Security Analysis of Remote Healthcare System in Cloud-based IoT Environment

클라우드 기반 IoT 환경의 원격 헬스케어 시스템에 대한 보안성 분석

Abstract

As computer performance is leveled upward, the use of IoT systems is gradually expanding. Although IoT systems are used in many fields, it is true that it is difficult to build a safe system due to performance limitations. To overcome these limitations, many researchers have proposed numerous protocols to improve security issues. Among them, Azrour et al. except. We proposed a new efficient and secure authentication protocol for remote healthcare systems in a cloud-based IoT environment, and claimed that the new protocol could solve the security vulnerabilities of the existing protocols and was more efficient. However, in this paper, through the security analysis of the remote healthcare system in the cloud-based IoT environment proposed by Azrour et al., the protocol of this system was found to be vulnerable to Masquerade attack, Lack of Perfect Forward Secrecy, Off-line password guessing attack, and Replay attack.

Ⅰ. 서론

컴퓨팅 파워가 상향 평준화됨에 따라 IoT 시스템의 활용도가 점점 넓어지고 있다. 그럼에도 불구하고 IoT 기기의 태생적인 하드웨어적 한계로 인해 IoT 기기에서 단독으로 프로세스를 처리하는 것보다 클라우드 서버라는 근거리에 있는 서버로 일부 프로세스를 대신 처리하고 중계해주는 솔루션을 적용한 IoT와 클라우드 시스템이 결합된 형태가 제조, 유통, 판매 등 산업계의 IoT 시스템, 개인의 Home-IoT 시스템 등 여러 분야에서 여러 형태로 활용되고 있다. 특히, Kim et al. 의 주장처럼 최근 헬스케어 산업에 대한 수요가 늘어나는 추세이며 기술의 발전과 맞물려 Kim et al. 혹은 Jo et al. 의 연구와 같은 헬스케어 산업에서 전술한 시스템을 활용하는 방안이 대두되고 있다[1-5].

이러한 현상은 의료인력의 보조와 분산을 도와 더욱 많은 사람들이 양질의 헬스케어 서비스를 받을 수 있는 계기가 되어준 반면, IoT와 클라우드의 보안성과 헬스케어 산업의 특성상 개인정보가 포함되어 있다는 점에서 이러한 민감정보가 이전보다 더 쉽게 유출되고, 헬스케어 시스템이 더 위중한, 더 잦은 공격을 당할 수 있는 상황에 놓이게 되었다. 예를 들어, 공격자가 적법한 사용자 간에 공유되는 정보를 쉽게 도청하거나 수정할 수 있고, 적법한 사용자를 가장해 잘못된 프로세스를 진행시키거나 시스템을 마비시킬 수 있다. 게다가 노출된 액세스 포인트와 보편적인 액세스 인터페이스는 그만큼 공격자들도 쉽게 접근이 가능하고, 잘못 설계된 시스템의 인증 프로토콜은 공격자들의 접근을 막지 못하고 오히려 자원 낭비가 될 수 있다. 따라서 사용자를 인증하기 위한 많은 시스템이 새로 제시되어오고 있으며, 기존 시스템의 문제점을 지적하며 보다 향상된 시스템을 제시하기도 한다.

예를 들어, Jin et al. [6] 처럼 안전한 클라우드 서비스를 위한 프레임워크를 제시하는 경우도 있으며, Song et al. [7] 처럼 클라우드 서비스를 위한 상호 인증 프로토콜을 제시하는 경우도 있다. 그 중에서도 Azrour et al. [8] 는 클라우드 기반 원격 헬스케어 시스템에서의 새로운 인증 프로토콜도 이러한 문제를 해결하기 위해 기존 프로토콜에 대한 문제점을 지적하며 Mutual authentication, Data integrity, Verification table, Session key, DoS attack preventation, Perfect forward secrecy, Protecting from off-line password guessing attack, Reply attack tolerance, Avoiding insider attack 등의 면에서 보안적으로 향상된 그들만의 프로토콜을 제안했다.

