악성공격자들의 암호 해킹 수법이 암호알고리즘에 대한 허점 이용하기보다 전자기기 자체에서 나타나는 전자신호를 이용하는 경향이 있어 이에 대한 연구가 필요하다는 의견이 제기됐다.
이런 문제제기는 한국광고문화회관 2층 대회의실에서 개최되고 있는 ‘2008 u-Payment Grand Forum’에서 나왔다.
2일째인 10일 두 번째 강사로 나선 ETRI 한동국 연구원은 암호의 알고리즘을 건드리지 않고도 암호를 해독할 때 디바이스에서 발생하는 연산시간이나 소모전력, 전자기과 오류출력 등의 부채널 정보를 분석하면 암호를 찾아낼 수 있다고 주장했다.
그는 “암호알고리즘을 건드리지 않고 보안하드웨어장치를 구동할 때 발생하는 부수정보를 찾아내 보안암호를 탐색할 수 있다”면서 “이는 아무리 보안알고리즘이 잘돼 있다해도 이와 별개로 부채널 정보를 통해 모든 보안암호를 찾아낼 수 있기 때문에, 부채널에 대한 대비가 없다면 어떤 암호 알고리즘을 이용한다해도 안전할 수 없다”고 강조했다.
이런 위협은 키보드에서 발생하는 전자파를 이용해 패스워드를 빼내는 동영상이 인터넷에 공개되면서 일반인에게도 소개된 바 있다.
부채널 보안위협에 대한 연구는 미국과 일본, 유럽 등에서 이미 10년 전부터 시작되고 있었지만 우리나라의 경우 올해부터 본격적인 연구를 시작하고 있어 다른 나라에 비해 늦은 편.
특히 금융권에서 IC카드의 사용이 늘고 있는 가운데 IC카드에 대한 부채널 위협 가능성이 있기 때문에 이에 대한 대비가 필요할 것으로 보인다. 올해초 금융정보화추진분과위원회는 금융IC카드 보안토큰 규격 v1.10에서 차분전력분석기법 등에 의해 저장된 정보가 외부로 유출되지 않는 IC카드 사용하라고 권고하고 있다.
하지만 아직까지 부채널 분석 장비가 외산에 의존해 고가로 형성돼 있고 분석에 대한 표준도 아직까지 정립돼 있지 않아 많은 관련 제조사들이 부채널에 대한 대비에 어려움을 겪고 있다. 특히 보안업체들의 경우 부채널에 대한 기준이 CC인증의 시험항목에도 포함돼 있어 국산 저가 분석장비 개발의 필요성이 더욱 강조되는 상황.
이에 대해 한동국 연구원은 “앞으로 보안 디바이스의 물리적 안정성에 대한 검증이 필요한 가운데 외산 분석장비 및 기술 의존도를 탈피해야한다”며 “이를 위해서는 국내에서도 저가 보급형 부채널 분석시스템의 개발이 필요하며, 더 나아가 수출을 위해서 보안모듈 평가 관련 국제 표준화 작업도 참여해야할 필요가 있다”고 역설했다.
출처 : 보안뉴스