난수 Nᵢ 를 생성하고, eᵢ와 입력된 비밀번호 PWᵢ 를 XOR한 뒤 Nᵢ 와 함께 해시를 수행해 Cᵢ 를 만든다. 이후 가 서버로 전송된다. 서버는 ID를 확인하고 v′ᵢ = h(ID, x) 로부터 Cᵢ 를 검증한다. 그러나 서버는 Nᵢ 의 일회성 사용을 검사하지 않으며, 동일한 로그인 메시지를 재전송해도 인증이 통과한다. 이는 재전송 공격을 가능하게 하며, 서버와 사용자의 상호 인증이 무력화된다. 검증 단계에서 서버는 새로운 난수 Nₛ 를 생성하고, 이를 v′ᵢ 로 암호화해 스마트카드에 전달한다. 스마트카드는 eᵢ ⊕ PWᵢ 로 복호화해 Nᵢ 와 Nₛ 를 확인한다. 이 과정에서 스마트카드에 저장된 eᵢ 가 물리적으로 탈취될 경우, 공격자는 Cᵢ = h(eᵢ ⊕ PWᵢ, Nᵢ) 식을 이용해 오프라인 사전 공격을 수행할 수 있다. 즉, 비밀번호 후보를 대입해 해시값을 비교함으로써 PWᵢ 를 복구할 가능성이 존재한다. 세션 키 교환 단계는 전통적인 Diffie‑Hellman 방식을 사용한다. 서버는 α^{Nₛ} 를 계산해 스마트카드에 전송하고, 스마트카드는 α^{Nᵢ} 를 서버에 전송한다. 양측은 각각 (α^{Nᵢ})^{Nₛ} 와 (α^{Nₛ})^{Nᵢ} 를 계산해 동일한 공유 비밀 K 를 얻는다. 그러나 이 과정에는 인증 절차가 없으며, 공격자는 중간자 역할을 수행해 자신의 난수 α^{Nₐ} 를 삽입하고, 양측이 자신과 공유하는 Kₐ 를 계산하도록 만든다. 결과적으로 공격자는 세션 키를 완전히 장악하고, 이후 교환되는 모든 데이터에 대한 기밀성·무결성을 위협한다. 비밀번호 변경 단계는 eᵢ 를 e′ᵢ = eᵢ ⊕ PWᵢ ⊕ PW′ᵢ 로 단순히 업데이트한다. 이 방식은 기존 비밀번호가 스마트카드에 남아 있거나, eᵢ 가 이미 노출된 상황에서 새로운 비밀번호가 XOR 연산만으로 교체되므로, 비밀번호 변경 자체가 보안 강화에 기여하지 않는다. 종합적으로, 라이어와 동료들의 스킴은 다음과 같은 심각한 보안 결함을 가진다. 첫째, 등록 단계에서 비밀번호가 보호되지 않은 채 전송될 수 있다. 둘째, 로그인 단계에서 재전송 공격을 방지하는 메커니즘이 부재하다. 셋째, 스마트카드에 저장된 비밀값(eᵢ) 가 물리적 탈취 시 오프라인 사전 공격이 가능하다. 넷째, 세션 키 교환에 인증 없는 Diffie‑Hellman 방식을 사용함으로써 중간자 공격에 취약하다. 다섯째, 비밀번호 변경 절차가 단순 XOR 연산에 의존해 보안성을 제공하지 않는다. 이러한 약점들은 실제 서비스 환경에서 인증 우회, 세션 하이재킹, 비밀번호 탈취 등 심각한 위협을 초래한다. 논문은 이러한 문제점을 지적하고, 보다 안전한 설계가 필요함을 강조한다.