경량 RFID 인증 XOR 프로토콜 강화 방안

초록

본 논문은 VB가 제안한 경량 RFID 인증 프로토콜 중 XOR 변형의 세션 키 순열 알고리즘에 존재하는 취약점을 지적하고, DFJ가 제시한 반복 키 공격과 닙블 공격을 방어할 수 있는 세 가지 개선안을 제시한다. 제안된 개선은 추가 하드웨어 비용 없이 기존 프로토콜의 보안을 크게 향상시킨다.

상세 분석

VB가 설계한 XOR 프로토콜은 태그와 리더 간에 공유된 비밀 키 K를 이용해 매 세션마다 키를 순환(permutation)시키는 방식으로 경량성을 확보한다. 그러나 DFJ는 이 순환 과정이 선형적이며, 이전 세션의 키와 현재 세션의 키 사이에 단순한 XOR 관계가 존재함을 발견하였다. 이 관계를 이용하면 공격자는 두 번 연속된 인증 메시지를 캡처한 뒤, 키가 반복되는 패턴을 추적하여 원래 비밀 키 K를 복원하거나, 특정 비트(니블)만을 변조해 인증을 우회할 수 있다. 핵심 문제는 순환 함수 f(K) = ROTL(K,1) ⊕ C (C는 고정 상수)와 같은 단순 변형이 역연산을 가능하게 만든다는 점이다.

첫 번째 취약점은 “반복 키 공격”이다. DFJ는 f가 주기성을 갖는다는 사실을 이용해, 충분히 많은 세션을 관찰하면 키가 원래 값으로 되돌아오는 시점을 찾을 수 있음을 증명한다. 이때 공격자는 동일한 키가 재사용되는 구간을 포착해, 인증 메시지의 XOR 연산을 역추적함으로써 비밀 키를 추정한다.

두 번째 취약점은 “니블 공격”이다. XOR 연산은 비트 단위에서 선형성을 가지므로, 공격자는 특정 4비트 블록(니블)만을 조작해도 전체 인증 결과에 큰 영향을 주지 못한다는 점을 이용한다. 즉, 공격자는 캡처한 메시지의 일부 니블을 임의로 바꾸고, 리더가 이를 검증하도록 유도함으로써 인증을 위조한다.

본 논문은 이러한 두 공격을 동시에 차단하기 위해 세 가지 개선안을 제시한다. 첫 번째는 순환 함수에 비선형 S-Box를 삽입해, 키 변환 과정에서 비선형성을 도입함으로써 역연산을 어렵게 만든다. 두 번째는 매 세션마다 동적으로 생성되는 라운드 상수 R_i를 도입해, f_i(K) = ROTL(K,1) ⊕ R_i 형태로 변형함으로써 주기성을 파괴한다. 세 번째는 키 업데이트 단계에서 현재 키와 이전 키의 XOR을 추가로 계산해, K_{i+1} = f_i(K_i) ⊕ K_{i-1} 형태의 연쇄 구조를 만든다. 이 세 가지 조치는 모두 기존 하드웨어 구조에 최소한의 논리 게이트만 추가하면 구현 가능하며, 메모리 사용량이나 연산 지연을 현저히 증가시키지 않는다. 실험 결과, 제안된 프로토콜은 DFJ가 제시한 반복 키 및 니블 공격에 대해 0% 성공률을 보였으며, 기존 프로토콜 대비 에너지 소비와 처리 시간은 각각 3% 이하로 증가에 그쳤다.

요약하면, 본 논문은 VB의 XOR 프로토콜이 가진 구조적 선형성과 고정 상수 의존성을 비선형성, 동적 상수, 연쇄 키 업데이트이라는 세 축으로 보완함으로써, 경량 RFID 시스템에서 요구되는 저전력·저비용 특성을 유지하면서도 실질적인 보안 강화를 달성했다는 점에서 의의가 크다.