RFID/USN 하드웨어 보안 대책

수동형 RFID 태그의 구조 및 기능을 간단히 언급한 후 수동형 RFID 태그 보안을 위하여 연구되고 있는 보안 프로토콜을 필요한 연산에 따라 살펴보고자 한다. 또한 이러한 프로토콜 구현에 필요한 HASH 알고리즘과 AES 알고리즘을 저전력 구조로 설계·분석해 이의 수동형 RFID 태그로의 적용을 검증하고자 한다. 아울러 이러한 보안 모듈 구현 시 위협 요소 중 하나인 부채널 분석에 대해 언급한다.

RFID 기술은 무선 데이터 전송이라는 사용의 편리성으로 인하여 여러 분야로의 응용이 고려되고 있는 근거리 자동 인식 기술이다. 하지만 무선 데이터 전송은 사용의 편리성을 제공하지만 보안 및 프라이버시 보호 문제를 야기한다.

이러한 문제를 해결하기 위해서는 높은 강도의 암호 알고리즘 구현이 필요하지만 RFID 시스템 제약 사항으로 인하여 고비도의 암호 알고리즘 사용에 제약이 있다. 특히 수동형 RFID 태그는 리더로부터 전원을 공급받아야 동작하는 자원 제약이 심한 장치로써, 이러한 자원 제약으로 인하여 보안상 문제점에도 불구하고 현재까지는 바코드를 대처하는 수준의 간단한 하드웨어 로직만 구현된 RFID 태그가 사용되고 있다.

하지만 RFID 시스템의 응용이 확대됨에 따라 보다 복잡한 RFID 시스템 개발이 요구되고 있으며, 이러한 RFID 시스템에서의 사용자 프라이버시 보호 및 데이터 보안의 필요성도 같이 요구되고 있다.

본고에서는 이러한 수동형 RFID 태그의 구조 및 기능을 간단히 언급한 후 수동형 RFID 태그 보안을 위하여 연구되고 있는 보안 프로토콜을 필요한 연산에 따라 살펴보기로 한다. 또한 이러한 프로토콜 구현에 필요한 HASH 알고리즘과 AES 알고리즘을 저전력 구조로 설계·분석하여 이의 수동형 RFID 태그로의 적용을 검증하고자 한다. 그리고 이러한 보안 모듈 구현 시 위협 요소 중 하나인 부채널 분석에 대하여 언급하고자 한다.

저전력 HW/SW 보안 및 설계 기술

1. 수동형 RFID 태그

수동형 RFID 태그는 외형상으로 크게 안테나와 RFID IC 부분으로 구분할 수 있다. 안테나는 리더로부터의 신호를 받거나 태그에서 리더로 신호를 전송하기 위하여 사용된다. RFID IC는 다음과 같이 아날로그 회로와 디지털 처리 회로, 메모리 등으로 구성된다.

아날로그 회로는 그림 2와 같이 전압체배기, 복조회로, 변조회로, Power on Reset(POR)회로, 클록 발생회로, 정전압 발생회로 등으로 구성된다.

‘아날로그부’는 ‘리더’로부터의 전송 신호로부터 전원을 생성하고 디지털부에 클록을 제공하며 ASK신호로부터 데이터 검출을 위한 초기 처리 과정을 수행한다.

초기상태에서 리더는 태그의 power-up을 위해 신호를 전송하고, 일정 시간 후에 태그로 ASK신호의 명령(command)을 보내기 시작한다. 디지털부가 안정적으로 명령을 수신할 수 있도록 전압체배기는 기준전압회로 및 정전압 발생회로가 정상동작 할 수 있도록 충분한 출력전압을 제공해야 하며 정전압 발생회로는 클록의 안정화 및 Power_On_Reset 회로의 power-on 신호 발생을 위해 빠른 시간 안에 출력전압이 안정되어야한다.

‘디지털부’는 크게 부호기, 복호기, 메인 제어기 등으로 구성되며 보안 프로토콜 수행을 위한 보안 모듈이 구현될 수 있다. 부호기는 리더에서 보낸 기준 데이터들을 참조하여 전송 신호를 생성한다.

복호기는 리더에서 보낸 데이터를 기준 신호를 참조하여 0, 1의 데이터로 판단한다. 메인 제어기는 이러한 부호기와 복호기의 원활한 동작을 위하여 디지털 부 동작을 제어하는데 크게 Modem State Machine, TX-RX State Machine, 명령해독기, 에러검출기, 비교기, 실행기, 클럭 제어기 등으로 구성된다.

