KRACK: WPA2 와이파이 프로토콜에서 심각한 취약점 발견

Arstechnica는 컴퓨터와 Access Points (엑세스 포인트, AP) 사이의 와이파이 트래픽을 도청 할 수 있게 만드는 취약점을 와이파이 프로토콜인 Wi-Fi Protected Access II (WPA2) Protocol 에서 발견했다고 보도했다. 

해당 취약점은 KRACK (Key Reinstallation Attacks, 키 재설치 공격) 이라고 불리며, 정상적으로 설치된 키를 재설치 함으로서 정보를 읽는 공격이다. 대상이 되는 정보는 로그인 정보(아이디와 비밀번호), 웹사이트 브라우징 정보 등 와이파이를 통해 전송되는 모든 정보이며 HTTPS 등 추가적인 레이어를 이용하는 정보이더라도 특정한 상황에서는 우회하여 정보를 읽을 수 있다고 한다.  취약점을 발견한 Mathy Vanhoef 에 따르면, 이 공격은 WPA2의 취약점을 이용한 공격이므로 WPA2 프로토콜을 사용하는 거의 모든 기기가 공격 대상이 될 수 있으며 따라서 특정 플랫폼에 무관하다고 설명했다. Mathy Vanhoef 에 따르면, 이 공격은 WPA2 프로토콜의 4-way handshake를 이용한다. 따라서 이와 비슷한 기법을 사용하는 개인용 혹은 기업용 와이파이 네트워크, 옛날 버전의 WPA, 최신 버전의 WPA2, AES 등의 네트워크가 잠재적인 위험을 가지고 있다고 설명했다.

KRACK은 handshake 메세지들을 조작하여 답장하는 방법으로 이미 사용중인 키를 재설치 하는 방법으로 이루어지는 공격이다. 피해자가 키를 재설치 할 경우, 패킷 전송 번호 (i.e. nonce)와 받은 패킷 번호 (i.e. replay counter) 들은 초기화 된다. 보안을 위해 키는 설치된 후 한번만 사용되어야 하는데, WPA2 프로토콜에서는 그렇지 않았다. Mathy Vanhoef 에 따르면, 대략적인 공격 흐름은 아래와 같다.

1. 클라이언트가 네트워크에 들어오면, 4방향 handshake를 통해 새로운 암호화 키를 제공하고 설치한다. 
   이것은 4방향 handshake 중 3번째 메세지를 받았을 때 이루어진다. 
2. 설치된 키는 암호화 프로토콜을 통해 데이터 프레임을 암호화 하는데 사용된다. 
   그러나, 메세지들이 여러 이유로 드롭 될 수 있기 때문에, 엑세스 포인트 (AP)는 제대로 된 ACK를 받지 못했을 경우 3번째 메세지를 다시 전송한다. 
3. 결과적으로 클라이언트는 3번째 메세지를 여러번 받을 수 있게 된다. 
   매번 메세지를 받을때 마다 같은 암호화 키를 재 설치하게 되고, 패킷 전송 번호 (nonce)를 리셋하게 되며, 암호화 프로토콜에 사용되는 리플레이 카운터를 받게 된다. 
4. 공격자는 4방향 핸드쉐이크의 3번째 메세지를 다시 전송하는 방법을 통해 nonce를 리셋할 수 있다. 이 방법을 통해 nonce를 재사용하여 패킷을 리플레이 하거나, 복호화 하거나, 위조할 수 있다. 
   같은 방식으로 그룹키, PeerKey, TLDS, Fast BSS Translation handshake를 공격할 수 있다. 
5. 패킷을 복호화 할 수 있다는 것은 TCP SYN 패킷을 복호화 할 수 있다는 것을 뜻한다. TCP 시퀀스 넘버를 통해 TCP 연결을 하이재킹한다.
   결과적으로, WPA2를 사용했음에도 불구하고 오픈 와이파이 네트워크에 사용되는 공격(암호화 되지 않은 HTTP 연결에 악성 코드를 삽입하는 공격)을 사용할 수 있게 된 것이다. 

공격자가 AES-CCMP를 사용하지 않고 WPA-TKIP 혹은 GCMP를 사용한다면, 해당 암호화 프로토콜은 nonce 재사용을 통해 패킷 조작 및 주입이 가능해 지기 때문에 더욱 위험하다. 또한 GCMP의 경우 두 커뮤니케이션 방향 모두에 같은 암호화 키를 사용하기 때문에 매우 위험하다. 

이 공격 흐름에서 보듯이, 같은 암호화 키가 이전에 사용되었던 nonce 값에 재사용 되는것을 사용한 공격으로, 와이파이의 비밀번호와 무관한 공격이다. 

관련 CVE 번호

• CVE-2017-13077: 4방향 핸드쉐이크 중 Pairwise Encryption Key (PTK-TK) 재설치
• CVE-2017-13078: 4방향 핸드쉐이크 중 Group Key (GTK) 재설치
• CVE-2017-13079: 4방향 핸드쉐이크 중 Integrity group key (IGTK) 재설치
• CVE-2017-13080: 그룹키 핸드쉐이크 중 Group Key (GTK) 재설치
• CVE-2017-13081: 그룹키 핸드쉐이크 중 Integrity group key (IGTK) 재설치
• CVE-2017-13082: 재 전송된 Fast BSS Transition (FT) Reassociation Request 허용 및 처리 도중 pairwise encryption key (PTK-TK) 재설치
• CVE-2017-13084: PeerKey 핸드쉐이크 중 STK Key 재설치
• CVE-2017-13086: TDLS 핸드쉐이크 중 Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) 재설치
• CVE-2017-13087: 무선 네트워크 설정 (WNM) 잠자기 모드 반응 프레임 처리 중 group key (GTK) 재설치
• CVE-2017-13088: 무선 네트워크 설정 (WNM) 잠자기 모드 반응 프레임 처리 중 integrity group key (IGTK) 재설치

출처

KrackAttacks

Arstechnica