하지만, 우리는 보안성 분석을 통해 Azrour et al.의 프로토콜이 Masquerade attack, Lack of perfect forward security, Possibility of off-line password guessing attack, Replay attack 등 여전히 여러 보안 취약점이 있다는 것을 발견했고 이를 밝히고자 한다.

본 논문의 구성은 다음과 같다. 2장에서 Azrour et al.의 클라우드 기반 IoT 환경의 헬스케어 시스템의 프로토콜에 관련된 연구를 설명한 후, 3장에서 Azrour et al. 의 클라우드 기반 IoT 환경의 헬스케어시스템의 프로토콜의 동작 과정을 분석하며 4장에서 Azrour et al.의 클라우드 기반 IoT 환경의 헬스케어시스템의 프로토콜 보안성 분석을 통한 취약점을 제시한다. 마지막으로 5장에서 본 논문의 결론을 짓는다.

Ⅱ. 관련 연구

신기술의 발전으로, 특히 IoT의 발생 이래로 개인 정보 보호에 관련된, 접근 권한을 제한하는 시스템 혹은 그에 사용되는 데이터 인증 절차가 점점 중요해지고 있다. 본장에서는 본 논문에서 분석한 Azrour et al. 의 클라우드 기반 IoT 환경의 헬스케어 시스템의 인증 프로토콜과 관련된 인증 프로토콜에 대한 연구를 수행하였다.

Watro et al. [9] 이 WSN을 위한 RSA 기반 보안 인증 방식을 제안했고 Wong et al. [10] 은 단방향 해시 함수를 이용한 인증 방식을 제안했다. 해당 프로토콜은 Replay attack, Man-in-the-middle attack, Forgery attack, Key impersonation attack 등 기존의 공격에 대한 내성을 가지고 있다고 여겨졌다. 그러나 해당 시스템의 프로토콜의 Insider attack과 Man-in-the-middle attack에 대한 취약점이 발견되면서 Das et al. [11] 이 안전성을 향상시킨 프로토콜을 제시했다. 그리고 Xu et al. [12] 과 Song [13] 은 2009년과 2010년에 RSA 암호화 알고리즘에 기반한 인증 프로토콜을 각각 제시했다.

Elliptic Curve Cryptography(ECC)에 기반한 Xu et al. [14] 의 프로토콜은 인증과 키 합의 방식을 전산적 문제로 해결하는 방안을 제시했는데, 해당 프로토콜은 동적인 식별자로 기밀성을 보장하는 점도 보여주었다.

그리고 Yen et al. [15] 은 생체 인식 시스템을 기반으로 사용자 인증 시스템을 제안했다. 그러나, 해당 프로토콜은 Replay attack에 취약하며 사용자의 익명성을 보장하지 못한다. 게다가 Mishra et al. [16]이 Yan의 프로토콜이 Off-line password guessing attack에 대한 취약점이 존재한다고 밝혔다. 이러한 문제점을 바탕으로 Mishra et al.이 임의의 숫자를 사용함으로써 강화된 생체 인식 기반 인증 프로토콜을 제안했다. 그 후, Tan [17] 이 3단계의 상호 인증 프로토콜을 제시했다.

Yoon and Kim [18] 은 무선 센서 네트워크에서 보안 향상을 위한 생체 인식 파라미터 기반 사용자 인증 프로토콜을 제시했다. 해당 방식은 DoS attack, Sensor impersonation attack 등의 공격에서 안전성을 확보했다는 것을 보여주었다.

그리고 2012년, He et al. [19] 은 의료 센서 네트워크에서 활용하기 위한 효과적인 인증 프로토콜을 제시했다. 그러나 해당 방식은 Forgery attack과 Password guessing attack에 대한 취약점이 발견되었다. 게다가 Forward privacy service를 제공하지도 못한다. 2014년, Mishra et al. [20] 은 헬스케어 정보 유기체에 사용하기 위한 카오스 맵계산을 활용, 인증과 키 교환 프로토콜을 제시했다. 그러나 이 방법은 Password guessing attack에 대한 취약점이 있다.

