2024-03-29 18:30 (금)
"RSA 시큐어ID 800 암호키 13분만에 해독" 주장!
상태바
"RSA 시큐어ID 800 암호키 13분만에 해독" 주장!
  • 길민권
  • 승인 2012.07.02 02:58
이 기사를 공유합니다

패딩 오라클 공격이라 불리는 암호 해독 수단 이용
미국 EMC산하 RSA회사가 제공하는 2팩터 인증 제품 SecurID 800이 생성하는 암호 키를 13분만에 찾아낸 연구 결과가 공개되었다고 미국 언론인 Ars Technica가 6월26일자로 보도했다. (arstechnica.com/security/2012/06/securid-crypto-attack-steals-keys)
 
SecurID 800은、RSA SecurID의 원타임 패스워드 기능을 USB 디바이스로 조합한 인증 디바이스다. 패스워드 정보를 안전하게 보관할 수 있어 많은 기업이나 정부 기관이 채용하고 있다.
 
Team Prosecco라는 전문가팀은 발표 논문에서 RSA 제품과 같은 유사한 암호화 디바이스의 암호 키 import 기능의 약점을 뚫는 데 성공했다고 한다.
 
패딩 오라클 공격이라 불리는 암호 해독 수단을 이용한 결과, Aladdin eToken PRO、Gemalto Cyberex、RSA SecurID 800、SafeNet iKey 2032、Siemens CardOS에서 암호 키를 빼내는 것이 가능했다고 한다.
 
그 중에서도 SecurID 800에서 가장 짧은 13분에 키를 찾아내는 데 성공했다. 이 연구팀은 8월에 미국 산타바바라에서 개최되는 국제암호연구학회(IACR) 주최 CRYPTO 2012에서 이 연구 결과를 발표할 예정이다.
 
한편 RSA사는 공식 블로그에서 이 논문에서 설명하고 있는 방법으로는 SecurID 800의 안전성이 위협받지 않는다고 반론했다.
 
연구팀이 지적한 취약성에 의하여(생각하기 어렵지만) 공격자가 직접 디바이스를 손에 넣으면 디바이스로 보내어지는 데이터에 액세스 할 수 있을 지도 모르지만 그렇다고 해서 디바이스에 보존된 비밀키가 공격자에게 주어지는 의미는 아니라고 한다.(ITmedia 2012.06.27)
[박춘식 서울여자대학교 정보보호학과 교수]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#암호