과기정통부 장관상 수상…미국 특허 출원
광주과학기술원(GIST)은 황의석 전기전자컴퓨터공학부 교수팀이 사물인터넷(IoT)을 타깃으로 한 재전송 공격을 방어할 수 있는 새로운 인증기법을 개발했다고 14일 밝혔다.
재전송 공격은 공격자가 무선 통신 인증 체계를 교란하고자 할 때 취할 수 있는 전략 가운데 하나다. 적법한 사용자가 주고받는 인증 신호를 도청해 그대로 재전송하는 기법으로, 일반적으로 방어하기 어려운 공격으로 알려져 있다.
황 교수와 한승남·이해원 전기전자컴퓨터공학부 학생, 윤승욱 기계공학부 학생은 IoT 장치에서 측정한 물리적 복제 방지기능(PUF)과 무선 통신 채널에서 수집한 채널 상태정보(CSI)를 결합하는 인증기법을 고안했다.
PUF 특성만을 사용해 보안키를 생성하고 사용자 인증을 진행할 경우 신호 도청을 기반으로 하는 재전송 공격에 취약하다고 알려져 있다. CSI는 물리적 환경의 공간적 특성이 반영돼 측정되므로 측정하는 환경에 따라 그 값이 다르다. 따라서 공격자가 적법한 인증 신호를 도청해 재전송하더라도 적법한 사용자와 물리적으로 같은 위치에 존재하는 것은 불가능하므로 공격자의 인증 시도는 무력화된다.
연구팀이 32비츠(bits) 길이의 보안키를 사용해 재전송 공격에 대한 신원 인증 성능을 평가한 결과, 기존 PUF를 활용한 인증기법은 50만 번의 공격 중 약 0.5% 확률로 공격자의 인증 시도가 허용됐지만, 새로운 인증기법은 공격자의 인증 시도를 모두 차단할 수 있었다. IoT를 적용한 시스템 보안이 뚫릴 경우 발생할 수 있는 심각한 사회문제를 예방하고 IoT 관련 보안의 신뢰성을 제고해 IoT 산업의 활성화를 촉진할 수 있을 것으로 기대하고 있다.
연구팀은 지난 11월 과학기술정보통신부가 개최한 ‘2022년도 대학ICT연구센터 연구책임자 워크숍’에서 과기정통부 장관상을 수상했으며 관련 기술을 미국에 특허 출원했다. 오는 17~20일에 일본 오사카에서 열리는 ‘빅 데이터’ 관련 국제학술대회에서 관련 연구 성과를 발표할 예정이다.
황의석 교수는 “IoT는 가전 장치부터 사회 중요시설까지 광범위하게 설치되고 있으며, IoT 장치에 대한 사이버 공격은 심각한 사회문제로 이어질 수 있다”며 “CSI와 PUF를 결합한 보안키 생성기법은 공격자의 도청으로부터 IoT 장치를 보호할 수 있는 솔루션이 될 수 있을 것”이라고 말했다.
/윤종채 기자 yjc@namdonews.com