2015년, Jiang et al. [21] 은 Chen et al. [22] 이 제시한 프로토콜이 Password guessing attack에 안전하지 않다는 점을 증명했고 해당 문제를 해결하기 위해 Jiang et al.이 또 다른 인증 방식을 제시했다. 그럼에도 해당 방식은 Password guessing attack과 User impersonation attack에 대한 취약점이 있었다.

그리고 2019년, Azrour et al. [23] 이 Ye et al. [24]의 프로토콜이 안전하지 않다고 주장했으며, 같은 해, Cheng et al. [25] 이 다양한 분야의 기기에서 공개된 노드의 식별자를 인증하기 위해 Elliptical curve cryptography와 생체 인식을 기반으로 한 인증 방식을 제시했다. 그리고 2021년, Azrour et al. [26] 다양한 공격에 대한 안정성을 보장하고 효율성을 향상시킨 IoT 기기를 위한 새로운 인증 프로토콜을 제시했다. 또한, Azrour et al.[8]은 본 논문에서 분석하는 클라우드 기반 IoT 환경의 원격 헬스케어 시스템의 인증 프로토콜을 제안하였다.

Ⅲ. 클라우드 기반 IoT 환경의 원격 헬스케어 시스템의 인증 프로토콜 동작과정 분석

본 논문에서 사용한 용어 정보는 아래의 <표 1>과 같으며, Azrour et al. 등은 제안한 클라우드 기반 IoT 환경의 원격 헬스케어 시스템의 인증 프로토콜이 아래와 같은 장점을 가진다고 주장한다.

<표 1> Azrour et al.의 기호 정의

● 같은 값의 세션 키를 서버와 사용자가 각각 제작해 서로를 확인할 수 있다.

● 클라우드 서버가 사용자와 센서 노드의 유효성을 검증해 상호 인증이 가능하다.

● 타임스탬프를 송수신하는 데이터에 합성시켜 공격자의 데이터 변조 공격을 방지할 수 있다.

● 사용자의 비밀번호를 저장하지 않아서 클라우드 서버나 센서 노드 해킹에 성공하더라도 유의미한 정보를 얻을 수 없다.

● 해시 함수와 클라우드 서버의 비밀 키 등을 사용해 역계산 공격에 안전하다.

● 클라우드 서버의 비밀 키와 사용자의 암호화된 ID 등을 이용해 세션 키를 제작해 Perfect Forward Secrecy를 만족시킨다.

3.1 시스템 설정 단계

최고 관리자가 클라우드 서버의 비밀 키 X_S와 해시 알고리즘 h를 결정한다. 그리고 안전한 네트워크에 h와 X_S를 배포한다.

3.2 센서 등록 단계

서비스 중인 헬스케어 시스템에서 새로운 센서 노드(SN_i)를 등록하기 위해 클라우드 서버는 ID_SNi와 K_CS-SNi를 SN_i의 식별자와 유일 키로써 각각 선택한다. 그리고 센서 노드를 관리하는 게이트웨이 노드가 ID_SNi와 SK_i = h(ID_SNi || K_CS-SNi)를 안전한 네트워크를 통해 센서의 메모리에 저장시킨다. 그리고 앞으로 쓰일 ID_SNi와 HSK_i = SK_i ⊕ h(X_S || ID_SNi)를 로컬 데이터베이스에 저장한다.

3.3 사용자 등록 단계

클라우드 서버에 계정을 등록하기 위해, <그림 1>에서 보듯이 의학 전문가 U_i는 클라우드 서버에의 등록 절차를 거쳐야한다.

