RFID 저비용 상호 인증 프로토콜의 취약점 분석과 실용적 공격 기법

초록

본 논문은 Fu et al.이 제안한 FWCFP 프로토콜과 Li et al.이 제안한 LWJX 프로토콜을 대상으로 동기화 파괴, 추적 가능성, 역추적 불가능성 등 세 가지 주요 보안 취약점을 상세히 분석하고, 각각에 대한 구체적인 공격 시나리오를 제시한다.

상세 분석

논문은 먼저 RFID 시스템의 기본 위협 모델을 정리하고, 최신 프라이버시 모델(Execute, Send, Corrupt, Test 쿼리)을 적용해 두 프로토콜을 평가한다. FWCFP 프로토콜은 태그와 리더가 공유 비밀키 K와 별칭 IDTA를 사용하고, 리더가 대칭 암호 E_K 로 IDTA를 암호화한다. 설계상의 핵심 약점은 (1) 세 번째 메시지에서 전송되는 A와 B 값이 단순히 IDTA와 해시값의 XOR 조합이라는 점, (2) H(K‖rand) 형태의 해시가 여러 단계에서 동일하게 사용된다는 점이다. 이를 이용해 공격자는 (i) A와 B를 임의의 값으로 교체해 태그와 리더 사이의 상태를 비동기화시켜 서비스 거부(DoS) 공격을 수행하고, (ii) 동일한 랜덤값 rand2에 대해 H(K‖rand2) 값을 재사용함으로써 태그를 추적할 수 있다. 특히, 공격자는 Execute 쿼리로 정상 세션을 관찰한 뒤, Send 쿼리로 변조된 A’, B’를 삽입해 태그가 새로운 별칭 IDTA’를 저장하도록 유도한다. 이후 리더는 기존 데이터베이스에 없는 IDT를 받아 인증에 실패하게 되며, 복구 메커니즘이 없으므로 영구적인 동기화 손실이 발생한다. 역추적 공격은 Corrupt 쿼리를 통해 과거에 탈취한 K와 rand1을 이용, 과거 세션의 H(K‖rand1) 값을 재계산해 이전에 사용된 태그를 식별한다. 이는 “역추적 불가능성(backward untraceability)”을 위배한다.

LWJX 프로토콜에 대해서는 설계가 더 단순하지만, 태그가 전송하는 H(K‖rand) 값이 고정된 구조를 갖고 있어 동일한 랜덤값을 재사용하면 공격자는 동일한 해시값을 관찰해 태그를 구분할 수 있다. 즉, 프로토콜이 제공한다고 주장하는 “불가추적성(untraceability)”이 실질적으로 깨진다.

전체적으로 두 프로토콜 모두 저비용 RFID 환경에서 흔히 사용되는 XOR, 해시, 대칭 암호만으로는 충분한 보안을 보장하기 어렵다는 점을 강조한다. 특히, 상태 동기화 메커니즘이 약하거나, 동일한 해시 구조를 반복 사용하면 공격자가 쉽게 동기화 파괴와 추적을 수행할 수 있다. 논문은 이러한 구조적 결함을 보완하기 위해 (1) 각 라운드마다 서로 다른 해시 입력을 사용하고, (2) 동기화 실패 시 복구 절차를 명시적으로 설계하며, (3) 랜덤값 재사용을 방지하는 nonce 관리 방식을 도입할 것을 제안한다.