암호 알고리즘 직접 노리지 않아... 폴 쾨허 ‘시간차 분석 공격’이 최초
2011년 프랑스에서 신용카드 IC칩 통해 암호키 훔친 사건 발생하기도
알쏭달쏭한 보안 용어들을 알기 쉽게 풀어주는 코너, ‘보안 알려주는 남자’입니다. 어디선가 들어는 봤지만, 막상 설명하려면 쉽지 않은 생활 속 보안 용어의 개념, 역사 등을 스토리텔링 방식으로 소개하는 ‘보.알.남’은 매주 1회 연재됩니다. [편집자주]
[보안뉴스 양원모 기자] ‘벽치기’는 언론의 취재기법 중 하나다. 사실 ‘기법’이라 부르기도 민망하다. 벽 틈새로 들리는 말을 받아 적는 거다. 비공개 회의 취재가 많은 정치부에서 자주 쓴다. 남의 말을 훔쳐듣는 것과 다름없어 도청 논란이 끊이지 않지만, 아직도 업계 관행으로 통한다. 과거 한 공영방송사 사장은 벽치기가 “전통적인 취재기법”이라 말했다가 구설에 오르기도 했다.
[이미지=iclickart]
해킹 기법에도 ‘벽치기’와 비슷한 게 있다. 부채널(Side channel) 공격이다. 특정 디바이스에서 보안 모듈이 발동될 때 물리적으로 발생하는 정보(소리, 전력, 연산 시간 등)를 가공, 분석해 암호키를 탈취하는 공격이다. 암호 알고리즘을 직접 노리지 않는 게 특징이다. 부채널 공격의 유형은 다양하다. 예를 들어 키보드 치는 소리를 분석해 비밀번호를 알아내는 것도 공격의 일종이다. ‘타닥타닥’ 같은 무의미한 소리에도 중요한 정보 값이 담겨있는 것이다.
공격 종류
최초의 부채널 공격 개념은 미국 암호학자 폴 쾨허(46)가 1996년 국제암호학회의(ICC)에서 제시했다. ‘시차분석 공격(Timing Attack)’이다. 인터넷 암호화 시스템 중 하나인 RSA의 연산 시간을 분석해 암호키를 추론하는 방법이다. 이 공격법이 가능한 건 RSA가 암호화 과정에서 ‘디피-헬만 키 교환’이라는 외부에 알려진 방법을 사용하기 때문이다. 공격자는 연산 과정에 소요된 시간을 통계적 기법으로 분석해 RSA키를 특정할 수 있다. 연산 과정이 길면 암호화 과정에서 큰 수를 썼다고 추정하는 식이다.
전력 분석(Power Analysis) 공격도 대표적인 부채널 공격법 중 하나다. 이해를 위해 약간의 설명이 필요하다. CMOS(집적회로의 한 종류) 공정으로 만들어진 연산 장치가 소모하는 전력량은 소모 당시 상태에 따라 ‘정적 소모’와 ‘동적 소모’로 나뉜다. 정적 소모는 누설 전류처럼 회로가 멈춰 있을 때 소모된 전력이고, 동적 소모는 회로가 움직일 때 소모된 전력이다. 공격자는 동적 소모량만을 추려내 회로의 기본 속성을 이용한다. 이진법에 따라 숫자 0과 1로만 동작하는 회로는 숫자 1이 많을수록 동적 소모량이 커진다. 이 ‘1들’의 합계를 어려운 말로 ‘해밍무게’라고 하는데, 해밍무게 값을 이용해 암호를 유추하는 것이다.
앞서 예시로 든 키보드 소리 훔치기는 ‘음향 암호 해독(Acoustic cryptanalysis)’ 또는 ‘음향 부채널 공격(Acoustic side channel attack)’이라 한다. CPU 동작음, 키보드 소리, 프린터 소리 등이 주요 공격 대상이다. 사실 이런 공격은 꽤 오래 전부터 시도됐다. 위키피디아에 따르면 영국 정보기관 MI6는 1950년대 하글린(Hagelin)이란 암호장치를 통한 음향 공격 방법을 검토한 기록이 있고, 미국 중앙정보국(CIA)은 암호장치의 평문 인쇄 과정에서 발생하는 소리를 가로채는 방법에 대해 기밀해제를 논의한 적이 있다.
이외에도 모니터 등에서 발생하는 EMF 전자파를 훔치는 ‘템페스트(TEMPEST)’ 공격, 연산 과정에 의도적인 오류를 일으키는 ‘차분 오류 해석(Differential fault analysis)’ 공격, 데이터 삭제 뒤 남은 잔여물을 활용하는 ‘잔존 데이터(Data remanence)’ 공격, DRM 메모리 칩의 설계 결함을 이용하는 ‘로우 해머(Row Hammer)’ 공격 등이 부채널 공격에 속한다.
[이미지=iclickart]
공격 사례
부채널 공격은 높은 기술력이 요구되기 때문에 실제 사례가 많지 않다. 대학 연구소, 보안업체 등에서 “이런 취약점을 찾아냈다”는 보고가 대부분이다. 물론 공격 가능성이 낮다고 방심은 금물이다.