<그림 1> 사용자 등록 단계

(1) 의학 전문가 U_i가 적절한 ID_i와 PW_i를 결정한다. 그후, 임의의 수 a와 b를 선택해 MID_i = h(ID_i || a), MPW_i = h(ID_i || PW_i || b)를 계산한다. 그리고 MID_i와 MPW_i를 클라우드 서버에 안전한 통신망을 이용해 전송한다.

(2) 클라우드 서버 CS가 임의의 수 c를 선택하고 V = h(MID_i || X_S) ⊕ h(MPW_i || c)를 계산한다. 그리고 CS의 로컬 데이터베이스에 MID_i와 c를 저장하고 V와 c를 U_i에게 전송한다.

(3) U_i는 V, MID_i, a, b, c를 스마트 카드에 저장한다. Azrour et al.의 논문 원문에는 CS가 U_i에게 c를 전송하는 과정을 생략되어 있다. 하지만 c가 전송되지 않으면 사용자 U_i는 로그인 과정에서 U_i가 입력한 ID_i와 PW_i를 검증이 불가능하므로 [1], 실수로 판단되어 c를 전송하는 것으로 수정하였다. 그리고 HID_i를 저장된다고 명시되어 있으나, MIDi의 오타로 판단되어 본 논문에서는 MIDi로 수정하여 명시하였다.

3.4 로그인 및 인증 단계

의학 전문가 Ui는 등록 절차를 완수하면 모든 센서 노드에 접근할 수 있다. 이를 위해, <그림 2>처럼 Ui는 스마트 카드를 삽입해 로그인 단계를 거쳐 인증을 받아야 한다. 자세한 설명은 아래와 같으며, 이러한 로그인과 인증이 끝나면 Ui는 의료 센서 노드와 상호 작용을 실시간으로 할 수 있다.

<그림 2> 로그인 및 인증 단계

(1) Ui ⟶ CS : {V₁, MID_i, ID_SNi, A, T₁}

먼저, U_i가 ID'_i와 PW'_i를 입력하면 스마트 카드가 MID_i ?= h(ID'_i || a)를 수행해 ID_i와 동일한지 검증한다. 여기서 통과하지 못하면 프로세스가 진행되지 않는다. 그리고 스마트 카드는 임의의 수 A를 선택한 후, X₁ = V ⊕ h(h(ID'_i || PW'_i || b) || c)와 V₁ = h(X₁ || A)를 계산한다. 그리고 클라우드 서버 CS에 {V₁, MID_i, ID_SNi, A, T₁}을 보낸다.

(2) CS ⟶ SN_i : {V₂, MID_i, B, T₂}

U_i의 메시지를 받은 클라우드 서버는 T₂ - T'₁ <= ΔT로 타임스탬프의 유효성을 검증하고 이를 만족하는 T₂를 제작한다. 그리고 W₁ = h(MID_i || X_S)를 제작하고 V'₁ ?= h(W₁ || A')를 검증한다. 해당 검증을 통과하면, 클라우드 서버는 임의의 숫자 B를 제작하고 W₂ = HSK_i ⊕ h(ID_SNi' || X_S), HID_i = h(MID_i || ID_SNi'), V₂ = h(HID_i || W₂ || T₂ || B)를 계산한다. 마지막으로 클라우드 서버는 센서 노드에게 {V₂, MID_i, B, T₂}로 구성된 메시지를 보낸다.

(3) SN_i ⟶ CS : {V₃, HID_i, ID_SNi, C, T₃}

센서 노드 SN_i가 CS의 메시지를 받으면, T₃ - T'₂ <= ΔT인 유효한 타임스탬프를 제작한다. 그리고 HID_i = h(MID'_i || ID_SNi)를 제작, V₂ ?= h(HID_i || SK_i || T'₂ || B')를 검증해 적합한 CS에서, 자신에게 온 요청인지 확인한다. 그 후, 임의의 숫자 C를 선택해 V₃ = h(MID_i || ID_SNi || SK_i || T₃ || C)를 계산하고 {V₃, HID_i, ID_SNi, C, T₃}를 CS에게 다시 보낸다.

