OpenID4VP 프로토콜 무결성 유지 속 로컬 구현 결함으로 인한 인증 우회 사례

EU Age Verification App "Hacked in 2 Minutes" — What Actually Happened

eidas-pro2026년 4월 18일2분intermediate

AI 요약

Context

EU 연령 확인 mini-wallet 앱의 로컬 디바이스 보안 구현 결함으로 인한 인증 우회 발생. OpenID4VP 기반의 암호화 프로토콜 자체는 견고하나, 디바이스 내부의 인증 로직이 하드웨어 보안 영역과 분리되어 설계된 한계점 노출.

PIN 검증 로직과 Cryptographic Key Store의 물리적 분리 제거를 통한 하드웨어 바인딩 설계
Local Storage 내 Plaintext로 저장되던 Rate Limiting 카운터를 Secure Enclave 내부로 이전하여 무단 리셋 방지
단순 Boolean Flag 방식의 Biometric 인증을 Key Store와 연동된 Challenge-Response 메커니즘으로 대체
Rooted Device에서의 로컬 권한 탈취가 원격 공격으로 확장되지 않도록 설계된 프로토콜 수준의 격리 구조 유지
PID 제공자의 서명 기반 검증 방식을 통한 Local Bypass 상황에서도 데이터 위변조 불가능한 구조 확보

실천 포인트

1. 인증 상태를 Boolean 값으로 관리하고 있지 않은지 검토

2. Rate Limiting 및 Lockout 카운터가 수정 가능한 Local Storage에 저장되어 있는지 확인

3. PIN 및 생체 인증 검증 로직이 Hardware-backed Key Store와 밀접하게 결합되어 있는지 검증

4. Rooted/Jailbroken 환경에서의 로컬 데이터 조작 가능성을 전제로 한 위협 모델링 수행

태그