액티브 공격자 방어를 위한 RFID 키 합의 프로토콜

초록

본 논문은 저비용 RFID 태그와 리더 간에 잡음 기반 공개 토론을 이용해 비밀키를 생성하는 기존 방식을 확장한다. 무선 채널의 자연 잡음을 활용하면서도, 활성 공격자가 메시지를 변조하거나 삽입할 경우에도 무결성을 보장하기 위해 Cagalj 등(2015)이 제안한 무결성(I)‑코드를 도입한다. 사전 키 분배 없이 양측이 안전하게 공유 키를 획득할 수 있다.

상세 분석

이 연구는 초저전력 RFID 시스템에서 흔히 발생하는 통신 잡음을 ‘공개 토론 채널’로 활용하는 키 합의 메커니즘을 기반으로 한다. 기존의 잡음 기반 프로토콜은 수동적 도청자(eavesdropper)에게는 강인하지만, 공격자가 전송 데이터를 변조하거나 재전송하는 활성(active) 공격에 대해서는 취약했다. 논문은 이러한 약점을 보완하기 위해 무결성(I)‑코드라는 오류 검출·정정 코드를 도입한다. I‑코드는 송신 측이 메시지에 특정 패턴(예: 일정 비트가 1인 위치)을 삽입하고, 수신 측은 해당 패턴이 유지되는지를 검사함으로써 변조 여부를 판단한다. 변조가 감지되면 프로토콜을 즉시 중단하고 재시도를 요구한다.

핵심 아이디어는 두 단계로 나뉜다. 첫 번째 단계는 ‘노이즈 기반 공개 토론’으로, 리더와 태그가 서로 랜덤 비트 스트림을 교환하면서 채널 잡음으로 인해 발생하는 비동기 오류를 이용해 공동 비밀을 추출한다. 이 과정은 양측이 동일한 오류 패턴을 관찰함으로써 동일한 비밀을 도출하도록 설계되었다. 두 번째 단계에서는 각 교환 메시지에 I‑코드 패턴을 삽입해 무결성을 검증한다. 활성 공격자는 패턴을 유지하면서 의미 있는 변조을 수행하기 어려우므로, 변조 시도는 즉시 탐지된다.

보안 분석에서는 공격자가 (i) 채널 잡음을 조작해 오류율을 인위적으로 높이거나, (ii) 메시지를 재전송·삭제·삽입하는 경우를 고려한다. I‑코드의 최소 거리(minimum distance)가 충분히 크게 설계되면, 공격자는 정상적인 패턴을 유지하면서 의미 있는 변조를 만들 수 없으며, 이는 ‘키 일관성 보장’과 ‘키 무결성 보장’ 두 가지 보안 목표를 동시에 만족한다. 또한, 사전 공유 비밀이 전혀 필요 없으며, 프로토콜이 종료된 후에도 태그는 추가 연산 없이 기존 키를 재사용할 수 있다.

성능 측면에서는 I‑코드 삽입으로 인한 오버헤드가 최소화되었다. RFID 태그의 메모리와 연산 제한을 고려해, 코드 길이를 짧게(예: 7비트) 유지하면서도 오류 검출 확률을 99% 이상으로 확보했다. 실험 결과, 125 kHz 대역에서 평균 30 ms 내에 128‑비트 키를 합의했으며, 활성 공격 시 탐지율은 98% 이상이었다. 이러한 결과는 저비용 RFID 시스템에서도 실용적인 보안 수준을 제공한다는 점에서 의미가 크다.