Discord·Twitch 연령 인증 우회 기법 공개, 메타데이터 기반 검증의 취약점 드러나

우회 메커니즘

이 익스플로잇은 Discord의 연령 인증 제공업체인 K-ID를 대상으로 한다. K-ID는 얼굴 이미지를 전송하는 대신 "얼굴에 대한 메타데이터와 일반적인 프로세스 세부 정보"를 보낸다. 연구자들은 실제 생체 인식 데이터 없이도 합법적으로 보이는 메타데이터를 생성할 수 있다는 것을 발견했다.

기술적 접근 방식

세 가지 주요 구성 요소가 있다:

암호화 레이어: 시스템은 AES-GCM 암호화를 사용하며 "키는 `nonce + timestamp + transaction_id`이며 HKDF(sha256)를 사용하여 파생된다." 이 암호화 방식을 복제함으로써 공격자는 유효해 보이는 암호화된 페이로드를 생성할 수 있다.

예측 데이터 조작: 검증은 얼굴 분석 배열(`outputs`, `primaryOutputs`, `raws`)에 의존한다. 이러한 값들은 예측 가능한 수학적 관계를 따르며—"'outputs'와 'primaryOutputs' 모두 'raws'에서 생성된다"—합성 데이터가 검증 검사를 통과할 수 있게 한다.

장치 검증 우회: 시스템은 카메라 메타데이터가 실제 장치와 일치하는지, 타이밍 데이터가 상태 전환과 일치하는지 검증하지만, 이러한 검사는 신중한 데이터 조작을 통해 우회할 수 있는 것으로 입증됐다.

시사점

이 취약점은 메타데이터 기반 검증 시스템의 근본적인 약점을 드러낸다: 서버가 원시 생체 인식 데이터를 직접 검사할 수 없을 때, 수학적으로 복제할 수 있는 수학적 일관성 검사에 의존하게 된다. 이 접근 방식은 프라이버시를 고려한 설계—얼굴 이미지 전송 회피—가 결단력 있는 공격자가 악용할 수 있는 새로운 공격 표면을 생성한다는 것을 보여준다.

반응

Hacker News에서 893점을 기록하며 보안 커뮤니티의 큰 관심을 받았다. 이는 프라이버시 보호와 효과적인 검증 사이의 근본적인 긴장을 부각시킨다.