(4) CS ⟶ U_i : {V₄, ID_SNi, D, T₄}

센서 노드 SN_i의 응답이 클라우드 서버 CS에 도달하면 마지막 타임스탬프 T₄ - T'₃ <= ΔT와 V'₃ ? = h(MID_i || W₂ || C' || T'₃)의 검증 과정을 거친다. 해당 검증을 완수하면 CS는 임의의 숫자 D를 선택하고 V₄ = h(W₁ || MID_i || ID_SNi || D || T₄)를 계산하고 세션 키인 S_key = h(W₁ || MID_i || ID_SNi)를 제작한다. 그 후, U_i에게 {V₄, ID_SNi, D, T₄}를 전송한다.

(5) 클라우드 서버의 응답을 받은 U_i는 T₅ - T₄ <= ΔT와 V₄ ?= h(X₁ || MID_i || ID_SNi || D' || T'₄)로 유효성을 검증하고 통과할 시, U_i도 세션 키 S_key = h(X₁ || MID_i || ID_SNi)를 제작한다.

3.5 패스워드 변경 단계

Azrour et al.의 프로토콜에서는 의학 전문가인 사용자 U_i가 클라우드 서버와의 통신으로 자신이 월할 때 패스워드 변경 과정을 수행할 수 있다. 하지만 이러한 과정은 공개 인터넷망이나 통신 암호화 기술이 적용되지 않는 일반적 네트워크 환경에서도 이루어질 수도 있기 때문에, 패스워드 변경에서도 패스워드가 유출되지 않도록 설계하였다. 이에 대한 상세는 <그림 3>과 함께 아래에서 설명한다.

<그림 3> 패스워드 변경 단계

(1) U_i ⟶ CS : {M_Ui}

의학 전문가인 U_i가 로그인을 위해 ID_i와 PW_i를 입력하고 이는 MID_i ?= h(ID_i || a)로 검증된다. 검증이 완료되면 사용자는 신규 패스워드인 PW*_i를 선택할 수 있다. 그리고 두 임의의 수 a*와 b*가 선택되고 MID*_i = h(ID_i || a*)와 MPW*_i = h(ID_i || PW*_i || b)가 새롭게 계산되고 마지막으로 SK_i를 이용해 M_Ui = E_SKi(MPW_i|| MPW*_i || MID_i || MID*_i || V) 암호화하고 클라우드로 전송한다.

(2) CS ⟶ U_i : {M_Si}

사용자의 요청을 받은 클라우드 서버 CS는 SK_i를 이용해 D_SKi(M_Ui) = (MPW_i|| MPW*_i || MID_i || MID*_i || V)로 복호화한다. 그 후, V ?= h(MID_i' || X_S) ⊕ h(MPW'_i || c)로 올바른 값인지 검증한다. 여기서, Azrour et al.의 논문에서는 V, MID_i, MPW_i의 값이 U_i가 전송한 값인지, CS의 로컬에 저장되어 있는 값인지에 대한 부가적인 설명이 없어서 본 논문에서는 V를 CS의 로컬, MID_i, MPW_i를 U_i가 전송한 값으로 판단해 U_i로 그인의 진위성을 확보했다. 해당 과정이 끝나면 CS는 임의로 c*를 선택하고 로컬의 MID_i와 c를 각각 MID_i*와 c*로 대체한다. 그리고 V* = h(MID*_i || X_S) ⊕ h(MPW*_i || c*)를 계산하고 M_Si = E_SKi(V* || c*)로 암호화해 U_i에게 전송한다. 여기서도 사용자 등록 단계와 마찬가지로 c를 전송하지 않는 오류를 범했다.

(3) CS가 응답하면 U_i는 마지막으로 D_SKi(M_Si) = (V* || c*)를 복호화하고 V, MID_i, a, b, c를 각각 V*, MID*_i, a*, b*, c*로 대체한다.

