경찰 및 군용 라디오, 쉽게 해독 가능한 암호화 키 사용 발견

고강도 보안을 갖춘 경찰과 군대의 무전기는 예상보다 쉽게 해독될 수 있는 암호화 시스템을 사용하고 있어, 공격자들이 도청하거나 가짜 메시지를 보내는 것을 가능하게 할 수 있습니다.

WIRED는 보안 회사 Midnight Blue가 “암호화 끝에서 끝까지”(E2EE)를 구현하는 일부 라디오가, 유럽 통신 표준 연구소(ETSI)에 의해 인정받은 안전한 128비트 키를 단지 56비트로 압축한다는 사실을 발견했다고 보도했습니다. 이 감소된 키 크기는 공격자들이 통신을 쉽게 해독할 수 있도록 합니다.

공격자들은 두 번째 취약점을 악용해 거짓 메시지를 전송하거나, 실제 통신을 복제하여 라디오 사용자들 사이에 혼란을 일으킬 수 있습니다. 연구자들에 따르면, TCCA E2EE 스키마 디자인 결함은 모든 사용자에게 영향을 미치며, 이 점은 법 집행 기관 사용자들에게 서비스를 제공하는 여러 라디오 제조사로부터 확인을 받았습니다.

WIRED에 보도된 바와 같이, 연구자들은 공격자들이 “거짓 메시지를 보내거나, 합법적인 메시지를 재전송하여 라디오를 사용하는 직원들에게 오해나 혼란을 일으키는” 두 번째 결함도 발견했습니다. 그들은 이 디자인 결함이 TCCA E2EE 스키마의 모든 사용자에게 영향을 미치며, “법 집행 기관 사용자들”이 여러 제조사의 라디오에서 이 문제가 존재함을 확인했다고 말합니다.

TETRA 표준 기반 라디오는 벨기에, 세르비아, 핀란드, 사우디아라비아, 이란의 경찰 및 군사 통신 도구로 사용되며, 정보 기관 및 중요 인프라 운영자에게도 사용됩니다. 그러나 미국 경찰은 이를 사용하지 않는다고 WIRED가 밝혔습니다.

ETSI의 Brian Murgatroyd는 E2EE가 ETSI 표준의 일부가 아니라 다른 산업 그룹에 의해 만들어졌다고 말하면서도, “우리가 알 수 있는 한 널리 사용되고 있다”고 WIRED에 보도되었습니다. 그는 또한 “암호화 알고리즘과 키의 선택은 공급 업체와 고객 조직 사이에서 이루어지며, ETSI는 이에 대해 아무런 참여도 없고 […] 사용 중인 알고리즘과 키 길이에 대한 지식도 없다”라고 덧붙였습니다.

연구원 Jos Wetzels는 모든 정부가 자신들이 감소된 보안을 사용하고 있는지 알고 있는지에 대해 의심한다. “비-서구 국가들이 단지 56비트의 보안만을 얻게 된다는 것을 알면서도 수백만 달러를 지출할 것이라고 생각하는 것은 매우 불가능하다”라고 그는 WIRED에 따라 말했다.

이번 연구 결과는 오늘 라스베이거스에서 개최되는 BlackHat 보안 컨퍼런스에서 발표될 예정이다.