패스키 위조: FIDO2/WebAuthn 공격 표면 조사
2025-06-24
이 글에서는 FIDO2 패스키의 보안을 심층적으로 다룹니다. 저자는 상용 하드웨어 키와 플랫폼 인증기를 리버스 엔지니어링하여 커널 드라이버 없이 FIDO2 장치를 모방하는 소프트웨어 전용 인증기를 구축했습니다. 이를 통해 헤드리스 로그인을 위해 패스키 서명을 위조하고 재생할 수 있었습니다. 자세한 프로세스에는 실제 트래픽 캡처, HID 핸드셰이크 디코딩, 증명 데이터 검증, 소프트웨어 CTAP2 엔진 구축, Chrome의 내장 가상 인증기 악용이 포함됩니다. 저자는 실제 보안 키 없이 로그인하는 데 성공했으며, 패스키 보안을 강화하기 위한 필수 서명 카운터 적용, CDP 권한 제한, 그리고 relying party 측면의 검사 등의 완화 방안을 제시했습니다.
기술
패스키 보안