스마트카드 기반 원격 인증의 함정: Yoon 등 설계의 비밀 변경 및 병렬 세션 취약점 분석

초록

Yoon et al.이 제안한 스마트카드 원격 인증 프로토콜은 비밀번호 변경 단계와 병렬 세션에서 여전히 취약하다. 스마트카드 내부 정보 탈취 시 비밀번호를 복원·변경할 수 있으며, 내부자와 외부 공격자 모두 인증 과정을 재사용해 위조 로그인에 성공한다.

상세 분석

Yoon 등은 Ku‑Chen 방식의 반사·내부자 공격을 보완하고자 비밀번호 변경 절차를 수정했지만, 근본적인 설계 결함을 남겨두었다. 첫째, 스마트카드에 저장되는 V, R, b와 단방향 해시 f가 물리적으로 노출될 경우, 공격자는 R ⊕ f(b⊕PW) = C₁을 계산해 임의의 PW 후보를 대입해 C₂와 비교함으로써 비밀번호를 오프라인 사전 공격으로 복원할 수 있다. 복원된 PW를 이용하면 스마트카드가 요구하는 V* = R ⊕ f(b⊕PW)와 저장된 V가 일치함을 확인하고, 새로운 PW_new을 입력해 R_new = V* ⊕ f(b⊕PW_new)으로 교체함으로써 정당 사용자를 완전히 배제한다. 이는 스마트카드 물리적 탈취가 가능한 환경(예: 전력 분석, 사이드채널)에서 실현 가능하며, 기존 설계가 “스마트카드 내부 비밀은 절대 노출되지 않는다”는 가정에 크게 의존한다는 점을 드러낸다.

둘째, 내부자 공격도 동일하게 가능하다. AS는 등록 단계에서 사용자의 PW_S = f(b⊕PW)와 EID ⊕ x를 이용해 V와 R을 생성한다. 따라서 AS 내부자는 V와 R을 완전히 알고 있다. 내부자가 일시적으로 사용자의 스마트카드를 확보하면, V를 직접 제공하거나 PW_S를 이용해 V*를 계산하고, 새로운 비밀번호 PW_new을 입력해 R_new을 생성한다. 결과적으로 정당 사용자는 기존 비밀번호로는 로그인할 수 없으며, 내부자는 사용자를 완전히 대체한다.

셋째, 병렬 세션 공격에 대한 방어도 미흡하다. 로그인 요청 C = (ID, C₂, T_U)와 서버 응답 (C₃, T_S)에서 C₂와 C₃는 동일한 해시 연산 f(f(EID⊕x)⊕·)을 사용한다. 공격자는 C와 (C₃, T_S)를 가로채고, C₃를 C₂로 재사용해 새로운 로그인 요청 C_f = (ID, C₃, T_S)를 전송한다. 서버는 시간 검증(T_S* ≠ T_S)만 수행하고, C₃가 f(f(EID⊕x)⊕T_S)와 일치함을 확인하면 인증을 허용한다. 즉, 서버와 클라이언트 사이에 교환되는 두 해시값이 서로 대체 가능하도록 설계돼 있어, 동일 세션 데이터를 재활용해 인증을 우회할 수 있다. 이러한 구조적 결함은 프로토콜이 “채널은 불안전하지만 메시지는 변조되지 않는다”는 가정에 기반하지만, 실제 네트워크에서는 메시지 재전송이 자유롭기 때문에 병렬 세션 공격이 현실화된다.

요약하면, Yoon 등은 비밀번호 변경 단계에서의 검증 로직을 단순히 V*와 V의 일치 여부만 확인하도록 설계했으며, 이는 스마트카드 내부 비밀이 유출될 경우 완전한 권한 탈취를 초래한다. 또한, 서버와 클라이언트가 동일한 해시 함수를 사용해 서로 다른 목적(로그인·응답)으로 값을 생성함으로써, 병렬 세션 공격에 대한 구조적 방어가 결여되었다. 이러한 두 가지 핵심 약점은 스마트카드 기반 원격 인증 시스템이 물리적·내부자 위협을 충분히 고려하지 못했음을 보여준다.