PAP RFID 프로토콜 취약점 심층 분석

초록

본 논문은 Liu와 Bailey가 제안한 프라이버시 및 인증 프로토콜(PAP)의 보안성을 검증한다. 저자는 PAP가 저전력 패시브 태그에 적합하고 추적 방지와 인증을 동시에 제공한다고 주장하지만, 실제로는 비밀키와 정적 식별자를 노출하지 않고도 태그를 추적하고 위장할 수 있는 두 가지 추적 공격과 하나의 위장 공격을 제시한다. 또한 프로토콜 설계에 기반한 기본 가정들이 RFID 시스템의 일반적인 전제와 상충함을 지적한다.

상세 요약

PAP는 태그와 리더 사이에 공유되는 비밀키 K와 정적 식별자 ID를 이용해 난수 r와 해시값 h=H(K‖r) 형태의 메시지를 교환한다. 논문은 먼저 이 설계가 “비밀키가 절대로 노출되지 않는다”는 가정에 지나치게 의존하고 있음을 지적한다. 실제 RFID 환경에서는 전자기 간섭, 전력 변동, 그리고 물리적 접근을 통해 태그의 메모리 내용이 부분적으로 유출될 가능성이 있다. 이러한 현실을 무시하고 설계된 PAP는 공격자가 태그와 리더 사이에 중간자(MITM) 역할을 수행하면서, 동일한 난수 r을 재사용하거나 변조된 r′을 삽입해도 인증 절차가 정상적으로 진행되는 구조적 결함을 가지고 있다. 구체적으로, 첫 번째 추적 공격은 리더가 전송한 난수 r를 캡처한 뒤, 동일한 r을 여러 차례 재전송함으로써 태그가 동일한 해시값 h를 반환하는지를 관찰한다. 태그가 동일한 h를 반환하면 공격자는 해당 태그를 고유하게 식별할 수 있다. 두 번째 추적 공격은 태그가 응답한 h값 자체를 저장하고, 이후 다른 리더가 동일한 r을 전송했을 때 h가 일치하는지를 확인하는 방식이다. 이 과정에서 비밀키 K는 전혀 필요하지 않다. 마지막으로 제시된 위장 공격은 공격자가 임의의 난수 r′를 선택하고, 기존에 캡처한 h값을 그대로 재전송함으로써 리더를 속이는 방법이다. 리더는 h가 유효한 것으로 판단하고 인증을 허용한다. 이러한 공격들은 PAP가 “난수 재사용 방지”와 “해시 기반 인증의 일방향성”에 대한 충분한 검증을 하지 않았기 때문에 가능해진다. 또한 논문은 PAP가 가정한 “태그와 리더 사이의 물리적 채널이 완전하게 안전하다”는 전제가 현실과 동떨어져 있음을 강조한다. 실제 RFID 시스템에서는 전파 도청, 전자기 방해, 그리고 태그 자체의 물리적 변조가 빈번히 발생한다. 따라서 PAP가 제시하는 보안 수준은 과대평가된 것이다.