RFID 인증 프로토콜의 동기화 취약점 분석 및 보강 방안

초록

본 논문은 최근 제안된 두 경량 RFID 인증 프로토콜이 동기화 공격에 취약함을 증명하고, 태그 추적 가능성까지 노출한다. 이를 기반으로 각각의 프로토콜에 대한 구체적인 공격 시나리오를 제시하고, 보안성을 회복할 수 있는 수정 방안을 설계한다.

상세 분석

첫 번째 프로토콜은 “경량 안티‑디‑싱크” 메커니즘을 도입해 태그와 리더 간의 동기화 상태를 유지하도록 설계되었지만, 실제 구현에서는 업데이트된 시크릿 값이 전송 과정에서 검증 없이 교체되는 구조적 결함이 존재한다. 공격자는 중간에 통신을 가로채고, 리더가 전송한 새로운 키값을 변조하거나 삭제함으로써 태그와 리더 사이에 상태 불일치를 초래한다. 이때 태그는 이전 키를 사용해 인증을 시도하지만 리더는 최신 키만을 인정하므로, 양측은 영원히 동기화되지 못한다(디‑싱크 공격). 논문은 이러한 취약점을 구체적인 패킷 흐름과 수식으로 재현하고, 성공 확률을 100%에 가깝게 입증한다.

두 번째 프로토콜은 의료 환경에서 환자 안전을 보장하기 위한 “바인딩 증명” 메커니즘을 제공한다. 여기서는 두 개의 태그가 서로의 존재를 증명하고, 리더는 이를 통해 환자와 의료기기의 연계성을 확인한다. 그러나 프로토콜은 태그가 전송하는 난수와 해시값을 단방향으로만 검증하고, 리더가 이를 저장하지 않는다. 공격자는 리플레이 공격과 결합된 디‑싱크 공격을 수행해, 특정 태그의 상태를 강제로 이전 값으로 되돌릴 수 있다. 더 나아가, 태그가 주기적으로 전송하는 난수와 고정된 해시 구조를 이용해 태그의 이동 경로를 추적할 수 있는 프라이버시 침해 가능성도 존재한다.

논문은 위 두 취약점을 보완하기 위해 (1) 키 업데이트 시 양측 모두가 동일한 인증 절차를 거치도록 챌린지‑응답 구조를 추가하고, (2) 해시 입력에 타임스탬프와 랜덤 세션 식별자를 포함해 재전송 방지를 강화한다. 또한, 바인딩 증명 프로토콜에서는 태그 간에 교환되는 값에 비밀 공유 키를 도입하고, 리더가 세션 종료 시 상태를 복구하도록 설계함으로써 디‑싱크와 추적 위험을 최소화한다. 이러한 개선안은 기존의 경량성을 크게 해치지 않으면서도 보안 수준을 현저히 향상시킨다.