독일 eIDAS 전자신원 지갑, Apple·Google 계정 기반 기기 보안 검증 구조

• 독일 National EUDI Wallet은 모바일 기기의 보안 취약점 관리(MDVM) 체계를 통해 전자 신원 인증의 무결성을 유지함
• MDVM은 운영체제와 하드웨어 키 저장소(HKS) 의 취약점을 탐지하고, 위험이 높을 경우 인증 키 사용을 차단함
• Android에서는 Google Play Integrity API와 KeyAttestation, iOS에서는 Apple DeviceCheck·AppAttest를 이용해 기기 무결성을 검증함
• 이러한 구조로 인해 전자신원 기능 사용 시 Apple 또는 Google 계정 기반 검증 절차가 필수적으로 작동함
• 전체 시스템은 공격자에 의한 키 복제·오용 방지와 높은 보증 수준의 eID 인증 유지를 목표로 설계됨

모바일 기기 취약점 관리 개념 (Mobile Device Vulnerability Management, MDVM)

• MDVM은 독일 National EUDI Wallet 아키텍처 내에서 사용자 기기의 보안 취약점을 지속적으로 감시하고 인증 수단의 무결성을 유지하는 체계
• HKS(하드웨어 키 저장소) 및 운영체제(OS) 의 알려진 취약점을 탐지해, 공격 위험이 높은 경우 RWSCA/RWSCD 키 사용을 차단
• 이를 통해 전자 신원 확인(eID) 과정에서 높은 보증 수준을 유지하고, 공격자에 의한 키 복제·오용을 방지
• MDVM은 기기 및 앱의 보안 상태 검증, 기기 클래스 식별, 취약점 검증, 사용 결정의 네 가지 기능으로 구성

동기

• Wallet Unit은 공개/비공개 키 쌍을 통해 여러 신원 수단(PID 등)에 연결되는 인증 수단을 제공
• PID 발급 시 WB(Wallet Backend) 는 PP(Provider Party) 에 대해 해당 키가 일정 수준의 공격 저항성을 갖춘 인증 수단에 의해 제어됨을 OpenID4VCI Key Attestation으로 확인
• ISO/IEC 18045 및 EU 규정 2015/1502에 따라 높은 보증 수준의 전자 신원 확인에는 강력한 인증 수단이 요구됨
• 인증 수단은 두 가지 보증을 제공
  1. 키 저장소 복제 및 변조 방지
  2. 사용자 인증 메커니즘 공격 방지
• 첫 번째 보증은 HSM 기반 RWSCD로 구현 가능하며, 사용자 기기와 독립적으로 달성
• 두 번째 보증은 사용자 기기 보안에 의존하며, 소유 요소(HKS 기반) 와 지식 요소(비밀번호 등) 로 구성
• 모바일 기기의 HKS나 OS는 사전 취약점 분석·인증이 현실적으로 불가능하며, 과거에도 다수의 취약점이 보고됨
• 따라서 운영 중 취약점 모니터링 체계(MDVM) 를 통해 공격 가능성을 줄이고, 보안이 불충분한 기기에서는 RWSCA/RWSCD 키 사용을 차단

MDVM의 주요 기능

수집 신호

• 수집된 신호는 위협 대응, 기기 클래스 식별, 합리성 검증(plausibility check) 에 사용
• 주요 신호 출처: KeyAttestation, PlayIntegrity, DeviceCheck, RASP, LPADB, DCVDB

• 개요

  신호 출처 대응 위협 시너지 비고

  KeyAttestation	루팅, 부트로더 해제, 커스텀 ROM, 앱 변조, 복제, 에뮬레이션, 리플레이 공격 등	LPADB, RASP	DCVDB 입력으로 사용
  PlayIntegrity	앱 변조, 리플레이, 루팅, 커스텀 ROM, 구글 백엔드 기반 MDVM 판정, 자격 증명 탈취 도구, 오버레이 공격 등	KeyAttestation, RASP	부트로더 상태 확인 필요
  iOS DeviceCheck	리플레이, 인증서 변조, 프록시 공격, 앱 변조	RASP	기기 무결성 보증 부족
  LPADB	공개된 KeyAttestation 키를 이용한 루팅 은폐	KeyAttestation	-
  DCVDB	알려진 취약점 기반의 불안전한 기기 탐지	KeyAttestation, RASP	기기 클래스 식별 정확도 중요
  RASP	앱 후킹, 디버깅, 루팅, 에뮬레이션 탐지	-	실행 중 무결성 지속 감시

