(2017-05-03) 북한 암호토큰 표준(PKCS#11) 취약점 공격 연구
공격 시나리오 3가지 작성...대응책으로 서명 인증 제시
북한이 보안기술 중 하나인 암호토큰 표준 PKCS#11의 취약점을 연구해 공격 방식을 도출한 것으로 확인됐습니다.
북한은 3가지 공격 시나리오를 연구했으며 자체적인 대응 방안으로 서명 인증 적용도 연구한 것으로 보입니다.
대북소식통에 따르면 북한 김일성종합대학이 최근 발행한 김일성종합대학학보 63권 2호에 'PKCS#11통표에서 외부열쇠 반입 때 열쇠 검증의 한 가지 방법'이라는 논문이 수록됐다고 합니다.
논문은 PKCS#11 규약의 보안취약점들 중 외부열쇠 반입에 의한 취약점이 반출 열쇠자료의 해쉬값을 이용해 해결되고 있으나 이것은 해쉬 알고리즘들이 공개돼 있기 때문에 쉽게 해쉬값을 계산해 공격할 수 있는 가능성이 있다고 주장했습니다.
PKCS(public-key cryptography system)는 미국의 RSA가 개발한 암호작성 시스템으로 인터넷상에서 안전한 정보 교환 등을 위해 사용되고 있습니다. PKCS 표준은 PKCS#1부터 PKCS#15까지 있다고 합니다. 그중 PKCS#11은 암호토큰 인터페이스 표준을 뜻합니다.
북한 연구원들도 논문에서 PKCS#11을 설명하고 있습니다. 그들은 PKCS가 공개열쇠 암호화표준들의 집합이며 그중 PKCS#11은 응용프로그람과 암호학적장치(지능카드, USB열쇠통표 등들 사이의 대면부인 암호학적 API(Application Programming Interface)에 대한 표준이라고 정의했습니다.
논문은 PKCS#11 취약점들과 그것에 대한 해결방안들을 분석하고 검증된 열쇠들만을 반입할수 있는 방법을 제안한다고 밝히고 있습니다.
북한 연구원들은 취약점을 활용한 3가지 시나리오를 소개했습니다.
<사진1>
사진1은 첫 번째 비법열쇠생성 공격 방법입니다.
토큰안에 승인되지 않은 열쇠를 발생시키는 수법을 의미한다고 합니다. 이것은 사용자가 우연 발생한 자료 R를 이용해 열쇠반입 함수를 호출하는 방법으로 가능하다고 합니다.
<사진2>
사진2는 두 번째로 열쇠묶음 공격 방법이라고 합니다.
<사진3>
사진3은 세 번째로 트로이동봉열쇠 공격방법이라고 합니다.
북한 연구원들은 3가지 공격방법들이 모두 외부로의 반출 또는 반입 때 암호화 된 열쇠자료에 대한 검증을 할 수 있는 기능이 없어서 발생하는 문제라고 지적했습니다.
이에 대한 대책으로서 암호화 된 열쇠자료에 대한 해쉬값을 이용하는 방법이 제안됐지만 이 방법도 해쉬 알고리즘이 공개돼 있고 해쉬값 계산이 어렵지 않은 조건에서 직접 해쉬값을 계산해 공격하는 것을 막을 수 없다고 주장했습니다.
그래서 북한 연구원들은 서명자료를 이용하는 방법을 제안했습니다.
<사진4>
사진4는 대책 내용입니다.
논문은 해쉬값 대신 서명자료를 이용해 암호화 된 열쇠자료를 검증하는 방법을 제안하고 있습니다.
이 방법은 신뢰할 수 있는 증명기관으로부터 토큰별로 토큰증명서를 발급받아 토큰안에 보관하고 암호화 된 열쇠자료의 서명에 이용함으로써 외부열쇠자료가 신뢰할 수 있는 토큰으로부터 반출된 것이며 외부열쇠자료가 변조되지 않았음을 확인할 수 있도록 해준다는 것입니다.
전자서명을 암호토큰 기술과 결합하는 내용으로 보입니다.
이 논문은 전문적이면서도 어려운 내용을 담고 있습니다. 하지만 몇가지 명확한 사실을 알 수 있습니다.
우선 북한이 암호토큰 기술을 사용하고 있다는 점입니다. 자신들이 사용하고 있기 때문에 취약점을 찾고 보완책을 마련한 것으로 해석할 수 있습니다.
또 북한이 취약점과 공격방식을 알고 있다는 점도 확인할 수 있습니다. 북한 해커들이 이 취약점과 공격 방식을 사용할 수도 있을 것입니다.
이와 함께 북한이 전자서명 기술을 사용하고 있으며 이를 실제 적용했을 가능성도 높은 것으로 보입니다.
북한은 최근 보안 기술 개발과 연구에 심혈을 기울이고 있습니다. 자신들이 해킹을 당하는 것을 막기 위해 고심하고 있는 것으로 보입니다.
이전기사
2016/09/24 - 북한, USB 열쇠로 이용한 보안 기술 개발
2016/09/11 - 북한 보안네트워크 구성방식 'ASDDN' 개발
2016/08/31 - 북한, 네트워크 보안 강화...JSON 이용 로그분석체계 구축
2016/07/05 - 북한의 웹DB 암호화...JNI 이용 자바, C언어 복합 암호 방식
강진규 기자 wingofwolf@gmail.com
'북한 기사 > 북한IT' 카테고리의 다른 글
SW 품질 개선 방안 찾는 북한 (0) | 2017.05.07 |
---|---|
북한, 미국 에스리 GIS로 시스템 구축? (0) | 2017.05.05 |
북한 네트워크 장비 L2 스위치 자체 개발 (0) | 2017.05.03 |
애플, 델 컴퓨터로 만들어진 북한 만화영화 고주몽 (0) | 2017.03.26 |
북한, 지난해 김정은 지시로 국가정보화국 창설 (0) | 2017.03.12 |