[세종=뉴스핌] 이태성 기자 = 지스트(광주과학기술원)는 황의석 전기전자컴퓨터공학부 연구팀이 사물인터넷(IoT)을 타깃으로 한 재전송 공격을 방어할 수 있는 새로운 인증기법을 개발했다고 14일 밝혔다.

연구팀은 IoT 장치에서 측정한 PUF와 무선 통신 채널에서 수집한 채널 상태정보(Channel State Information, CSI)를 결합하는 인증기법을 고안했다.

'대학ICT연구센터 연구책임자 워크숍 2022'에서 학생창의자율과제 부문 과학기술정보통신부 장관상을 수상하는 황의석 교수 [사진=지스트(광주과학기술원)] 2022.12.14 victory@newspim.com

장치는 공정 과정에서 발생하는 오차로 인해 서로 다른 응답 특성을 갖게 되는데 이를 '물리적 복제 방지기능(Physically Unclonable Function, PUF)'이라 한다. 이 특성만을 사용해 보안키를 생성하면 사용자 인증을 할 때 신호 도청을 기반으로 하는 재전송 공격에 취약하다.

사람마다 지문이 다른 것처럼 채널 상태 정보(CSI)는 물리적 환경의 공간적 특성이 반영돼 측정되므로 측정하는 환경에 따라 그 값이 다르다. 공격자가 적법한 인증 신호를 도청해 재전송하더라도 적법한 사용자와 물리적으로 같은 위치에 존재하는 것은 불가능하므로 공격자의 인증 시도는 무력화된다.

연구팀이 32bits 길이의 보안키를 사용해 재전송 공격에 대한 신원 인증 성능을 평가한 결과 기존 PUF를 활용한 인증기법은 50만 번의 공격 중 약 0.5% 확률로 공격자의 인증 시도가 허용됐지만, 연구팀의 새로운 인증기법은 공격자의 인증 시도를 모두 차단할 수 있었다.

황 교수와 한승남·이해원·윤승욱 학생은 이번 연구 성과로 지난 11월 과학기술정보통신부가 개최한 '2022년도 대학ICT연구센터 연구책임자 워크숍'에서 과기정통부 장관상을 수상하고, 관련 기술을 미국에 특허로 출원했다. 오는 17일 일본 오사카에서 열리는 '빅데이터' 관련 국제학술대회에서 연구 성과를 발표할 예정이다.

황의석 교수는 "IoT는 가전 장치부터 사회 중요시설까지 광범위하게 설치되고 있으며 IoT 장치에 대한 사이버 공격은 심각한 사회문제로 이어질 수 있다"며 "CSI와 PUF를 결합한 보안키 생성기법은 공격자의 도청으로부터 IoT 장치를 보호할 수 있는 솔루션이 될 수 있을 것"이라고 전했다.

victory@newspim.com