구글 Widevine L3 DRM이 깨졌다는 소식

최근 트윗에 올라온 내용을 보면 구글의  Widevine L3 DRM 이 깨졌다는 소식이 올라왔습니다.

보안성이 가장 강한  L1 부터  L3 까지가 있는데 L3는 보완이 거의 불가능한 정도로 뚫렸습니다.

데이빗 뷰캐넌이라는 보안 연구원이 취약점을 찾아서 뚫었는데 아직 구글에 알렸는지 알수없으며, 구글에서 알았다고해도 L3를 보완할지는 모른다고 합니다. 왜나하면 버그가 아닌 L3 DRM 설계상 결함이기 때문에 이 취약점을 난독화 강화를 통해 보완할 수는 있지만 성능이 떨어질 것으로 보기 때문입니다. 

하지만 넷플릿스 같이 큰 기업은 콘텐츠 재생에 강력한 L1 을 사용하고 있으므로 L3가 깨졌다고하여 최악의 상황은 아닙니다. L1은 공장에서 미리설치된 상태로 출고되거나 공인된 전달 방식을 통해 설치해야되기 때문에 취약점을 찾기도 어렵고 해킹하는 것도 어렵습니다.

원문에 따르면 L3는 Side-Channel Marvels (Github 프로젝트) 에 공개된 부채널 공격으로 취약점이 발견되었습니다. 부채널 공격(Side Channel Attac)은 아무 정보도 없이 대량으로 대입하여 공격하는  무차별 공격(Bruce Force Attack)  과 다르게 일련의 복호화를 시도하며 배터리 소모량, CPU의 캐시 히트율, 하드웨어 오동작 같은 데이터로 키를 추론하는 방법입니다. 

대표적으로 3가지 부채널 공격 방법

• 타이밍 공격        여러가지 연산(복호화)을 시켜놓고 계산에 걸리는 시간을 토대로 암호를 유추하는 기법

• 전력 분석 공격        여러가지 연산을 시켜놓고 장비의 전력 사용량의 변화를 토대로 분석하는 기법

• 전자기 분석 공격        장비가 발생하는 전자파를 분석해서 암호 또는 평문을 추출하는 기법

원문의 보안 연구원에 따르면 L1은 취약점을 발견하지 못한게 아니고 '아직' 찾아보지 않았다라는 점에서 앞으로의  Widevine DRM 의 방향성이 어떻게 나가갈지 궁금해집니다.

출처

Google's Widevine L3 DRM, used by Netflix, Hulu, and HBO, has been broken