Millions of RSA Keys Exposed, Revealing Serious Exploitable Flaws
Millions of RSA Keys Exposed, Revealing Serious Exploitable Flaws
A recent study has highlighted a significant vulnerability in RSA keys used across the internet, particularly in IoT devices.
gbhackers.com
- 취약점 개요
- 최근 연구에서 약 1억 7,500만 개의 RSA 키 중 1개꼴로 다른 키와 소인수(prime factor)를 공유하는 심각한 취약성 발견
- IoT(사물인터넷) 기기에서 주로 발생하며, 이는 난수 생성기의 불충분한 엔트로피(무작위성) 때문
- 해당 취약점은 2025년 기준 RSA 키 기반 보안 체계에 구조적 위협을 초래
- 기술적 원인
- RSA 알고리즘은 두 개의 고유한 큰 소수(p, q)를 기반으로 키를 생성
- 두 키가 동일한 소수 인수를 공유할 경우, 최대공약수(GCD) 연산만으로 비밀 키 복원이 가능
- 이는 전통적인 RSA 소인수분해(factoring)보다 훨씬 빠르고 효율적인 공격 방식
- 연구 결과
- 인터넷에서 수집한 7,500만 개 RSA 키 + 인증 투명성 로그(Certificate Transparency logs)에서 확보한 1억 개 공개 인증서 분석
- IoT 기기가 포함된 데이터셋에서 상대적으로 높은 비율의 소인수 공유 현상 확인
- 특히 엔트로피 확보가 어려운 저사양 IoT 기기에서 난수 예측성이 높아짐
- 영향 및 위협 시나리오
- 암호 키 탈취를 통한 전체 통신 복호화 가능성
- 중간자 공격(MITM)
- 인증 우회
- 암호화된 데이터 탈취
- 의료, 교통, 국방 등 중요 인프라 IoT 기기 대상 공격 우려
- 물리적 피해 및 대규모 장애 가능성, 보안 위협이 단순한 디지털 자산 침해에 그치지 않음
- 암호 키 탈취를 통한 전체 통신 복호화 가능성
- 과거 사례 비교
- 2012년과 2016년에도 동일한 RSA 키 소인수 중복 사례로 수만 개 인증서가 무력화
- 당시보다 클라우드 컴퓨팅 자원이 저렴하고 접근성이 높아 공격자에게 더욱 유리한 환경
- 보안 권고
- 난수 생성기 개선
- 하드웨어 기반 엔트로피 생성기(HWRNG) 또는 외부 무작위 소스 통합
- 소프트웨어 난수 생성 시 충분한 비블록성 수집 필수
- 공급망 내 키 생성 감사 체계 구축
- IoT 제조 단계에서 키 품질 점검
유효성 검증을 위한 GCD 연산 도입
- IoT 제조 단계에서 키 품질 점검
- 취약 키 탐지 및 교체를 위한 인증서 주기적 검사
- IoT 보안 업데이트 인프라 강화
- OTA 방식 업데이트 가능하도록 설계
- 펌웨어 서명 검증 구조 필수
- 산업/정부 차원의 IoT 보안 가이드라인 강화 및 표준화
- 난수 생성기 개선
- 결론
- RSA 키의 보안성은 키 생성 시 무작위성 확보에 절대적으로 의존하며, 이는 IoT 기기의 설계 한계와 직결
- 보안의 가장 약한 고리가 전체 시스템을 위협할 수 있다는 점에서, IoT 기기 보안은 암호화 기술 전반의 지속 가능성을 위협
- 향후 양자내성암호(PQC)로의 전환도 장기적 고려 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CVE-2024-36904, Linux 커널 TCP 서브시스템의 Use-After-Free 취약점 PoC 공개 (0) | 2025.05.01 |
|---|---|
| GitHub Action 공급망 공격으로 CI/CD 비밀정보 유출 (CVE-2025-30066, CVE-2025-30154) (0) | 2025.04.22 |
| ManageEngine Analytics Plus AD 인증 우회 취약점(CVE-2025-1724) 분석 (0) | 2025.04.21 |
| Wazuh SIEM 플랫폼의 원격 코드 실행 취약점(CVE-2025-24016) (0) | 2025.04.21 |
| Apache Tomcat RCE 취약점(CVE-2025-24813) 악용 분석 및 대응 방안 (0) | 2025.04.21 |