스마트카드 기반 원격 사용자 인증의 치명적 취약점

초록

Liaw 등(2006)이 제안한 스마트카드 원격 인증 프로토콜은 로그인 메시지를 가로채면 인증 절차를 우회할 수 있는 심각한 재전송 공격에 취약하며, 세션 키 교환 단계에서도 중간자 공격이 가능하고 비밀번호 변경 과정에서도 검증이 누락돼 실용성이 크게 떨어진다.

상세 분석

본 논문은 Liaw et al.이 제시한 5단계 인증 체계(등록, 로그인, 검증, 세션, 비밀번호 변경)를 상세히 검토하고, 각 단계에서 발생하는 구조적 결함을 지적한다. 로그인 단계에서 스마트카드는 사용자의 ID와 비밀번호를 이용해 nonce Ni와 해시값 Ci = h(ei⊕PW , Ni)를 생성하고, 이를 원격 서버에 전송한다. 서버는 ID만 확인하고, 저장된 비밀키 x를 이용해 vi′ = h(ID, x)를 재계산한 뒤, Ci = h(vi′, Ni)인지 검사한다. 여기서 핵심 문제는 서버가 이전에 사용된 Ni 값을 기록하거나 제한하지 않기 때문에, 공격자는 유효한 로그인 메시지 <ID, Ci, Ni>를 가로채어 그대로 재전송하면 인증이 성공한다. 즉, 재전송 공격에 대한 방어 메커니즘이 전혀 구현되지 않은 것이다.

세션 단계에서는 Diffie‑Hellman 키 교환을 사용하지만, 공개 파라미터 α와 q, 그리고 양측이 교환하는 Si = αNs mod q와 Wi = αNi mod q가 모두 노출된다. 공격자는 인증을 통과한 뒤 이 값을 그대로 사용해 동일한 세션 키 K = (αNi)Ns = (αNs)Ni를 계산할 수 있다. 즉, 전통적인 DH의 MITM 방어가 전혀 적용되지 않았으며, 실제로는 모든 참여자가 같은 공개값을 공유하므로 누구든지 세션 키를 유도할 수 있다.

비밀번호 변경 단계에서는 기존 비밀번호 검증 없이 ei를 새로운 비밀번호 PW′로 XOR 연산만 수행한다. 사용자가 오타를 입력하거나 스마트카드가 분실·도난당했을 경우, 잘못된 비밀번호로 ei가 갱신되어 이후 인증이 불가능해지는 서비스 거부(DoS) 상황이 초래된다. 또한, 비밀번호가 노출될 경우 공격자는 ei를 재구성해 인증을 우회할 수 있다.

전반적으로 이 프로토콜은 (1) 재전송 방지 부재, (2) DH 키 교환의 MITM 방어 미비, (3) 비밀번호 검증 누락이라는 세 가지 근본적인 보안 결함을 가지고 있다. 이러한 설계 오류는 원격 인증 시스템에서 가장 기본적인 보안 원칙—‘무결성’, ‘기밀성’, ‘인증’—을 모두 위배한다. 따라서 실제 서비스에 적용하기에는 매우 위험하며, 설계 단계에서부터 nonce 관리, 세션 키 인증, 비밀번호 검증 로직을 강화해야 한다.