YubiKey의 취약점 발견
최근 보안 연구자들이 YubiKey 이중 인증 토큰에 심각한 취약점을 발견했습니다. 이 취약점은 공격자가 해당 장치를 복제할 수 있게 하며, Infineon의 암호화 라이브러리에서 발생한 문제로 알려져 있습니다. YubiKey 5, YubiKey Bio, Security Key, YubiHSM 2 시리즈와 같은 여러 제품에서 이 취약점이 발견되었습니다. Yubico는 이 측면 채널 취약점의 심각성을 “중간” 수준이라고 밝혔지만, 실제로 공격하기는 어렵다고 전했습니다.
취약점의 공격 조건
Yubico에 따르면, 공격자가 YubiKey와 같은 장치를 물리적으로 소유하고, 공격할 계정에 대한 정보와 특수 장비를 가지고 있어야 합니다. 공격자는 또한 사용자 이름, PIN, 계정 비밀번호 또는 인증 키와 같은 추가 정보를 필요로 할 수 있습니다. 그러나 이는 고도로 동기화된 개인이나 국가 지원 공격에겐 큰 제약이 되지 않을 수 있습니다.
업데이트 불가능한 YubiKey
YubiKey 5 장치의 펌웨어는 업데이트할 수 없기 때문에, 5.7 버전 이전의 모든 YubiKey 5 장치는 지속적으로 취약점에 노출될 것입니다. 최신 모델은 더 이상 Infineon 암호화 라이브러리를 사용하지 않기 때문에 영향을 받지 않습니다. NinjaLab은 이 취약점이 Infineon의 최고 보안 칩에서 14년 이상 존재했을 것으로 추정하고 있습니다. 연구자들은 Infineon의 SLE78, Optiga Trust M, 및 Optiga TPM 마이크로컨트롤러를 사용하는 다른 장치들도 위험에 처해 있다고 경고합니다.
결론
이와 같은 취약점은 사용자에게 큰 위험 요소가 될 수 있으며, Yubico는 보안 솔루션을 강화해야 할 필요성을 강조하고 있습니다. 사용자는 이러한 장치의 보안 상태를 점검하고, 가능한 경우 최신 모델로 교체하는 것이 좋습니다.
이런 취약점이 발견되다니 정말 놀라운 일이네요! YubiKey를 사용하고 있는 분들은 꼭 확인해보세요!
