활성 공격자를 고려한 비부인성 프로토콜 자동 분석 방법

초록

본 논문은 비부인성 서비스와 공정성을 검증하기 위해 프로토콜 참여자의 지식 흐름을 추적하는 새로운 자동화 기법을 제안한다. 기존의 인증 기반 접근법의 한계를 지적하고, 이를 보완하기 위해 AVISPA 도구에 지식 주석을 추가하여 구현하였다. 낙관적 Cederquist‑Corin‑Dashti 프로토콜에 적용한 결과, 기존에 알려지지 않은 두 가지 공격을 발견하였다.

상세 분석

논문은 먼저 비부인성(NR) 서비스를 여섯 가지 기본 형태(NRO, NRR, NRS, NRD, 공정성, 시간성)로 정의하고, 전통적인 인증(auth) 프레디케이트를 이용해 일부 NR 서비스를 부분적으로 표현할 수 있음을 보인다. Fair Zhou‑Gollmann(FairZG) 프로토콜을 사례로 들어, NRO와 NRR을 각각 auth(B,A,NRO), auth(A,B,NRR) 등으로 매핑하지만, 이러한 매핑이 세션 식별자(L)와 키(K)와 같은 내부 상태를 충분히 캡처하지 못해 완전한 비부인성을 보장하지 못한다는 한계를 명확히 제시한다. 특히, 인증 기반 접근은 증거(evidence)의 생성·전달 순서를 검증하지 못하고, 공격자가 동일 증거를 재사용하거나 메시지 재전송을 통해 부인 방지를 회피할 가능성을 배제하지 못한다.

이를 극복하기 위해 저자들은 ‘지식 기반’ 방법을 도입한다. 각 참가자와 악성 침입자(Intruder)의 지식 집합(Knowledge)을 명시적으로 모델링하고, 프로토콜 단계마다 어떤 증거가 누구의 지식에 추가되는지를 주석(annotation) 형태로 기술한다. 이러한 주석은 기존 AVISPA의 HLPSL 언어에 간단히 삽입될 수 있으며, 도구가 자동으로 지식 전파와 도달 가능성을 계산한다. 핵심 아이디어는 비부인성 서비스를 “특정 증거가 특정 에이전트의 지식에 포함되는 시점”으로 정의하고, 그 시점이 프로토콜 전체 흐름에서 일관되게 유지되는지를 검증하는 것이다. 이 방식은 LTL이나 CSP와 같은 복잡한 논리 체계 없이도, 상태 불변식(state invariant) 형태로 비부인성 및 공정성 요구조건을 표현할 수 있게 한다.

구현 단계에서는 AVISPA의 기존 모델 체커인 OFMC와 CL-AtSe를 활용했으며, 지식 주석을 포함한 HLPSL 스펙을 작성하였다. 실험 대상으로 선택된 CCD 프로토콜은 TTP를 최소화하고 세션 레이블을 사용하지 않는 낙관적 설계이지만, 복잡한 키 교환과 증거 전달 단계가 포함된다. 도구를 통해 자동 검증을 수행한 결과, 기존 문헌에 보고되지 않았던 두 가지 새로운 공격 시나리오가 발견되었다. 첫 번째는 침입자가 TTP와의 키 교환 단계에서 키를 탈취한 뒤, 이전에 획득한 NRO 증거를 재사용해 수신자를 속이는 공격이며, 두 번째는 증거 전달 과정에서 메시지 재전송을 이용해 공정성을 깨뜨리는 공격이다. 이러한 발견은 지식 기반 접근법이 비부인성 프로토콜의 미묘한 취약점을 포착하는 데 효과적임을 입증한다.

마지막으로 저자들은 이 방법이 다른 도구나 프로토콜에도 쉽게 확장 가능함을 강조한다. 지식 주석만 추가하면 기존 AVISPA 파이프라인을 그대로 이용할 수 있기 때문에, 새로운 논리 체계나 모델 체커를 개발할 필요 없이 비부인성, 공정성, 시간성 등 다양한 보안 속성을 동시에 검증할 수 있다. 이는 형식 검증 분야에서 프로토콜 설계자와 분석가가 보다 신속하고 정확하게 보안 수준을 평가할 수 있는 실용적인 길을 제시한다.