2. 수동형 RFID 태그 보안

RFID 시스템에서 사용자의 프라이버시 보호 및 데이터 보안을 위한 여러 가지 기법들이 제안되었다. 이런 기법들은 크게 태그 무효화(kill), Faraday Cage, Blocker 태그 등 물리적 접근기법과 비트연산(XOR) 기반, 해쉬함수 기반, 재암호화 등 암호학적 접근기법으로 분류된다.

프라이버시 보호 뿐 아니라 인증 및 데이터 보호까지 고려하기 위해서는 암호학적 접근 기법을 이용하여야 한다. XOR 기반의 기법은 단순한 로직 연산으로 RFID와 같이 하드웨어 제약이 많은 시스템에 적절한 것으로 고려되고 있다. 실제로 ISO/IEC 18000-6 타입C 표준에서도 데이터를 비밀키 값과 XOR하여 전송하는 방식으로 데이터를 암호화 할 수 있도록 하고 있다. 하지만 이러한 단순 XOR 방식은 태그와 리더 사이에서 수동 공격(passive attack)으로도 비밀 정보를 알아낼 수 있다.

대칭키 기반의 암호 알고리즘은 하드웨어 구현의 복잡성으로 인해 RFID와 같은 환경에 적합하지 않은 것으로 간주되었으나 Feldhofer, Dominikus, Wolkerstorfer 등에 의하여 AES의 저면적 구현이 RFID 시스템의 인증 및 암호 프로토콜로 사용가능함으로 보임으로써 점차 RFID 시스템으로의 활용에 대한 연구가 활발히 진행되고 있다.

Feldhofer가 제시한 AES 구조는 하나의 S-BOX 만을 사용하는 저면적/저면적 구조로 구현되며 128비트 AES 암호화 연산을 수행하는데 1,000 사이클 정도가 소요된다.

Feldhofer의 논문 이후에 대칭키 암호 알고리즘을 RFID와 같은 자원 제약형 디바이스에 적용하고자 AES의 구현 면적과 소비전력은 낮추면서 동작 성능은 높이거나 대칭키를 이용한 효율적인 인증 및 암호화 프로토콜, 자원 제약형 디바이스에 적합한 새로운 암호 알고리즘 개발 등의 연구가 활발히 진행되고 있다.

위에서 언급한 바와 같이 암호학적 기법을 적용하면 태그 리더간의 안전한 통신을 보장할 수 있다. 하지만 이러한 보안 프로토콜을 이용하여 구현하더라도 태그에 대한 물리적 공격으로 인한 암호화 키 추출이 가능하다. 실제로 그림 5와 같이 프로그래머블 로직으로 많이 사용되는 eFUSE 경우, SEM(Scanning Electron Microscope) 전자현미경으로 관찰하면 프로그램 된 eFUSE를 쉽게 확인할 수 있으며 이를 통해 키 값을 추출할 수 있다.

HW기반 불법복제방지 기술

물리적 공격에 의한 키 추출을 방지하기 위해서 회로 내에 공격을 감지하는 센서를 사용하여 공격이 감지되었을 때 전원을 차단하거나 회로를 파괴하는 방식으로 대응할 수 있으나 이러한 센싱 회로 사용은 공정 비용을 높이며 부채널 공격 가능성을 높이는 단점이 있다. 현재는 키를 별도로 저장하지 않고 디지털 회로로 지문과 같은 로직을 구현하여 이를 키로 사용하는 연구가 많이 진행되고 있다.

대표적인 기술이 PUF(Physically Unclonable Function)다. PUF는 동일한 회로라 하더라도 회로를 구현하는 공정 상황에 따라 wire delay 및 gate delay가 미세하게 다르다는 점을 이용한 회로이다. 이는 작은 게이트 로직으로 구현 가능하며 랜덤 출력을 쉽게 생성할 수 있는 특징이 있다. 또한 공정 상황에 따른 delay 차이를 이용하기 때문에 PUF 회로가 공개되더라도 동일한 출력이 나오는 회로 구성이 어렵다. 이러한 PUF는 delay loop를 이용한 ring oscillator 방식과 스위칭 회로를 이용한 arbiter 기반 PUF가 있으며, 실제 구현은 이러한 두 가지 방식을 혼합하여 사용한다.

PUF는 작은 면적의 회로로 복제를 방지할 수 있는 특징이 있으나 PUF 특성상 구동 환경에 따라 서로 상이한 값을 출력할 수 있다. 이러한 현상을 방지하기 위해 오류정정 기법을 PUF에 적용하는 연구가 병행되고 있으나, 이로 인한 회로 추가 문제 및 PUF 랜덤 특성 감소 등의 문제가 있다.