이스라엘 텔아비브, 바이츠만 대학 연구팀은 2013년 PC의 프로세서 소리를 활용해 RSA 암호키를 탈취하는 방법이 담긴 논문을 공개했다. CPU가 RSA 암호키를 처리할 때 발생하는 전력 소모량과 이에 따른 CPU 소리의 미세한 변화를 분석해 암호키 획득에 성공한 것. 두 대학은 논문에서 “스마트폰에도 CPU 소리 분석 툴 설치 및 분석이 가능하다”며 부채널 공격의 대상이 스마트폰으로 확장될 수 있음을 경고해 우려를 키웠다.
2018년 핀란드 탐페레 공대, 쿠바 아바나 공대 연구팀은 부채널 공격을 통해 인텔 마이크로프로세서에서 암호화된 데이터를 빼내는 데 성공했다고 밝혔다. ‘포트스매시(Portsmash)’라는 이름이 붙은 이 공격법은 시차분석 공격의 일종으로, CPU가 특정 명령을 실행할 때 소요되는 시간을 분석해 입력한 데이터를 추측한 것이다. ‘동시 멀티스레딩(SMT)’이라는 프로세서의 기술적 취약점을 활용했다.
2011년 프랑스에서는 절도범들이 훔친 신용카드의 IC(집적회로)칩을 개조해 60만 유로(약 7억 9,000만원)의 피해를 입히는 사건이 발생했다. IC칩의 전자서명 과정에서 발생하는 전기 소모량 등을 분석해 암호키를 탈취한 뒤, 이를 새 IC칩에 적용시켜 결제에 필요한 PIN코드(개인식별코드)를 우회한 것이다. 특히 이 사건은 2010년 미국 전자전기기술자협회(IEEE)가 주최하는 보안 및 프라이버시 심포지움에서 한 대학 연구팀이 입증했던 공격 방식이 실제로 이뤄진 사례라 큰 논란이 됐다.
예방법은
부채널 공격은 유형이 다양한 만큼, 예방법도 제각각이다. 시차분석 공격은 노이즈를 넣어 막을 수 있다. 연산 과정을 고의로 늘려 정확한 시간 측정에 혼란을 주는 것이다. 대부분의 암호화 라이브러리엔 이 기능이 추가돼 있다. 템페스트 공격은 공격 대상에 특수 케이스를 설치해 전자파 유출을 최소화하는 게 중요하다. CPU 소리 공격은 본체 내부를 수시로 검사하는 습관을 들여야 한다. CPU 탐지용으로 몰래 설치된 도청기가 없는지 확인하기 위해서다.
[양원모 기자(boan@boannews.com)]
2011년 프랑스에서 신용카드 IC칩 통해 암호키 훔친 사건 발생하기도
알쏭달쏭한 보안 용어들을 알기 쉽게 풀어주는 코너, ‘보안 알려주는 남자’입니다. 어디선가 들어는 봤지만, 막상 설명하려면 쉽지 않은 생활 속 보안 용어의 개념, 역사 등을 스토리텔링 방식으로 소개하는 ‘보.알.남’은 매주 1회 연재됩니다. [편집자주]
[보안뉴스 양원모 기자] ‘벽치기’는 언론의 취재기법 중 하나다. 사실 ‘기법’이라 부르기도 민망하다. 벽 틈새로 들리는 말을 받아 적는 거다. 비공개 회의 취재가 많은 정치부에서 자주 쓴다. 남의 말을 훔쳐듣는 것과 다름없어 도청 논란이 끊이지 않지만, 아직도 업계 관행으로 통한다. 과거 한 공영방송사 사장은 벽치기가 “전통적인 취재기법”이라 말했다가 구설에 오르기도 했다.
[이미지=iclickart]
해킹 기법에도 ‘벽치기’와 비슷한 게 있다. 부채널(Side channel) 공격이다. 특정 디바이스에서 보안 모듈이 발동될 때 물리적으로 발생하는 정보(소리, 전력, 연산 시간 등)를 가공, 분석해 암호키를 탈취하는 공격이다. 암호 알고리즘을 직접 노리지 않는 게 특징이다. 부채널 공격의 유형은 다양하다. 예를 들어 키보드 치는 소리를 분석해 비밀번호를 알아내는 것도 공격의 일종이다. ‘타닥타닥’ 같은 무의미한 소리에도 중요한 정보 값이 담겨있는 것이다.
공격 종류
최초의 부채널 공격 개념은 미국 암호학자 폴 쾨허(46)가 1996년 국제암호학회의(ICC)에서 제시했다. ‘시차분석 공격(Timing Attack)’이다. 인터넷 암호화 시스템 중 하나인 RSA의 연산 시간을 분석해 암호키를 추론하는 방법이다. 이 공격법이 가능한 건 RSA가 암호화 과정에서 ‘디피-헬만 키 교환’이라는 외부에 알려진 방법을 사용하기 때문이다. 공격자는 연산 과정에 소요된 시간을 통계적 기법으로 분석해 RSA키를 특정할 수 있다. 연산 과정이 길면 암호화 과정에서 큰 수를 썼다고 추정하는 식이다.
