구형 YubiKey 이중 인증 장치에서 심각한 보안 취약점이 발견되었습니다. 특히 YubiKey 5 및 펌웨어 버전 5.7 이전의 Security Key 시리즈에 영향을 미칩니다. 이 취약점은 Infineon의 암호화 라이브러리 결함으로 인해 수정할 수 없는 고수준의 클로닝 공격을 가능하게 합니다. NinjaLab의 보안 연구원들은 이 장치에서 사용되는 모든 Infineon SLB96xx 시리즈 TPM 칩이 이 공격에 취약하다고 확인했으며, 이는 지난 14년간 우려의 대상이었습니다.
취약점이 심각하지만, 일반 사용자가 큰 위험에 처할 가능성은 낮습니다. 이 공격은 YubiKey에 대한 물리적 접근과 약 45,000달러로 추정되는 비용이 드는 설정이 필요하지만, 약 11,000달러의 저렴한 설정으로도 가능할 수 있습니다. 이 과정은 장치에서 전자기 방출을 포착하는 것으로 시작되며, 약 1시간이 소요되고, 이후 키를 클로닝하는 데 하루가 걸립니다. 이러한 복잡성은 대부분의 사용자에게 실제 위험을 크게 줄여주지만, 정부 직원이나 의료 종사자와 같이 민감한 정보를 가진 개인은 이 취약점에 영향을 받지 않는 최신 하드웨어로 업그레이드하는 것을 고려해야 합니다.
Yubico는 5.7 버전의 펌웨어가 업데이트된 장치를 5월부터 판매하고 있으며, 이 장치는 자체 암호화 라이브러리를 포함하고 있어 Infineon의 취약점에 영향을 받지 않습니다. 사용자들은 YubiKey를 물리적으로 관리하고, 분실 또는 도난 시 즉시 등록 해제를 권장합니다. 보안을 강화하기 위해 기본 키와 백업 키를 사용하는 것이 좋습니다. 전반적으로 이 취약점은 심각한 위협을 제기하지만, 대부분의 사용자에게는 실질적인 영향이 미미하며, 민감한 데이터를 가진 사람들은 보안을 보장하기 위해 적극적인 조치를 취해야 합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.