미국 공항의 보안검색 간소화 프로그램인 '프리체크(pre-check)'에서 보안취약점이 발견됐다. 바코드 내에 저장된 텍스트 파일의 일부를 수정하는 것만으로 프리체크를 악용할 수 있다는 것이다.
프리체크는 공항검색대에서 노트북을 가방 안에 넣은 채로 통과할 수 있으며 벨트, 신발을 신은 채 액체용기까지 그대로 통과시킨다. 이 과정은 프리체크용 바코드가 부착된 탑승권을 별도로 마련된 특별 검색대에 제시하기만 하면 된다.
문제는 탑승권에 인쇄된 바코드다. 공항에 도착하기 24시간 전까지 받을 수 있는 이 바코드에 들어있는 정보를 임의로 조작할 수 있다는 점 때문이다.
이를 처음 발견한 것은 항공 관련 블로그를 운영하는 존 버틀러다. 그는 탑승권에 저장되는 바코드가 암호화돼있지 않다는 점을 지적했다. 관련 기술을 알고 있으면 누구나 그 안에 들어있는 정보를 파악할 수 있다는 것이다.
미국 공항검색대에서는 바코드를 스캔할 때 나오는 경고음이 한 번 울리면 프리체크 이용자가 아니며, 세 번 울리면 프리체크 이용자라는 사실을 확인한다. 테러리스트나 실제로 이를 악용하려는 사람이 바코드에 담긴 텍스트파일에 포함된 문구 중 '1'을 '3'으로 바꿔 새로운 바코드를 인쇄해 제시하기만 하면 프리체크 이용자로 인식될 수 있다.
버틀러는 국제항공운송협회(IATA)에 관련된 취약점의 세부적인 기술적 사항을 공개했다. 그리고 일부 취약점에 대한 세부적인 내용은 이미 지난 7월부터 공항 채트 포럼에서 나오던 내용들이다.
미국 교통안전청(TSA)은 이에 대한 공식입장을 밝히지 않았다. 스털링 페인 TSA 대변인은 공항 검색 과정에서 이 부분은 광범위한 보안 프로세스의 한 부분일뿐이라고 강조했다. 그는 TSA는 검색 과정에 대해 세부적인 코멘트를 하지 않겠다며 TSA 프리체크는 우리의 지능적이며 위험에 기초한 접근법의 하나라고 밝혔다.
이에 대해 보안전문가이자 미국 자유인권협회(ACLU) 선임 정책 분석가인 크리스 소고이안은 매우 심각한 문제라며 우려를 표시했다. 그는 지난 2006년 가짜 탑승권을 만들어주는 웹사이트를 발견하기도 했었다.
관련기사
- 소니 ‘PS3’ 또 해킹 당해... “보안 체계 비상”2012.10.26
- “화웨이 라우터, 해킹 너무 쉽다”2012.10.26
- [이재구코너] 바코드 혁명, 슈퍼마켓 혁명2012.10.26
- 美공항 알몸검색 사라질까?2012.10.26
소고이안은 만약 4명이 한 팀을 이룬다고 하면 공항검색대를 통과하기 하루 전날 탑승권을 인쇄하고, 팀 중 한 명이 잠재적으로 문제가 될 수 있는 물건을 소지한 채 별다른 제재없이 공항검색대를 통과할 수 있다고 밝혔다.
그는 이어 만약 공항검색대에 들어가기 전에 일반적인 사람이 일반적인 가방을 들고간다는 확신만 줄 수 있으면 무사히 통과할 수 있다고 지적하며, 전체 공항검색의 보안 시스템이 무작위성에 의존하고 있다고 그는 말했다.
