한국정보보호학회에서 2021년 첫번째 학회지 및 학회논문지 인쇄본을 받았다.
정보보호학회지 제31권 제1호 / 2021년 2월 28일 발행
KIISC
Digital Library The Korea Institute of Information Security and Cryptology, Vol. 31, No. 1, Feb. 2021 2021년 Feb 특집호 발간사 다운로드 ■ 특집논문 : 신규 부채널 분석 기술 원유승, 한동국, The Korea Institute of Information Se
journalhome2020-env.eba-bpefhmr2.ap-northeast-2.elasticbeanstalk.com
"신규 부채널 분석 기술" 특집호로 발간되었고, 자유기고로 "중국 개인정보보호법 제정 동향" 1편이 추가되어 있다.
부채널(side-channel) 분석(analysis)은 왠지 떠올리기도 쉽지 않다. 무지한 사람의 입장에서는 부채널 '공격'(attack)에 대해 '진짜 답이 없다'는 원초적인 생각(확신한다는 의미는 아니다)을 가지고 있다. 개념1이나 사례2 에 관한 정보만 접했을 때도 그렇다. 어쨌든, 특집호 발간사에 적힌 내용을 인용하자면 다음과 같다.
... 이러한 상황에서 이론적으로 안전하게 설계된 암호 알고리즘일지라도 알고리즘 구동 시 누출되는 전력/전자파, 소리, 발열량, 캐쉬타이밍 정보 등의 부가정보를 활용하여 실질적으로 암호해독을 가능케 하는 부채널 분석 기술에 대한 연구가 활발히 진행되고 있다. ...
충분히 읽어볼 엄두도 나지 않지만, 특집호 첫번째 논문(발간사에 따르면 신규 부채널 분석 기술이 아니라 2008년부터 지속적으로 연구되고 있는 동향 연구로 구분하고 있다. 물론 그러한 분류가 어떠한 우열을 의미하는 것은 아니다)인 "콜드 부트 공격 기술 및 최신 동향 분석"3 에서, "콜드 부트 공격"의 개념과 절차라도 읽어보자면, 다음과 같다.
...
이는 RAM의 물리적 특성을 고려하여 RAM의 데이터를 탈취하는 콜드 부트 공격(Cold Boot Attack)이다. 그 수행하는 방법을 알기 위해서는 일반적인 RAM의 물리적 특성을 알아야 한다. 이는 RAM에 저장된 데이터가 전원이 인가된 상태라면, 그 데이터를 유지하려는 특성을 지닌다. 하지만, 전원이 인가되지 않으면 메모리는 초기화 상태(일반적으로 0 값)로 돌아가게 된다.
그러나 전원이 인가되지 않는 경우라도 RAM의 표면 온도가 낮은 상태로 유지된다면, 저장된 데이터가 초기화되지 않고 그 상태를 온전히 유지한다. 이러한 물리적 특성을 이용한 공격 방법이 콜드 부트 공격으로 일컫는데, 이를 이용하여 RAM 데이터 접근에 허가되지 않은 사람이더라도 RAM 데이터를 탈취할 수 있다.
...
앞서 언급된 것처럼 콜드 부트 공격은 공격자에게 접근이 인가되지 않은 RAM 데이터를 탈취해 오는 것이다. 이를 간단히 하면 다음과 같은 절차로 이루어진다.
1) [희생자 입장] 허가되지 않은 사용자에게 접근이 불가능한 RAM 사용 (단, RAM에 전원이 인가된 상태를 유지)
2) [공격자 입장] 전원이 인가된 상태로 RAM의 표면 온도를 낮은 상태로 유지
3) [공격자 입장] 전원을 끈 후, 재부팅 후 RAM의 접근 권한 설정 전에 RAM 데이터를 탈취
우선 여기까지(만) 읽었다.
이에 비해 자유기고 논문인 "중국 개인정보보호법 제정 동향"4은 (그나마 덜 무지한 영역이라) 노력하면 어느 정도 이해할 수 있을 듯 하다. 몇 가지 발췌하여 메모해두면 다음과 같다.
. 2020년 10월 전국인민대표회의에서 공개한 (중국) 개인정보보호법 초안을 기반으로 하였다.
