전자여권, 심각한 보안 위기에 직면

라스베가스-- 빌딩 출입 통제, 고속도로 요금 카드, 그리고 여권 등에까지 널리 사용되는 전자 태그가 놀랍게도 복제가 쉽고, 심각한 안전에 대한 위험성을 내포하고 있다고, 연구원들은 밝혔다. 이 곳 라스베가스에서 개최된 두 개의 안전 관련 컨퍼런스에서, 연구원들은 RFID태그가 부착된 여권이 200달러짜리 RFID 리더기와, 이와 가격이 비슷한 스마트 카드 라이터가 부착된 랩탑만 있으면 쉽게 복제가 가능하다고 주장했다. 이와 더불어 운송 문서에 내장되어 있는 RFID는 멀리서도 미국 여권들을 인식할 수 있는 능력을 보유하고 있어, 테러리스트들이 폭발물의 방아쇠 장치로 활용될 수 있다는 주장 또한 내놓았다. 블랙 햇(Black Hat) 컨퍼런스에서 독일 힐데스하임에 위치한 DN 시스템즈의 연구원 루카스 그룬왈드는 자신의 여권에 부착된 RFID 태그에 저장되어 있는 데이터를 복제하여 RFID 칩이 내장되어 있는 스마트 카드로 옮길 수 있다고 주장했다. 복제된 칩은 위조 여권에 사용될 수 있다. 금요일 CNET News.com과의 인터뷰에서 그룬왈드는 “우리는 그 칩을 여권처럼 반응하도록 프로그래밍 할 수 있었습니다.”라고 말했다. 이러한 불법적인 복제의 위협은 2006년 10월부터 새로운 RFID 여권을 발급받기로 예정되어 있는 수백만 명의 미국인들에게 큰 영향을 미칠 수 있다. 이로 인해 새로운 여권이 오히려 복제하기 더 어려울 것이라고 강조했던, (그래서 사생활 침해에 대한 우려에도 불구하고 RFID 태그를 심는 것을 적극적으로 옹호한) 정부 관료들의 주장에 대한 의문 또한 커지고 있다. 하지만 그룬왈드는 여권에 부착된 칩들에 저장되어 있는 정보들을 보호하여 주는 비밀 암호 체계에는 어떤 결함도 발견할 수 없었다고 밝혔다. 다시 말하자면, RFID 태그를 스캔 하여 데이터를 복제할 수는 있지만, 그 안의 정보는 변조될 수 없다는 것이다. 그룬왈드는 세관검사자료를 복제함으로써 칩 안에 있는 데이터를 읽을 수 있었다. 그의 프로젝트를 완성하기 위해 그룬왈드는 RFID을 리드하는 하드웨어와 몇 가지의 자체적으로 개발한 소프트웨어를 사용하여 총 “이주일, 그리고 5,000달러의 법적 수수료”가 소요되었다고 밝혔다. 금요일 미 국방부에서 그룬왈드는 그의 프로그램으로 몇몇 회사 출입 통제 카드를 실험했는데, 역시나 복제할 수 있었다. 이것은 악의적인 공격을 목적으로 한 사람이, 보안 통제 된 빌딩들에 복제된 카드를 이용해 자유롭게 출입할 수 있다는 것을 말한다. 그룬왈드는 “RFID를 안전한 방법으로 추가할 수 있는 방법은 있지만, 현재, 특히 전자 여권과 같은 경우에는 절충과 타협에 의해 그 규격이 결정되고 있는데 이러한 절충과 타협은 안전한 방법이 될 수 없다.“라고 그는 주장했다. 세계 각 국 정부들은 위조를 방지하기 위한 방법으로 여권들에 RFID 태그들을 추가하려고 하고 있다. 이미 몇몇 유럽의 국가들은 미국보다 앞서 이미 RFID 태그가 부착된 여권을 발행하고 있는 상태이다. 사생활 보호론자를 비롯한 몇몇 보안 관련 전문가들은 이미 전자 여권으로 옮김으로써 발생할 수 있는 가능한 위협들에 대해 경고했다. 이러한 위험들 중 하나는 데이터 유출의 위험이다. RFID 태그는 리더기를 통하여 계획적으로 읽힐 수 있다. 현재까지 발전한 기술수준으로 보았을 때, 약간 열린 여권까지도 감지해 낼 수 있다고 무선 보안 업체 플랙실리스 연구원 케빈 맥해피는 말했다. 칩에 내장되어 있는 실제 데이터를 읽지 못한다 하더라도, “어떤 사람이 여권을 소지하고 있는 지 없는 지 여부를 불순한 목적을 가진 자가 알아 챌 수 있다는 것 자체가 보안을 위협하는 존재이다.”라고 그는 덧붙였다. 맥해피는 또한 RFID 칩의 특징을 인식함으로써 그 여권을 소유한 자의 국적까지도 알아낼 수 있다고 말했다. “극단적인 예로, 이러한 기능은 미국 국적을 가진 사람이 주위에 있을 때만 작동하는 폭발물을 만드는 데 이용될 수 있다.”라고 그는 말했다. 블랙 햇 컨퍼런스에서 맥해피는 이러한 경우에 대한 시뮬레이션을 행한 동영상을 보여주었다. 플랙실리스는 여권이 완전히 열릴 때까지 그 안의 정보를 인식하지 못하게끔 이중 보호막과 더불어 특수 디자인 된 RFID 태그를 사용할 것을 제안했다. 정보누수의 위험을 이미 인지하고 있는 그룬왈드는 전자 태그가 읽히는 것을 방지하기 위해 독일의 회사들이 이미 판매하고 있는 알루미늄 포일로 만들어 진 특수 여권 주머니를 사용하고 있다고 밝혔다. 현재 독일 여권에서 발생한 RFID 태그 상의 몇몇 문제로 인해, 정부는 RFID 태그가 작동하지 않더라도 이를 여권으로 인정해 주기로 결정했다고 그룬왈드는 말했다. 독일의 해커들의 모임인 카오스 컴퓨터 클럽(CCC)는 이러한 상황을 이용해 RFID의 복제를 막을 수 있는 창조적인 해결책을 들고 나왔다고 그룬왈드는 말했다. “CCC의 제안은 바로 여권을 전자 레인지에 넣고 돌리라는 것이다. (RFID를 차라리 못쓰게 만들라는 의미.)”라고 그는 말했다. @