전력 분석(Power Analysis) 공격도 대표적인 부채널 공격법 중 하나다. 이해를 위해 약간의 설명이 필요하다. CMOS(집적회로의 한 종류) 공정으로 만들어진 연산 장치가 소모하는 전력량은 소모 당시 상태에 따라 ‘정적 소모’와 ‘동적 소모’로 나뉜다. 정적 소모는 누설 전류처럼 회로가 멈춰 있을 때 소모된 전력이고, 동적 소모는 회로가 움직일 때 소모된 전력이다. 공격자는 동적 소모량만을 추려내 회로의 기본 속성을 이용한다. 이진법에 따라 숫자 0과 1로만 동작하는 회로는 숫자 1이 많을수록 동적 소모량이 커진다. 이 ‘1들’의 합계를 어려운 말로 ‘해밍무게’라고 하는데, 해밍무게 값을 이용해 암호를 유추하는 것이다.
앞서 예시로 든 키보드 소리 훔치기는 ‘음향 암호 해독(Acoustic cryptanalysis)’ 또는 ‘음향 부채널 공격(Acoustic side channel attack)’이라 한다. CPU 동작음, 키보드 소리, 프린터 소리 등이 주요 공격 대상이다. 사실 이런 공격은 꽤 오래 전부터 시도됐다. 위키피디아에 따르면 영국 정보기관 MI6는 1950년대 하글린(Hagelin)이란 암호장치를 통한 음향 공격 방법을 검토한 기록이 있고, 미국 중앙정보국(CIA)은 암호장치의 평문 인쇄 과정에서 발생하는 소리를 가로채는 방법에 대해 기밀해제를 논의한 적이 있다.
이외에도 모니터 등에서 발생하는 EMF 전자파를 훔치는 ‘템페스트(TEMPEST)’ 공격, 연산 과정에 의도적인 오류를 일으키는 ‘차분 오류 해석(Differential fault analysis)’ 공격, 데이터 삭제 뒤 남은 잔여물을 활용하는 ‘잔존 데이터(Data remanence)’ 공격, DRM 메모리 칩의 설계 결함을 이용하는 ‘로우 해머(Row Hammer)’ 공격 등이 부채널 공격에 속한다.
[이미지=iclickart]
공격 사례
부채널 공격은 높은 기술력이 요구되기 때문에 실제 사례가 많지 않다. 대학 연구소, 보안업체 등에서 “이런 취약점을 찾아냈다”는 보고가 대부분이다. 물론 공격 가능성이 낮다고 방심은 금물이다.
이스라엘 텔아비브, 바이츠만 대학 연구팀은 2013년 PC의 프로세서 소리를 활용해 RSA 암호키를 탈취하는 방법이 담긴 논문을 공개했다. CPU가 RSA 암호키를 처리할 때 발생하는 전력 소모량과 이에 따른 CPU 소리의 미세한 변화를 분석해 암호키 획득에 성공한 것. 두 대학은 논문에서 “스마트폰에도 CPU 소리 분석 툴 설치 및 분석이 가능하다”며 부채널 공격의 대상이 스마트폰으로 확장될 수 있음을 경고해 우려를 키웠다.
2018년 핀란드 탐페레 공대, 쿠바 아바나 공대 연구팀은 부채널 공격을 통해 인텔 마이크로프로세서에서 암호화된 데이터를 빼내는 데 성공했다고 밝혔다. ‘포트스매시(Portsmash)’라는 이름이 붙은 이 공격법은 시차분석 공격의 일종으로, CPU가 특정 명령을 실행할 때 소요되는 시간을 분석해 입력한 데이터를 추측한 것이다. ‘동시 멀티스레딩(SMT)’이라는 프로세서의 기술적 취약점을 활용했다.
2011년 프랑스에서는 절도범들이 훔친 신용카드의 IC(집적회로)칩을 개조해 60만 유로(약 7억 9,000만원)의 피해를 입히는 사건이 발생했다. IC칩의 전자서명 과정에서 발생하는 전기 소모량 등을 분석해 암호키를 탈취한 뒤, 이를 새 IC칩에 적용시켜 결제에 필요한 PIN코드(개인식별코드)를 우회한 것이다. 특히 이 사건은 2010년 미국 전자전기기술자협회(IEEE)가 주최하는 보안 및 프라이버시 심포지움에서 한 대학 연구팀이 입증했던 공격 방식이 실제로 이뤄진 사례라 큰 논란이 됐다.
예방법은
부채널 공격은 유형이 다양한 만큼, 예방법도 제각각이다. 시차분석 공격은 노이즈를 넣어 막을 수 있다. 연산 과정을 고의로 늘려 정확한 시간 측정에 혼란을 주는 것이다. 대부분의 암호화 라이브러리엔 이 기능이 추가돼 있다. 템페스트 공격은 공격 대상에 특수 케이스를 설치해 전자파 유출을 최소화하는 게 중요하다. CPU 소리 공격은 본체 내부를 수시로 검사하는 습관을 들여야 한다. CPU 탐지용으로 몰래 설치된 도청기가 없는지 확인하기 위해서다.
[양원모 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
