OCSP 서비스 자동 충돌 공격 설계 결함과 실질 위협

초록

본 논문은 온라인 인증서 상태 프로토콜(OCSP)의 두 가지 근본적인 설계 결함을 밝히고, 이를 이용해 공격자가 서명된 인증서 상태 응답을 위조하거나 최악의 경우 가짜 인증서를 생성할 수 있음을 입증한다. 결함의 메커니즘, 실제 활용 시나리오, 영향받는 상위 프로토콜 및 방어 방안을 제시한다.

상세 분석

OCSP는 인증서의 실시간 유효성을 확인하기 위해 인증기관(CA)이 발행한 서명된 응답을 클라이언트가 검증하도록 설계되었다. 논문은 이 메커니즘에 내재된 두 가지 취약점을 상세히 분석한다. 첫 번째는 “Nonce 재사용” 문제이다. OCSP 요청에 포함되는 nonce 값은 재전송 방지를 위해 사용되지만, 많은 구현체가 nonce를 선택적으로 처리하거나 고정된 값으로 응답한다. 공격자는 동일한 nonce를 가진 다수의 요청을 자동화된 스크립트로 전송하고, 응답을 수집해 서명된 메시지들의 해시값을 비교한다. 이 과정에서 충돌 가능한 해시 알고리즘(SHA‑1 등)을 이용하면 서로 다른 인증서 상태(예: good vs. revoked)를 동일한 서명으로 위조할 수 있다. 두 번째는 “응답 서명 구조의 불완전성”이다. OCSP 응답은 기본적으로 tbsResponseData 구조에 대한 서명을 포함하지만, 일부 구현은 서명 대상에 포함되는 필드(예: thisUpdate, nextUpdate, extensions)를 제한적으로 검증한다. 결과적으로 공격자는 의도적으로 조작된 필드값을 삽입해 정상적인 서명 검증을 통과시키면서, 실제로는 잘못된 상태 정보를 전달한다. 특히, “certID” 필드에 사용되는 해시 알고리즘이 약한 경우(예: SHA‑1) 동일한 해시값을 가진 서로 다른 인증서에 대해 동일한 서명을 재사용할 수 있다. 논문은 이러한 두 결함이 결합될 때, 공격자가 자동화된 충돌 탐색을 통해 “collision‑crafted” OCSP 응답을 생성하고, 이를 신뢰하는 웹 서버나 VPN 게이트웨이 등에서 인증서 검증을 회피하는 시나리오를 제시한다. 또한, 이러한 위조 응답이 TLS 핸드쉐이크, S/MIME, 코드 서명 검증 등 다양한 애플리케이션 레이어 프로토콜에 미치는 파급 효과를 정량적으로 평가한다. 실험 결과, 최신 브라우저와 일부 기업용 VPN 제품이 여전히 nonce 검증을 선택적으로 수행하거나, SHA‑1 기반 certID를 허용하고 있음을 확인했다. 따라서 설계 단계에서의 근본적인 검증 로직 부재와 오래된 암호학적 해시 사용이 복합적으로 위험을 증폭시킨다. 논문은 이러한 문제를 해결하기 위해 RFC 6960의 최신 권고사항을 준수하고, nonce를 강제하고, SHA‑256 이상으로 업그레이드하며, 응답 서명에 포함되는 모든 필드를 명시적으로 검증하도록 구현 체계를 재설계할 것을 권고한다.