[보도자료] 외교통상부, 전자여권에서 개인정보 유출 가능하다고 밝혀

외교통상부 曰:

전자여권에서 개인정보 유출은 원래부터 가능하다.

11/25(목) 외교통상부가 전자여권 관련 보도자료를 내보냈습니다. 계속되는 전자여권 해킹 관련 보도에 대한 해명 보도자료입니다. 핵심내용은 다음과 같습니다:

① 전자여권에서 개인정보 유출할 수 있다.
② 그러나 그 정보로 복제/위변조는 해봤자 출입국심사 과정에서 걸리게 되어있다.
③ 종이에 쓰여진 개인정보로 전자화된 개인정보를 유출할 수 있다.
④ 지문만은 확실히 보호하지만 다른 건 유출할 수 있다.

외교통상부 보도자료 4번에 보면 "복잡한 암호화 통신을 통해서만 판독이 가능하도록 하였습니다."라고 되어 있습니다. 복잡한 암호화 통신을 사용하는 것은 맞는데, 이 암호화 통신에 사용되는 암호가 여권번호, 생년월일, 여권 유효기관 등 여권에 이미 프린트되어 있는 정보로 구성되는 것입니다. 외교통상부 보도자료 2번에서 "성명, 여권번호, 생년월일, 여권 유효기간을 이용하여 전자칩에 내장되어 있는 자신의 성명, 여권 번호, 생년월일, 여권 유효기간을 다른 전자칩에 복사한 것입니다."라고 표현하고 있는 것이 이것에 대한 설명입니다.

보안전문가들은 이것을 두고 ‘신용카드 뒷면에 비밀번호를 적어놓는 꼴’이라며 문제점을 지적하고 있습니다. 참고로 외교통상부가 국회에 제출한 자료에 따르면 2006년 한 해 한국여권은 66,798개가 분실되었고, 2007년엔 8월까지 51,511개가 분실되었습니다. 이렇게 분실된 여권은 모두 비밀번호와 함께 분실된 셈입니다.

물론 꼭 분실된 여권만 개인정보 유출의 위험에 시달리는 것은 아닙니다. 왜냐하면 여권의 개인정보를 유출하기 위해 여권에서 읽어야 하는 개인정보들을 다른 곳에서도 쉽게 구할 수 있기 때문입니다. 우리는 이미 과도하게 개인정보를 수집하고 유출하는 악순환의 사회에서 살고 있습니다. 영국의 데일리메일지는 2007년 4월 우편봉투에 들어있는 전자여권에서 봉투를 뜯어보지도 않은 채 개인정보를 유출하는데 성공했습니다.¹⁾

여권에서도 비밀번호는 얼마든지 엿볼 수 있습니다. 여권은 여행 중 수시로 제출하는 신분증입니다. 호텔, 카렌탈, 환전소 등에서 수시로 제출해야 됩니다. 따라서 비밀번호도 수시로 노출되고 있다고 할 수 있습니다. 누구든지 악의를 품고 있다면 쉽게 접근할 수 있는 것입니다.

외교통상부는 ‘기존에 알고 있는 개인정보를 이용하여 같은 개인정보를 유출했을 뿐이다.’라며 의미축소를 하고 있지만 ① 기존에 알고 있는 정보보다 더 많은 정보를 유출할 수 있으며(예: 얼굴사진, 주민등록번호, 국적 등) ② 기존에 알고 있는 정보는 종이에 적혀 있는 정보고 새롭게 유출한 정보는 전자화된 정보라는 점에서 큰 차이가 있습니다. 전자화된 정보는 순간적으로 유출이 가능한 것은 물론, 인터넷 상으로 무한복제/유출이 가능하여 개인에게 돌아오는 피해의 그 수준이 훨씬 더 심각합니다. 이 때문에 전자화된 개인정보와 종이에 적혀있는 개인정보는 프라이버시 문제를 논의할 때 차원이 다른 문제로 논의되고 있고, UN도 개인정보전산화 가이드라인을 마련해놓고 있습니다. (1990년 12월 14일 총회에서 채택)

위의 사진은 현재 한국이 도입하려는 국제민간항공기구(ICAO) 표준 전자여권에서 유출되어 인터넷에 게시되어 있는 개인정보와 사진입니다. 이것은 영국의 아담 로리(Adam Laurie)가 NO2ID(영국 사회단체)의 필 부스(Phil Booth)의 여권에서 빼낸 정보입니다. 물론, 본인의 허락하에 인터넷에 게시되어있습니다.²⁾

