블루투스 모바일 보안을 위한 향상된 인증 및 합리적 교환 알고리즘

본 논문은 블루투스 디바이스 간 페어링 과정에서 발생할 수 있는 보안 위협을 분석하고, 이를 방어하기 위한 향상된 인증 스키마와 합리적(플라우저블) 키 교환 알고리즘을 제안한다. 먼저, 블루투스 프로토콜이 제공하는 E1, E2, E3 세 가지 인증 함수와 기존의 챌린지‑응답 흐름을 상세히 설명한다. 기존 인증 절차는 클레임언트가 자신의 48비트 주소를 전송하고, 검증자가 128비트 랜덤 챌린지를 보내면, 검증자는 E1 알고리즘을 이용해 SRES(32비트 응답)를 계산하고 클레임언트에게 반환한다. 클레임언트는 이를 다시 검증자와 비교해 일치하면 연결을 허용한다. 이러한 순차적 흐름은 설계가 단순하지만, 중간자(인트루더)가 두 디바이스 사이에 끼어들어 챌린지와 응답을 재전송하거나 변조함으로써 가짜 마스터·슬레이브 역할을 수행할 수 있는 구조적 약점을 가지고 있다. 논문은 인트루더 C가 장치 A와 B 사이에 개입하는 두 가지 시나리오를 제시한다. 첫 번째는 C가 A에게 랜덤 R1을 보내고, A는 이를 B에게 전달한 뒤 B가 R1에 대한 응답을 C에게 되돌려 주는 방식이다. 두 번째는 A가 B에게 R1을 보내고, B가 R2를 다시 A에게 보내는 과정에서 C가 중간에 끼어들어 각각의 랜덤 값을 재사용하고 응답을 그대로 전달함으로써 인증을 회피한다. 이러한 공격은 기존 프로토콜이 ‘챌린지를 받은 즉시 응답을 전송’하는 구조적 특성 때문에 가능해진다. 이를 방지하기 위해 저자들은 인증 메시지 교환 방식을 재구성한다. 양측이 동시에 자신의 랜덤 값을 교환하고, 상대방의 챌린지에 대한 검증이 완료될 때까지 응답을 보류하도록 설계한다. 구체적으로, 장치 A와 B는 각각 R1, R2를 교환하고, 상대가 보낸 랜덤에 대한 SRES를 계산한 뒤에야 응답을 전송한다. 이때 인트루더는 상대가 아직 검증을 마치지 않은 상태에서 챌린지를 재전송하거나 응답을 얻을 수 없으므로 공격이 차단된다. 또한, 무작위 수 교환 단계에 Diffie‑Hellman 기반의 합리적 키 교환을 도입한다. 사전에 공유된 소수 p와 원시근 α를 이용해 각 디바이스는 비밀 랜덤 R1, R2를 선택하고, 공개값 S1=α^R1 mod p, S2=α^R2 mod p를 계산한다. 공개값을 교환한 뒤, 양측은 K=S2^R1 mod p와 K=S1^R2 mod p를 통해 동일한 세션 키 K를 도출한다. 이 과정은 이산 로그 문제의 난이도에 기반해 전향적 보안을 제공한다. 즉, 세션 종료 후 비밀값 R1, R2가 폐기되므로 과거 세션 키가 노출되더라도 이전 통신을 복호화할 수 없다. 제안된 프로토콜의 장점은 다음과 같다. 첫째, 챌린지‑응답 순서를 교환함으로써 중간자 공격이 실질적으로 불가능해진다. 둘째, Diffie‑Hellman 키 교환을 통해 세션 키가 일시적이며, 장기 비밀키가 존재하지 않으므로 키 유출 위험이 최소화된다. 셋째, 이산 로그 기반 연산은 현재의 컴퓨팅 파워로는 역산이 어려워 실용적인 보안성을 제공한다. 하지만 논문은 몇 가지 한계를 인정한다. Diffie‑Hellman 연산은 기존 블루투스 칩셋에서 지원되는 연산량보다 높은 CPU 사이클을 요구할 수 있어 저전력 디바이스에서 배터리 소모가 증가할 가능성이 있다. 또한, p와 α를 사전에 안전하게 배포하는 메커니즘이 구체적으로 제시되지 않았다. 마지막으로, 제안된 프로토콜이 기존 블루투스 스펙과 호환성을 유지하면서 적용될 수 있는지에 대한 실험적 검증이 부족하다. 결론적으로, 본 논문은 블루투스 인증의 구조적 취약점을 정확히 파악하고, 무작위 교환 순서의 재구성과 공개키 기반 키 교환을 결합한 새로운 방안을 제시한다는 점에서 학술적·실무적 의의가 크다. 향후 연구에서는 실제 디바이스에 구현하여 성능 및 전력 소비를 측정하고, 표준화 작업을 통해 기존 블루투스 프로토콜과의 호환성을 검증하는 것이 필요하다.