. 한국인터넷진흥원이 번역한 한국어 자료를 기반으로 작성하였고, 해당 자료는 개인정보보호 국제협력센터(www.privacy.go.kr/pic) 자료실에서 다운로드 가능하다.
. 2017년 제정된 네트워크 안전법은 (네트워크의 안전에 관한 내용이 대부분으로) 개인정보보호 관련 조항은 일부 존재하나 충분하지 않다. 전체적인 구조는 정보통신망법과 비슷하다.
. 한국은 2020년 2월 개인정보 보호법을 개정하면서 "정보통신망법"의 개인정보보호 관련 유사.중복 조항을 모두 정리하였다. 중국의 경우에도 개인정보보호법이 제정되면 "네트워크 안전법"을 비슷한 방식으로 개정할 것으로 추정된다.
. GDPR과 유사하게 중국 외 개인정보처리자에게도 법을 적용하겠다는 역외 적용을 규정하고 있다. 향후에는 많은 국가들이 (역외 적용을 먼저 채택한 GDPR을 포함하여) 이러한 선례를 근거로 역외 적용을 자국 법에 반영할 것으로 예상된다.
. 법률적 책임은 네트워크 안전법에 비해서 상당히 강화되었다. 심각한 위반 시 벌금은 최대 5,000만 위안 또는 전년도 매출액의 5%이고, 벌금뿐만 아니라 업무 정지, 영업 중단, 영업 허가 취소까지 가능하여 전반적인 처벌 수준은 상당히 강력한 편이다. 참고로 GDPR의 최대 과징금은 전 세계 매출액의 4% 또는 2,000만 유로(250억원)이고, 한국은 관련 매출액의 3% 이하 또는 1억 원 이하의 벌금을 부과할 수 있다.
. 개인정보보호를 중시하는 세계적인 추세를 따르기 때문에 (역외적용이나 기업에 대한 규제 도입으로 일부 반발이 예상되지만) 입법은 순조로울 것으로 예상된다.
정보보호학회논문지 제31권 제1호 / 2021년 2월 28일 발행
JKIISC
journalhome2020-env.eba-bpefhmr2.ap-northeast-2.elasticbeanstalk.com
정규논문 10편을 수록하고 있다.
웹에서는 인쇄물 표지에 기재된 정보가 일부 존재하지 않는 것 같아 보완해보면 다음과 같다.
이론 및 구현
. 정지혁, 윤지원, "주파수 분석 기반 RSA 단순 전력 분석"
. 최재현, 이상훈, 정익래, 변진욱, "IoD 환경에서 MEC를 활용한 U2U 인증에서 보안 취약점 분석"
. 김수리, 윤기순, 박영호, "SIDH 기반 암호 구현에 대한 홀수 차수 아이소제니 적용"
시스템 보안
. 김예준, 김정현, 김승주, "체계적인 IoT 기기의 펌웨어 보안 분석 방법에 관한 연구"
. 김재욱, 박래현, 권태경, "입력 변이에 따른 딥러닝 모델 취약점 연구 및 검증"
. 신수민, 김소람, 윤병철, 김종성, "Windows에서의 Wire 크리덴셜 획득 및 아티팩트 분석"
네트워크 보안
. 김민규, 박정수, 심현석, 정수환, "안드로이드 저장소 취약점을 이용한 악성 행위 분석 및 신뢰실행환경 기반의 방어 기법"
. 김숙영, 문종섭, "무선 센서 네트워크에서 클러스터링 기반 Sleep Deprivation Attack 탐지 모델"
정책 및 평가
. 김동훈, 권헌영, 홍석희, "국가 암호정책에 대한 연구:암호접근권한을 중심으로"
. 박흥순, 김세용, 권혁진, "방산기술보호를 위한 방산기술 마스터 데이터 관리 체계구현 방안"
끝.
- ko.wikipedia.org/wiki/부채널_공격 [본문으로]
- namu.wiki/w/CPU%20게이트 [본문으로]
- 원유승, 한동국, "콜드 부트 공격 기술 및 최신 동향 분석", 정보보호학회지 제31권 제1호, 2021. 2 [본문으로]
- 정태인, 정수연, 윤재석, "중국 개인정보보호법 제정 동향", 정보보호학회지 제31권 제1호, 2021. 2 [본문으로]