Ⅳ. 보안성 분석

본 장에서는 Azrour et al. 등은 제안한 클라우드 기반 IoT 환경의 원격 헬스케어 시스템에 대한 보안성 분석을 진행한다. 공격자 𝒜는 다음 능력을 가지고 있다.[27-29]

·공격자 𝒜는 공개된 모든 통신 채널을 제어한다. 𝒜는 복제된 새 메시지를 추출, 재생, 업데이트, 폐지 또는 전달할 수 있다.

·공격자 𝒜는 전력 분석을 통해 스마트카드에 저장된 정보를 입수하거나 유출 할 수 있다.

·공격자 𝒜는 정당한 사용자 또는 서버로 가장할 수 있다.

·서버와 사용자에 관한 정보는 기밀이 아니며, 공격자 𝒜는 모르지만 내부자는 알 수 있다.

4.1 Masquerade Attack

보안성 분석을 통해 본 프로토콜은 <그림 4>와 아래의 설명대로 클라우드 서버 CS의 관련자 𝒜, 혹은 CS에서 유출된 X_S를 획득한 공격자 𝒜가 의학 전문가인 사용자 U_i, 그것도 모든 사용자를 사칭할 수 있다는 치명적인 취약점이 존재한다는 점을 밝힐 수 있었다.

<그림 4> Masquerade Attack

(1) 공격자 𝒜는 U_i가 적법한 인증 절차를 거친 후, CS와 상호인증을 하기 위해 전송할 때, MID_i와 V₁, A, ID_SNi, T₁를 탈취할 수 있다. 해당 인증 절차에서 사용되는 V₁은 U_i의 카드에 저장되어있는 V와 U_i가 입력한 ID'_i, PW'_i 등을 포함한 해시값과 합성해 x를 만들고 임의의 값인 A와 합성해 제작된다.

(2) 여기서, 해당 프로토콜의 설명에 따르면 V = h(MID_i || X_S) ⊕ h(MPW_i || c) = h(MID_i || X_S) ⊕ h(h(ID_i || PW_i || b) || c)를 도출할 수 있으며, 이러한 V와 U_i가 입력한 h(h(ID'_i || PW'_i || b) || c)를 합성해 X₁를 제작하는데, U_i가 올바른 ID'_i와 PW'_i를 입력했을시, V ⊕ h(h(ID'_i || PW'_i || b) || c) = h(MID_i || X_S) ⊕ h(h(ID_i || PW_i || b) || c) ⊕ h(h(ID'_i || PW'_i || b) || c) = h(MID_i || X_S) = X₁이라는 결과가 나온다.

(3) 이러한 X₁와 임의의 값인 A를 합성해 해시값을 낸게 V₁인데, 이를 CS가 받으면 CS는 W₁ = h(MID_i || X_S)과 U_i에게서 수신한 A를 합성해 h(W₁ || A)의 값과 수신받은 V₁이 같은 값인지 검증 후, 올바르면 나머지 인증 프로세스를 진행한다.

(4) 여기서, X_S를 알고있는 공격자 𝒜가 탈취한 MID_i를 이용해 X₁를 제작, 임의로 선택한 A와 합성해 V₁을 제작, 전송하면 CS는 적법한 사용자로 판단해 인증 프로세스를 거쳐 사용자를 사칭할 수 있다.

위 과정을 토대로 공격자 𝒜가 이전 통신에서 MID_i와 IDSN_i 탈취하고 유출된 Xs을 사용하여 h(MID_i||Xs) ⊕ 0을 계산하여 X'₁을 획득하고 획득한 X'₁을 이용하여 h(X'₁ || A’)을 계산하여 V'₁을 획득할 수 있다. 획득한 V1’을 CS에 {V'₁, MID_i ,A’, IDSN_i, T₁}을 전송하면 사용자 U_i를 사칭하여 CS에 접속할 수 있다.

