국민대학교

국민인! 국민인!!
보안 이메일 서비스 ProtonMail 취약점 발견 / 금융정보보안학과 DF&C 연구실

국민대학교 일반대학원 금융정보보안학과 DF&C 연구실이 ProtonMail의 iPhone용 애플리케이션의 취약점을 발견하였다. ProtonMail은 세계적인 보안 이메일 서비스이며, 강력한 종단간(End-to-End) 암호화를 지원하기 때문에 서버에 저장된 데이터는 누구도 열람이 불가능하다. 이러한 강력한 보안으로 인하여 랜섬웨어 제작자들의 연락 수단으로 활용되고 있다.

이번에 발견된 취약점은 암호학적 오용에 관한 취약점으로써,  암호키를 모르더라도 암호화된 데이터의 복호화가 가능한 취약점이다. 데이터 복호화에 사용한 방법은 일반적으로 스트림 암호에 사용하는 키 재사용 공격이며, 과거 Wi-Fi의 WEP 보안이 유사한 방식으로 공격된 사례가 있다. 이를 통해 복호화된 데이터는 수·발신자 정보, 첨부 파일명 및 이메일 헤더 등의 데이터이다. 실제 암호키는 하드웨어 보안 공간인 KeyChain에 안전하게 보관되어 있었으나 잘못된 사용 방법으로 인하여 손쉽게 데이터를 복원할 수 있었다.

취약점을 발견한 허욱, 이세훈, 김종성 교수는 ProtonMail의 버그 바운티 프로그램을 통하여 개발자들에게 전달했으며, 해당 연구원들의 이름은 ProtonMail의 보안 기여자(Security Contributors) 페이지에 추가되었다. 취약점을 발견한 DF&C(Digital Forensic and Cryptanalysis) 연구실(지도교수: 김종성)은 디지털 포렌식과 암호 분석을 연구하고 있으며, 특히 암호와 연관된 포렌식 기술 및 취약점 분석을 주로 연구하고 있다.

 한편, 해당 연구실이 속한 국민대학교 금융정보보안학과는 올해 BK21Plus 4단계의 미래 금융정보보안 전문인력양성 사업단(단장: 이옥연)에 선정되었으며, 미래통신 정보보안 전문인력, 디바이스 보안 및 포렌식 전문인력, 양자내성암호 전문인력, 자율성장 AI 보안기술 기반 지능형 시스템과 사회 안전망 확보 기술 전문인력 등 4가지 분야의 전문인력 양성을 목표로 연구하고 있다.