“가전제품부터 자동차까지 사물인터넷(IoT) 적용이 다양해졌지만 부채널공격에는 대부분 취약합니다. 사고 발생 후 보완이 아니라 유럽처럼 사전 예방이 필요합니다.” 한동국 차세대암호연구센터장(국민대 정보보안암호수학과 교수) 말이다.
부채널공격(Side Channel Attack)은 IC카드나 전자여권, IoT기기 등에서 암호 알고리즘이 작동할 때 전기 소모량, 전자기 신호량 등을 분석해 암호키를 탈취하는 해킹 기법이다. IoT 기기가 생활 깊숙이 들어왔지만 부채널 공격 등 고난이도 공격 대응은 전무하다.
한 센터장은 “주요 해킹 컨퍼런스에서 해킹 대상으로 우리나라 가전제품을 선택해 공격 대상으로 삼는다”면서 “제품 내 정보 암호화가 해킹 예방의 끝이 아닌데도 국내 가전제품 대부분은 암호화가 끝이라고 본다”고 말했다.
이어 “부채널 공격 등 물리적 분석 암호키 탈취 공격까지 막아내는 안전한 대응 설계기술까지 가져야 한다”고 말했다.
부채널공격은 네트워크, 서버 공격 등을 이용한 해킹과 달리 잘 알려져 있지 않다. 모든 기기가 가진 자체 취약점을 이용하기 때문에 복잡하고 안전한 암호를 사용해도 우회 공격이 가능해 치명적이다.
1996년 처음 공격이 발견됐으며 2000년대 초반부터 각국이 대응책 마련에 나섰다. 우리나라는 전자여권, 은행 IC카드 발급 등에 한정해 부채널 공격 대응 테스트를 진행한다.
부채널공격 위험도는 높아졌지만 국내 대응은 더디다. 일부 제품은 10년 전 부채널 공격 관련 대응 가이드라인을 제정 뒤 개정하지 않았다.
한 센터장은 지난해부터 부채널공격 취약점을 개선하는 새로운 암호 논리를 개발 중이다. 부채널공격 취약점이 등장한 후 이를 활용한 공격도 꾸준히 발전했다. 기존 설계 내에서 취약점을 방어하기 위한 대응 기술도 늘어났지만 보안 강화로 시스템 자체가 느려지는 문제가 발생했다. 설계단계부터 부채널공격 대응이 용이한 체계가 필요하다.
한 센터장은 “새로운 부채널공격 취약점이 지속 공개되면서 이를 방어하기 위한 솔루션을 추가하다보니 인증이 늦어지는 등 처리 속도 지연 문제가 발생했다”면서 “효율성과 안전성을 제고하기 위해 설계단계부터 부채널 공격 방어에 최적화 한 암호 논리를 설계해 내년 하반기 공개할 계획”이라고 말했다.
정영일기자 jung01@etnews.com