4.2 Lack of Perfect Forward Secrecy

Azrour et al.은 그들의 프로토콜이 Perfect Forward Secrecy를 보장한다고 주장한다. 하지만 Perfect Forward Secrecy는 비밀키와 같은 장기적 키(Long-Term Key)가 유출되더라도 세션키를 계산하기 어려워야 만족된다[30]. 하지만 Azrour et al.이 제안한 프로토콜에서 공격자가 장기적 키인 XS를 알고 있을 경우, <그림 5>와 아래의 설명을 통해 세션 키를 임의로 계산할 수 있기 때문에 Perfect Forward Secrecy를 만족하지 못한다.

<그림 5> Lack of Perfect Forward Security

(1) 공격자 𝒜가 사용자를 사칭해 인증 프로세스 요청을 보낸다.

(2) CS는 적법한 사용자에게서의 요청으로 인식해 SNi와 인증 프로세스를 거치고 마지막에 세션키를 만들어 사용자와 통신할 준비를 한다.

(3) 공격자 𝒜가 장기적인 키인 X_S를 알고 있으면 공개 통신망을 통해 전송되는 MID_i, ID_SNi0을 수집하여 사용자와 CS 간의 세션키 S_key = h(x || MID_i || ID_SNi) = h(h(MID_i || X_S) || MID_i || ID_SNi)를 도출할 수 있다. 또한, <그림 5>에서 ID_SNi과 MID_i는 과거 통신 내용을 통해 알 수 있으므로, 𝒜 과거의 세션키도 계산해낼 수 있다. 그러므로 Azrour et al.이 제안한 프로토콜은 Perfect Forward Secrecy를 만족하지 못한다.

위 과정을 토대로 공격자 𝒜가 장기적 키인 X_S를 알고 있을 경우 공개 통신망을 통해 전송되는 MID_i, ID_SNi0을 수집하고 이 수집한 값을 S_key = h(x || MID_i || ID_SNi) = h(h(MID_i || X_S) || MID_i || ID_SNi) 수식에 대입하여 사용자와 CS 간의 세션키를 획득할 수 있다. 그러므로 Perfect Forward Secrecy를 보장하지 못한다.

4.3 Off-line Password Guessing Attack

U_i가 자신의 스마트카드를 분실하면 공격자 𝒜는 스마트카드의 모든 정보를 얻을 수 있다. Azrour et al.의 프로토콜에서 사용하는 스마트카드에는 U_i가 CS와 상호 인증하는 중요한 정보가 저장되어 있는데, 이는 아래의 설명과 <그림 6>과 같이 공격자 𝒜가 스마트카드에 저장된 정보와 과거 통신 내용에서 탈취한 정보를 사용해 U_i의 ID_i와 PW_i를 추측할 가능성이 있다.

<그림 6> Off-line Password Guessing Attack

해당 시스템의 프로토콜 진행 과정에서 적법한 사용자는 입력한 ID'_i와 스마트카드에 저장되어 있는 a를 이용해 생성한 h(ID'_i || a)를 MID_i와 비교해 ID'_i의 유효성을 검사한다.

여기서 공격자 𝒜는 스마트카드 탈취로 알게 된 U_i의 MID_i, a를 이용, 로그인 과정을 재구성해 MID_i를 재계산할 수 있다. 그리고 공격자 𝒜는 통신 내용 탈취로 알게 된 V₁와 스마트카드 탈취로 알게 된 U_i의 V₁, b, c로 V를 재계산할 수 있다. 재계산된 MID_i와 V는 U_i의 ID_i와 PW_i를 제외하고 모두 알 수 있는 정보들로 구성된다.

