임시 키 무결성 프로토콜

1. 개요

임시 키 무결성 프로토콜(TKIP)은 와이파이 프로텍티드 액세스(WPA)의 일부로, WEP의 보안 취약점을 보완하기 위해 설계되었다. TKIP는 키 혼합, 시퀀스 카운터, 메시지 무결성 검사(MIC)를 통해 보안을 강화했지만, RC4 암호 방식을 사용함으로써 여러 공격에 취약하다. 특히, 키 스트림 복원 공격, 패킷 위조 및 해독 공격, NOMORE 공격 등에 취약하며, 현재는 WPA2의 CCMP(AES) 방식이 더 안전한 대안으로 사용된다. IEEE는 TKIP를 공식적으로 폐기했으며, 한국에서도 WPA2 이상의 보안 프로토콜 사용을 권장하고 있다.

2. 배경

2002년 10월 31일, 와이파이 얼라이언스는 TKIP를 WPA의 일부로 발표했다. IEEE는 2004년 7월 23일 IEEE-802.11i-2004를 발표하면서 802.1X와 AES 기반의 CCMP와 함께 TKIP의 최종 버전을 승인했다. 와이파이 얼라이언스는 이 조건들을 모두 충족하는 것들을 WPA2로 홍보했다. TKIP는 2009년 IEEE에서 폐기되었다.

3. 기술 설명

TKIP는 기존 WEP의 보안 취약점을 보완하기 위해 다음 세 가지 보안 기능을 추가했다.

# 키 혼합: TKIP는 비밀 루트 키와 초기화 벡터를 결합하여 RC4 암호 초기화에 전달하는 키 혼합 기능을 구현한다. 반면 WEP는 초기화 벡터를 루트 키에 단순히 연결하여 RC4 루틴에 이 값을 전달했기 때문에 관련 키 공격에 취약했다.
# 시퀀스 카운터: WPA는 재생 공격을 방지하기 위해 시퀀스 카운터를 구현한다. 순서가 잘못된 패킷은 AP(액세스 포인트)에서 거부된다.
# 메시지 무결성 검사(MIC): TKIP는 64비트 메시지 무결성 검사(MIC)를 구현하고 새 키(임시 키)를 사용할 때마다 시퀀스 번호를 다시 초기화한다.

TKIP는 기존 WEP 기능을 지원하는 하드웨어에서 업그레이드를 통해 새로운 보안 기능을 사용할 수 있도록 RC4 방식을 암호화 방식으로 사용한다. 또한 TKIP는 모든 데이터 패킷을 임의의 암호화 키(임시 키/임시 키 + 패킷 시퀀스 카운터)를 이용하여 전송하는 키 재설정(re-keying) 메커니즘을 제공한다.

키 혼합은 공격자에게 단일 키를 사용하여 암호화된 데이터가 훨씬 적게 제공되므로 키 디코딩의 복잡성을 증가시킨다. WPA2는 메시지 무결성 코드인 MIC를 구현하여 위조된 패킷이 허용되는 것을 방지한다. WEP에서는 메시지가 해석되지 않았더라도 그 패킷 안의 내용을 아는 사람은 그 패킷을 바꿔치기 할 수 있었다.

4. 보안

TKIP는 WEP와 동일한 기본 메커니즘을 사용하기 때문에 몇몇 유사한 공격에 취약하다. 하지만 메시지 무결성 검사, 패킷 당 키 해싱, 브로드캐스트 키 회전 및 시퀀스 카운터 도입으로 여러 공격을 방지한다. 키 혼합 방식 도입으로 WEP에서의 키 복원 공격은 무력화되었다.

이러한 변경에도 불구하고, 추가된 기능들의 취약점으로 인해 새로운 공격이 가능해졌지만, 공격 범위는 좁아졌다.

4.1. 패킷 위조 및 해독 (Packet Spoofing and Decryption)

TKIP는 MIC 키 복구 공격에 취약하여, 공격자가 대상 네트워크에서 임의의 패킷을 전송하고 해독할 수 있게 한다. 2008년 11월 8일, Martin Beck와 Erik Tews는 MIC 키를 복구하고 몇 개의 패킷을 전송하는 방법에 대한 논문을 발표했다. 이 공격은 2013년 Mathy Vanhoef와 Frank Piessens에 의해 개선되었으며, 공격자가 전송할 수 있는 패킷의 양을 늘리고 공격자가 임의의 패킷을 해독할 수 있는 방법을 보여주었다.