외교통상부가 인정한대로 이제 이런 식으로 전자여권에서 개인정보를 유출하여 인터넷에 범람하게 될 수 있다는 말입니다. 외교통상부가 강력한 보안이라고 말하는 것은 그렇게 유출한 정보로 다시 복제/위변조여권을 만들어봤자 출입국심사대에서 색출해낼 수 있을 거라는 얘기에 불과합니다. 출입국심사대에 도착하기 전에 여기저기서 유출되는 개인정보는 외교통상부의 관심이 아닙니다.

미 국무부 여권 서비스 담당 부차관보인 프랭크 모스(Frank Moss)도 비슷한 말을 한 적이 있습니다. 계속되는 전자여권 해킹에 대해 “전자여권을 고안한 사람들도 오래 전부터 칩 복제가 가능하다는 사실을 익히 알고 있었으며, (데이터 페이지에 여권 소지자의 디지털 사진을 넣는 등의) 다른 보안 장치들을 통해서 위조되거나 개조된 여권으로 미국을 포함한 다른 나라로 입국하는 것을 막을 수 있다.”고 말한 바 있습니다.³⁾ 역시 개인정보 유출은 인정하고 있습니다. 전자여권 도입 전 미국의 여권발급기관이 미국 국민들에게 물은 결과, 98% 이상의 국민들이 전자여권 도입에 대해 부정적으로 생각하고 있었습니다.⁴⁾

또한 위와 같은 개인정보 유출이 비접촉식 방법으로 가능한 것도 문제입니다. 이는 불특정 다수의 군중으로부터 특정 개인정보를 가진, 즉 특정국적을 가진 사람을 색출해낼 수 있다는 의미입니다. 이에 따라 특정국적의 여행자가 다가오면 폭발하는 폭발물 같은 테러도 가능한 것으로 보고되고 있습니다.⁵⁾ 즉, ‘RFID=기폭장치’로 인식되고 있습니다. 그래서 전자여권 도입이 된 지금은 개인정보보호를 위해 또 안전을 위해 RFID 불능화 운동 등이 진행되고 있는 실정입니다. (예: 전자레인지에 돌리기, 해머로 두드리기)⁶⁾ 영국에서는 전자여권 리콜운동이 진행 중입니다.⁷⁾

전자여권의 이러한 문제점은 국제민간항공기구(ICAO)가 정해놓고 있는 전자여권 표준이 애초부터 잘못 설계되었기 때문입니다. 잘못 설계된 프레임 안에서 한국정부가 아무리 보안을 높이려고 노력해봤자 헛수고입니다. ICAO 표준대로 도입된 세계 각 국의 여권(독일, 영국, 네덜란드, 벨기에 등)은 차례로 해킹되었습니다.

유럽연합(EU)의 공식후원을 받는 보안전문가 네트워크 FIDIS는 2006년 9월 부다페스트 선언을 통해, ICAO 표준 전자여권에 대해 목적과는 다르게 보안을 후퇴시키고 있고, 신원위조/명의도용(identity theft)의 가능성만 높이고 있다며, 현재의 ICAO 표준은 빠른 시일안에 폐기하고, RFID와 생체정보를 사용하지 않는 방향으로 새로운 여권표준을 제정할 것을 권고한 바 있습니다.

현재 외교통상부가 ICAO 표준안에 따라 전자여권을 도입해봤자 몇 년 안에 폐기될지도 모르는 상황인 것입니다. 외교통상부는 이미 2년 전에 사진전사식 여권을 여권대란과 함께 도입한 적이 있습니다. 외교통상부가 주기적으로 여권대란을 발생시키는 부처입니까? 개인정보와 인권이 어떠한 관련이 있는지 모르고 있습니까? 현재 논의되고 있는 전자여권 사업은 전면 중단해야 합니다.

1) DailyMail “’Safest ever’ passport is not fit for purpose"

2) http://www.rfidiot.org

3) 아이뉴스24 “해커들, 전자여권을 복제하다” 기사 中

4) CSMONITOR "New ‘e-passports’ raise security issues" 中

5) 관련 동영상

6) WIRED ‘How To: Disable Your Passport’s RFID Chip’

7) Guardian ‘Recall demand after cloning of new biometric passports’