정용환 기자
많은 전자장치에는 전원이 켜져 있는지 여부를 나타내는 LED가 탑재되어 있다. 이 LED를 영상 촬영하는 것으로 기기 암호화 키를 복원할 수 있다는 영상 기반 암호해독법이 밝혀졌다.
기기가 CPU를 이용한 처리를 했을 때 소비 전력량이 항상 일정한 건 아니다. 전력 소비량 변화는 전원 LED 깜박임으로 나타난다. 또 장치에 연결된 다른 장치 LED도 깜박인다. 해커가 개발한 건 이런 LED 깜박임을 스마트폰 카메라나 보안 카메라로 촬영하는 수법이다.
따라서 공격자는 장치가 암호화, 해독에 사용하는 비밀 암호화키를 얻을 수 있다. 방법으로는 촬영한 전원 LED 영상을 확대해 롤링 셔터를 이용해 색 판독을 실시한다. 프레임당 LED 색상의 미묘한 변화를 포착해 암호화 작업 시작점과 끝점을 확인한다.
구체적으론 삼성전자 갤럭시 S8을 충전하는 USB 허브에 연결된 스피커 LED를 아이폰13 프로 맥스 카메라로 촬영해 갤럭시 S8 378비트 암호화키를 얻을 수 있었다고 한다. LED 색상차는 육안으로는 확인할 수 없을 정도 차이였지만 RGB치에는 미묘한 차이가 있다. 또 스마트카드 리더의 경우 16m 떨어진 곳에서 네트워크 카메라로 LED를 촬영하고 영상을 분석해 256비트 ECDSA키를 얻을 수 있다.
이 취약성은 전원 LED가 아니라 암호 라이브러리 문제지만 전원 LED는 악용을 위한 시각적 인프라를 제공해버리고 말았다고 한다. 이번에 입증된 공격을 막는 방법은 최신 암호화 라이브러리를 사용하는 것이다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