이 공격은 WEP의 chop-chop 공격을 확장한 것이다. WEP는 암호학적으로 안전하지 않은 체크섬 메커니즘(CRC32)을 사용하기 때문에, 공격자는 패킷의 개별 바이트를 추측할 수 있으며, 무선 액세스 포인트는 추측의 정확성 여부를 확인하거나 거부한다. 추측이 정확하면 공격자는 이를 감지하고 패킷의 다른 바이트를 계속 추측할 수 있다. 그러나 WEP 네트워크에 대한 chop-chop 공격과 달리, 공격자는 잘못된 추측 이후 최소 60초를 기다려야 공격을 계속할 수 있다. 이는 TKIP가 CRC32 체크섬 메커니즘을 사용하지만, Michael이라는 추가 MIC 코드를 구현하기 때문이다. 60초 이내에 두 개의 잘못된 Michael MIC 코드가 수신되면 액세스 포인트는 대책을 구현하며, 이는 TKIP 세션 키를 재설정하여 향후 키 스트림을 변경하는 것을 의미한다. 따라서 TKIP에 대한 공격은 이러한 대책을 피하기 위해 적절한 시간을 기다린다.

ARP 패킷은 크기로 쉽게 식별되며, 내용의 대부분을 공격자가 알기 때문에, 공격자가 추측해야 하는 바이트 수는 약 14바이트로 적다. Beck와 Tews는 일반적인 네트워크에서 약 12분 만에 12바이트 복구가 가능하다고 추정하며, 이를 통해 공격자는 최대 28바이트의 3~7개 패킷을 전송할 수 있다. Vanhoef와 Piessens는 분할에 의존하여 이 기술을 개선, 공격자가 각 크기가 최대 112바이트인 임의의 패킷을 많이 전송할 수 있도록 했다. Vanhoef-Piessens 공격은 공격자가 선택한 임의의 패킷을 해독하는 데에도 사용될 수 있다.

공격자는 이미 전체 암호문 패킷에 접근할 수 있다. 동일한 패킷의 전체 평문을 검색하면 공격자는 패킷의 키 스트림과 세션의 MIC 코드에 접근할 수 있다. 이 정보를 사용하여 공격자는 새 패킷을 구성하여 네트워크에 전송할 수 있다. WPA가 구현한 재생 보호를 우회하기 위해, 공격은 QoS 채널을 사용하여 새로 구성된 패킷을 전송한다. 이러한 패킷 전송이 가능한 공격자는 네트워크 연결 없이 ARP 스푸핑 공격, DoS 공격 등 여러 공격을 수행할 수 있다.

4.2. Royal Holloway 공격

런던 대학교 로열 할로웨이 정보 보안 그룹은 RC4 암호화 메커니즘을 악용하는 TKIP에 대한 이론적인 공격을 보고했다. TKIP는 WEP와 유사한 키 구조를 사용하며, 재전송 공격을 방지하기 위해 사용되는 시퀀스 카운터의 하위 16비트 값을 24비트 "IV"로 확장하고, 이 시퀀스 카운터는 모든 새로운 패킷마다 항상 증가한다. 공격자는 이 키 구조를 사용하여 RC4에 대한 기존 공격을 개선할 수 있다. 특히, 동일한 데이터가 여러 번 암호화되는 경우 공격자는 2²⁴번의 연결만으로 이 정보를 알아낼 수 있다. 이들은 이 공격이 실용화 직전에 있다고 주장하지만, 시뮬레이션만 수행되었으며 실제로는 공격이 시연되지 않았다.

4.3. NOMORE 공격

2015년, KU 루벤의 보안 연구원들은 TLS와 WPA-TKIP에서 RC4에 대한 새로운 공격인 NOMORE (Numerous Occurrence MOnitoring & Recovery Exploit) 공격을 발표했다. 이 공격은 WPA-TKIP에 대해 실제로 시연된 최초의 공격으로, 공격자는 임의의 패킷을 해독하고 삽입할 수 있다.

5. 현재 상태

와이파이 얼라이언스는 2010년 6월 WEP와 TKIP를 와이파이 장비에서 곧 허용하지 않을 것이라고 발표했다. 그러나 2013년의 설문 조사에 따르면 여전히 널리 사용되고 있는 것으로 나타났다.

IEEE 802.11n 표준은 TKIP가 Wi-Fi 암호로 사용될 경우 데이터 전송 속도가 54Mbps를 초과하는 것을 금지한다.

6. 한국의 무선 네트워크 보안 현황

대한민국은 초고속 인터넷 인프라와 높은 스마트 기기 보급률을 바탕으로 무선 네트워크 사용이 활발하다. 이에 따라 무선 네트워크 보안의 중요성이 강조되고 있으며, 공공장소 및 기업에서는 WPA2 이상의 보안 프로토콜 사용을 권장하고 있다. 특히, 과학기술정보통신부와 한국인터넷진흥원(KISA)은 보안 취약점이 있는 WEP 및 TKIP 사용을 중단하고, WPA2 이상의 안전한 보안 프로토콜 사용을 적극적으로 권고하고 있다.

하지만 2013년 설문 조사에서는 TKIP가 여전히 널리 사용되는 것으로 나타났다. IEEE 802.11n 표준은 TKIP가 Wi-Fi 암호로 사용될 경우 데이터 전송 속도가 54Mbps를 초과하는 것을 금지한다.