|D_ID|는 정해진 비트 수 내에서 ID_i로 성립될 수 있는 ID 집합의 크기, 즉 ID의 개수이며, |D_PW|는 정해진 비트 수 내에서 PW_i로 성립할 수 있는 PW 집합의 크기, 즉 PW의 개수이다. ID_i와 PW_i를 알아내기 위한 추측 공격 실행 시간은 O(|D_ID| * |D_PW| * T_h)이며 T_h는 해시 함수의 실행 시간이다. ID_i와 PW_i는 사용자가 직접 입력하는 단계에서, 인간이 기억할 수 있는 짧은 길이의 문자열로 구성된다는 점을 알 수 있으며, 이로 인해 공격자 𝒜가 무작위 패스워드를 입력하더라도 경우의 수가 적기 때문에 오프라인 패스워드(아이디) 추측 공격에 매우 취약하다. 다시 말해 사람들이 사용하는 ID 및 패스워드의 개수는 평균적으로 |D_ID| <= |D_PW| <= 10⁶을 만족할 정도로 |D_ID|, |D_PW|의 개수는 매우 제한적이며, ID와 패스워드를 제외한 모든 값을을 알 수 있게 되면 ID와 패스워드를 알아낼 수 있다. 이로 인해 공격자 𝒜는 U_i의 스마트카드 정보와 과거 통신 내용을 이용한 오프라인 패스워드 및 아이디 추측 공격으로 U_i의 ID_i와 PW_i를 계산할 수 있다.[31]

위 과정을 토대로 공격자 𝒜가 U_i의 스마트카드를 획득하게 되면 획득한 스마트카드를 이용하여 U_i의 {V, a, b, c, MID_i}를 획득할 수 있다. 이 획득한 것들을 이용하여 h(ID'_i||a)라는 수식으로 MID_i를 추측하여 획득할 수 있다. 이를 통해 h(V⊕h(ID'_i||PW'_i||b)||c)라는 수식에서 ID_i와 PW_i를 변경하면서 V₁의 값과 비교함으로써 사용자의 ID_i와 PW_i를 유추할 수 있다.

4.4 Replay Attack

Azrour et al. 프로토콜은 모든 인증 과정 중, 수신한 타임스탬프와 임의의 숫자(A, B, C, D)의 중복을 검증하는 단계가 존재하지 않는다. 이는 아래의 설명과 <그림 7>과 같이 공격자 𝒜가 수집한 과거의 통신 내용을 그대로 전송해 아주 간단하게 사용자 U_i, 혹은 클라우드 서버 CS를 사칭할 수 있는 보안 취약점이 된다.

<그림 7> Replay Attack

위 <그림 2> 를 보면 U_i가 CS에게 인증받는 수식을 보면 필요한 값들이 {V₁, MID_i, IDSN_i, A, T₁}이 필요하다. 여기서 V₁을 검증하는 수식(V₁ ?=h{W₁||A’})에는 타임스탬프를 사용하여 검증하지 않는다. 그렇기 때문에 U_i가 CS에게 인증받는 수식에 들어가는 T₁ 만 현재 시각으로 바꾸어주면 된다.

이를 방지하기 위해서는 임의의 숫자에 대한 타임 스탬프를 추가하거나, 중복 검사 혹은 X_S, SK_i 등의 안전한 키와 규칙 있는 임의의 값, 해시를 통한 유효성 검증하는 간단한 단계를 추가하면 해결할 수 있다.

Ⅴ. 결론

Azrour et al.은 클라우드 기반의 IoT, 특히 헬스케어 분야에서 사용될 수 있는 새로운 원격 사용자 인증 프로토콜을 제안했다. 그들은 해당 프로토콜이 주요 보안 공격으로부터 안전하며 이전의 사용자 인증 프로토콜보다 더 효율적이라고 주장했다. 그러나, Azrour et al.의 프로토콜을 분석하며 이 프로토콜이 Masquerade attack, Lack of Perfect Forward Secrecy, Off-line password guessing attack 에 대한 보안 취약점이 있다는 점을 밝혔다. 본 연구의 결과가 향후 이 시스템에 대한 보안성 연구 및 새로운 시스템의 프로토콜 제안시 필요한 분석자료로 활용될 수 있을 것이라 판단한다.