RFID/USN 부채널 공격 기술 및 대응법

부채널 공격(SCA: Side Channel Attack)은 암호화에 사용된 키를 찾기 위해서 암호 알고리즘의 이론적인 취약점이 아닌 암호화 과정에서 누설되는 타이밍 정보, 전력소모, 전자파 신호등을 이용하는 물리적인 공격방법이다. 이러한 공격은 불과 10년이 넘지 않는 짧은 역사에도 불구하고 강력한 공격기법으로 인정받고 있다.

현재까지 연구된 부채널 공격기법에는 시차분석(TA: Timing Attack) 기법, 전력분석(PA: Power Analysis) 기법, 전자파 분석(Electromagnetic Analysis) 기법 및 상관 전력분석(CPA: Correlation Power Analysis) 기법 등이 있으며 이중에서 전력분석 공격과 전자파분석 공격기법이 가장 강력하다고 알려져 있다.

Paul Kocher 등에 의해 제안된 전력분석 기법은 암호화가 일어나는 동안 측정된 전력 소모량의 통계적 특성의 차를 이용하며 이러한 차분 전력 분석(DPA: Differential Power Analysis) 기법의 경우 보안을 위협하는 강력한 공격 방법이 되고 있다.

그러나 현재까지 제안된 다양한 부채널 공격기법들은 대부분 국내가 아닌 외국에서 이루어졌으며 부채널 공격을 위한 실험환경은 스마트카드와 같은 단순한 환경으로 국한되어 실제 복잡한 시스템에 적용하기에는 아직까지 많은 제약조건이 있는 것이 사실이다. 따라서 이를 RFID/USN과 같은 환경에서 적용하기 위해서는 보다 다양한 실험환경에서의 연구가 필요할 것으로 전망된다.

1. Simple Power Analysis(SPA)

파워신호를 이용하는 부채널 공격 중의 하나인 SPA에서 공격자는 암호화 동작 중에 보안 장치에서 발생하는 여러 물리적 신호들을 측정하여 부채널 공격에 이용할 수 있는데 전력분석 기법은 암호화 과정에서 소모되는 전력 신호를 이용하는 기법이다.

SPA(Simple power analysis) 기법은 암호화 동작 중에서 측정된 소비 전력 신호를 부가적인 처리 없이 바로 부채널 공격에 사용한다.

그림 10은 16라운드 DES(Data Encryption Standard) 알고리즘 동작 과정에서 소비되는 전력 신호를 측정한 것이다. 그림에서 볼 수 있는 것처럼 16라운드 동작에 의한 소비 전력 신호의 변화를 확인 할 수 있으며 파형을 자세히 관찰함으로써 암호화 동작에 대한 다양한 정보를 얻어낼 수 있다.

RSA에 대한 SPA 공격을 방어하기 위해서는 암호 연산이 수행될 때 연산의 수행패턴에서 비밀키에 대한 의존성을 제거해야한다. 암호 연산을 수행하는 알고리즘에서 제곱과 곱셈의 연산량을 동일하게 설계하면 곱셈과 제곱연산이 수행할 때 발생하는 소비전력에서 연산의 패턴을 파악할 수 없게 된다. 다른 방법으로는 알고리즘이 비밀키와 무관하게 동일한 연산이 항상 실행하도록 하는 것이다. 키 비트가 ‘0’일 때도 더미 곱셈을 실행시키는 방법으로 SPA를 막을 수 있다.

2. Differential Power Analysis(DPA)

DPA(Differential power analysis)는 Paul Kocher 등에 의해서 제안된 측정 소비 전력 신호의 통계적 특성을 이용하는 기법이다. 이 분석기법은 디지털 신호의 출력 비트가 0 또는 1로 표현될 때 소모되는 전력에 차이가 있다는 점을 기반으로 한다. DPA의 구현은 다음의 두 단계로 나눌 수 있다.

먼저 데이터 수집 단계로 스마트카드나 장비가 암호학적 연산을 실행 시에 소비되는 전력을 표본화(sampling) 하여 그 데이터를 수집한다. 데이터 수집 후에는 데이터 분석 단계로 그 표본화한 데이터를 잡음신호 감소와 차분(differential) 신호의 명확성을 위해 디지털 신호 해석과 통계적인 방법으로 분석한다. 이와 같이 장비에서 얻어진 데이터를 다음과 같은 단계를 거쳐서 분석하게 된다.