  ---

Android KeyAttestation 신호

• HKS 기반 하드웨어 검증 정보를 통해 기기 모델, OS 버전, 패치 수준, 부트로더 상태 등을 식별
• 주요 신호 항목
  • SecurityLevel: HKS 유형 식별 (TrustedEnvironment, StrongBox)
  • attestationIdModel/Product/Device: 기기 모델 식별
  • osVersion / osPatchLevel: OS 버전 및 보안 패치 수준
  • RootOfTrust: 부트로더 및 Verified Boot 상태
  • AttestationApplicationId: 앱 패키지명, 버전, 서명 인증서 해시
• Google의 Key-Attestation 인증서 폐기 목록은 업데이트가 느려 공개 유출된 키가 여전히 사용 가능함
• 일부 기기에서 특정 식별 필드가 누락될 수 있어 세 필드를 모두 평가해야 함

Android PlayIntegrity Verdict 신호

• Google Play Integrity API를 통해 앱 및 기기 무결성을 검증
• 주요 신호 항목
  • appRecognitionVerdict: 앱이 원본인지 여부
  • deviceRecognitionVerdict: 기기 신뢰 수준 (예: MEETS_STRONG_INTEGRITY)
  • appLicensingVerdict: PlayStore 설치 여부
  • playProtectVerdict: Play Protect 위험 평가
• MEETS_STRONG_INTEGRITY는 최근 12개월 내 보안 패치 적용을 요구
• 신호 신뢰 확보를 위해 서명 검증 및 복호화 필요
• Google 백엔드의 내부 평가 방식은 공개되지 않음

Android RASP

• 구체적 솔루션은 아직 확정되지 않았으며, 요구 기능 정의 단계
• 탐지 기능
  • App Hooking/Debugging: 동적 조작 탐지 (Frida, Xposed 등)
  • App Repackaging/Tampering: 앱 변조 및 재서명 탐지
  • UD Rooting/Emulation: 루팅, 가상화, 자동화 환경 탐지
• RASP는 실행 중 무결성 감시를 제공하며, Google의 폐기 목록과 별도의 블록리스트를 유지해 유출된 키 기반 공격을 방지

iOS DCDeviceCheck.AppAttest Attestation

• Secure Enclave와 Apple 서버를 통한 앱 인증 구조
• 주요 신호
  • attestationObject: App Attest 키가 Secure Enclave에서 생성되었음을 증명
  • credentialId: App Attest 키 식별자
  • RP ID: 앱의 App ID prefix + Bundle ID
• Apple의 위험 지표(receipt metric) 는 프록시 공격 탐지에 활용 가능하나, 명확한 기준 부재 및 Apple 서버와의 통신으로 인한 개인정보 노출 위험 존재
• iOS는 기기 모델, OS 버전/패치 수준의 하드웨어 기반 정보 제공 불가, OS 질의로만 확인 가능

iOS DCDeviceCheck.AppAttest Assertions

• App Attest 키로 생성된 서명 기반 검증 구조
• 주요 신호
  • assertionObject: 챌린지에 대한 서명 포함
  • keyId: App Attest 키 식별자
  • counter: 서명 횟수, 단조 증가해야 함
• 카운터 값의 급격한 증가는 프록시 공격 가능성, 감소는 리플레이 공격 가능성 시사

iOS RASP

• Android와 유사한 탐지 기능 요구
  • App Hooking/Debugging, App Repackaging, App Tampering, UD Rooting, UD Emulation
• Apple의 App Sandbox, Code Signing, System Integrity Protection은 설치 시점 보호만 제공하며, 루팅·후킹·런타임 조작 탐지 기능은 없음
• RASP는 실행 중 무결성 감시를 통해 이를 보완
• Apple 문서에 따르면 App Attest는 “정상 기기에서 실행되는 변조 앱은 유효한 assertion을 생성할 수 없다”고 명시

결론

• MDVM은 기기 보안 상태를 실시간 평가하고 공격 가능성이 높은 환경에서 인증 키 사용을 차단함으로써 전자 신원 인증 체계의 신뢰성 유지
• Android와 iOS 모두 플랫폼 보안 기능과 RASP 기반 동적 보호를 결합해 기기 무결성 검증 체계를 구성
• Google 및 Apple의 백엔드 검증 체계에 대한 의존성이 존재하며, 공개되지 않은 내부 평가 방식은 잠재적 불확실성 요인으로 남음