[시큐리티팩트=김상규 기자] GIST(광주과학기술원) 황의석 교수 연구진이 보편화 되고 있는 사물인터넷(IoT)을 타깃으로 한 재전송 공격을 방어할 수있는 새로운 인증기법을 개발, 미국 특허를 출원했다.
재전송 공격은 공격자가 무선 통신 인증 체계를 교란하고자 할 때 취할 수 있는 전략 중 하나다. 적법한 사용자들이 주고받는 인증 신호를 도청해 그대로 재전송하는 기법으로, 일반적으로 방어하기 어려운 공격으로 알려져 있다.
GIST의 새로운 인증기법은 IoT를 적용한 시스템의 보안이 뚫릴 경우 발생할 수 있는 심각한 사회문제들을 예방하고 IoT 관련 보안의 신뢰성을 제고해 IoT 산업의 활성화를 촉진할 수 있을 것으로 예상된다.
연구팀은 IoT 장치에서 측정한 PUF와 무선 통신 채널에서 수집한 채널 상태정보(Channel State Information, CSI)를 결합하는 인증기법을 고안했다.
모든 장치는 공정 과정에서 발생하는 오차로 인해 서로 다른 응답 특성을갖게 되는데, 이를 ‘물리적 복제 방지기능’(Physically Unclonable Function, PUF)’이라 한다.
이 특성만을 사용해 보안키를 생성하고 사용자 인증을 진행할 경우, 신호 도청을 기반으로 하는 재전송 공격에 취약하다고 알려져 있다. 사람마다 지문이 다른 것처럼 채널 상태 정보(CSI)는 물리적 환경의 공간적 특성이 반영돼 측정되므로 측정하는 환경에 따라 그 값이 다르다.
따라서 공격자가 적법한 인증 신호를 도청해 재전송하더라도 적법한 사용자와 물리적으로 같은 위치에 존재하는 것은 불가능하므로 공격자의인증 시도는 무력화된다.
연구팀이 32bits 길이의 보안키를 사용해 재전송 공격에 대한 신원 인증성능을 평가한 결과, 기존 PUF를 활용한 인증기법은 50만 번의 공격 중약 0.5% 확률로 공격자의 인증 시도가 허용됐지만, 연구팀의 새로운 인증기법은 공격자의 인증 시도를 모두 차단할 수 있었다.
황의석 교수는 “IoT는 가전 장치부터 사회 중요시설까지 광범위하게 설치되고 있으며, IoT 장치에 대한 사이버 공격은 심각한 사회문제로 이어질 수 있다”며 “CSI와 PUF를 결합한 보안키 생성기법은 공격자의 도청으로부터 IoT 장치를 보호할 수 있는 솔루션이 될 수 있을 것”이라고 밝혔다.