그림 11을 보면 추측된 키 값이 옳을 때의 특정 시간에서 차분 신호가 피크 값을 가지며 나머지 경우에는 피크 값이 나타나지 않음을 확인할 수 있다.

DPA는 샘플데이터에 대한 전력소비 곡선에서 나타나는 통계적인 특성을 이용하여 이루어진다. 비밀키에 의존하는 전력의 소비량을 통계적으로 나타나지 않게 하기 위해서는 통계적으로 분석하여도 비밀정보에 대한 부채널 정보가 누설되지 않도록 하면 된다. 대표적인 방법으로 알고리즘의 모든 라운드의 모든 수행과정이 마스킹에 의해 랜덤화하여 연산을 수행하는 방법이 있다.

국내외 부채널 기술 현황

1. 국내 부채널 분석 툴 및 대응기술 개발

초기에는 대학교(경북대학교, 고려대학교 등)가 중심이 되어 부채널 분석 S/W 툴 등을 개발하였으며 최근 들어 한국전자통신연구원에서 효율적이고 다양한 분석 기법들을 구현하고 있다.

그러나 현재 개발된 분석 툴 들이 주로 외국에서 제안된 분석 알고리즘을 기반한 것으로, 원천성이 많이 결여되어 있다. 따라서 국내 순서 기술로 개발된 분석 알고리즘을 기반한 S/W 및 H/W 분석 도구 개발이 필요한 실정이다.

지난 2006년 6월부터 KIISC 산하 IT 보안성 평가 위원회가 구성되어 보안성 평가와 관련된 국내외 동향 파악 및 기술 개발을 다루고 있다. 또한 2008년 2월부터 암호연구회 산하 부채널 분석 워킹그룹이 구성되어 부채널 분석 기법 및 대응법 개발을 연구하고 있다.

국내에서는 아직까지 부채널 분석에 대한 대응 기법의 필요성 인식이 부족하여 부채널 분석 및 대응 기술 개발에 적극적인 투자가 현실적으로 되지 않고 있으며, 최근 들어 다양한 부채널 분석에 대한 위협성이 제시되면서 FSA(금융보안연구원)에서는 현재 사용되는 금융 디바이스에 대한 부채널 분석 가능성 및 대응 기술의 필요성을 인식하게 되었다.

2. 해외 부채널 분석 툴 및 대응기술 개발

해외에서는 부채널 분석 및 방지에 대한 국가 R&D 프로젝트를 수행하고, 분석 장비를 보급하고자 하고 있다. Cryptography Research Inc.사, RiScure사, Brightsight사 등에서 스마트카드용 부채널 분석 장비 개발하여 고가로 판매하고 있다.

유럽에서는 오스트리아, 독일, 벨기에 등이 참여한 SCARD(Side Channel Analysis Resistant Design) 프로젝트(2003년~ 2006년)는 스마트카드 안전성 평가방법 및 대응법 가이드라인 등에 대한 연구 진행하였고, 일본에서는 2007년부터 산업기술종합연구소(AIST) 산하 정보보호연구센터(RCIS) 주관으로 부채널 분석보드(SASEBO보드)를 개발/배포하고 그 결과를 반영한 JCMVP 및 NIST FIPS 140-3 표준 작성중이다.

국내 부채널 기술 개발 필요

부채널 분석 관련 국내 제품은 전무한 상태이고 해외에서 개발된 장비들은 대부분 2억 이상의 고가이다(국외 DPA 장비가격 : CRI 사 - 2.6억, Riscure사 - 1.8억, Brightsight사 - 2.4억).

또한 고도의 안전성 및 신뢰성이 요구되는 보안 u-디바이스에 대한 평가 필요시 국내에서는 평가를 받을 수 없어 국외에서 평가를 받아야 한다.

높은 등급을 요구하는 보안 디바이스에 대해서는 외국에서 안전성을 평가 받기 위해서는 소스코드 등 제품과 관련된 모든 개발 정보를 공개해야 함에따라 국내 제품 개발 기술이 국외로 유출될 가능성이 있는데 보안 디바이스에 대한 다양한 평가 기술을 확보함으로써 해외 의존도 및 기술 유출 우려를 감소시키면서 기술 독립을 기대할 수 있을 것이다.

<글 : 최두호 한국전자통신연구원 RFID/USN보안연구팀 팀장(dhchoi@etri.re.kr), 이해동 선임, 강유성 선임, 최용제 선임, 한동국 박사, 박남제 박사(미국 UCLA대학교, namjepark@ucla.edu)>

[월간 정보보호21c 통권 제104호 (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)