입장전자신분증

유명환 장관의 전자여권에서 개인정보를 유출하는 방법

By 2008/10/02 10월 25th, 2016 No Comments
김승욱

Upcoming writings!!

전자여권 개인정보 유출 시연이 있었고, 기자회견이 있었습니다. 30일 오후 외교통상부의 해명이 있었는데, 별 문제가 아니라고 합니다. "신원정보면을 없애라는 얘기냐"고 반문합니다. 생각보다 실망스럽지만, 외교통상부의 해명에서 영감을 얻어 다음의 글들을 발신할 예정입니다. 이 글들을 읽기 전에  외교통상부의 해명 보도자료를 먼저 읽으신 다면, 더욱 즐거운 감상이 되리라 생각합니다.

   1. 유명환 외교통상부 장관의 전자여권에서 개인정보를 유출하는 방법  – 10/2(목)

   2. 전자여권(들)에게서 개인정보를 대량으로 유출하는 방법 – 10/6(월)

   3. 전자여권을 위변조 하는 방법 – 10/7(화)

   4. 소결: 전자여권 왜 도입했나? – 10/8(수)

많은 관심을 부탁드립니다.

문의(진보넷:02-774-4551 김승욱, 천주교인권위 02-777-0641 조백기)

1. 유명환 외교통상부 장관의 전자여권에서 개인정보를 유출하는 방법

전자여권의 전자칩에서 개인정보를 읽어내기 위해서는 여권번호, 생년월일, 그리고 여권만료일이 필요하다. 이 정보들의 조합은 일종의 비밀번호로 사용되는데, 이 정보들은 모두 여권에 프린트되어 있기 때문에, 우리는 손쉽게 전자여권에서 개인정보들을 읽어낼 수 있었다. 외교통상부에서는, 그런 경우라면 이미 여권이 누군가에게 전달되거나, 분실 후 습득된 상태이고, 그 시점엔 이미 모든 정보들이 유출된 것과 다름없어서, 디지털 형태의 정보를 다시 읽는 것은 무의미하고 그래서 문제가 되지 않는다고 해명하고 있다. 우리는 문제인식의 지평이 다른 외교통상부를 상대로 그것이 왜 문제인지 설명하기 보다는(나중에 설명될 예정임), 여권이 전달/습득되지 않은 상태에서도 전자칩에 저장된 개인정보들이 유출될 수 있음을 설명하는 것이 쉽다고 생각되어, 이를 먼저 설명하고자 한다. 우리가 오늘 유출하고자 하는 전자여권은 전자여권 31호인 유명환 외교통상부 장관의 그것이다.

위에서 설명되었듯이, 또 외교통상부가 인정하고, 국제민간항공기구ICAO의 Doc9303(전자여권 표준) 정의되어 있듯이, 또 지난번에 우리가 시연함으로서 입증되었듯이 전자칩의 정보를 읽기 위해선 여권번호, 생년월일, 여권만료일, 이 세 가지 정보가 필요하다. 애석하게도 유명환 외교통상부 장관 본인은 위의 세 가지 정보를 모두 인터넷에 공개하였는데 우리는 검색사이트에서 클릭 몇 번으로 세 가지 정보를 모두 입수할 수 있었다. 각각 D*****031, 1946년 4월 8월, 2013년 3월 **일이다. 유레카! 우리는 이제 유명환 외교통상부 장관의 전자여권을 읽을 수 있는 비밀번호를 획득하였다. 물론, 장관의 전자여권을 우리는 본 적도 만져본 적도 없다. 이제 필요한 것은 그가 전자여권을 소지하고 있는 동안에, 그의 옆에 가서 약 5초간 머무르는 것이다. 그의 전자여권이 호주머니에 있던지, 가방 속에 있던지 간에, 우리는 성능 좋은 리더기로 전자칩과 통신을 할 것이다. 비밀번호를 입력하고, 전자칩에 내장된 개인정보들을 하드디스크로 옮겨갈 것이다. 우리는 인터넷에서 구한 그의 여권번호, 생년월일, 여권만료일을 통해, 전자여권 속에 있던 그의 주민번호, 디지털 사진, 이름 등 을 추가적으로 획득할 수 있다. 처음부터 끝까지 전자여권은 원래 있던 자리에 있었을 뿐이며, 유명환 외교통상부 장관 본인은 아무 것도 알지 못한 채 상황은 종료된다. 우리는 5초정도 그의 곁에 머물렀을 뿐이다.

국내외를 막론하고 전자여권이 논의되기 시작했을 때, 한결같이 지적되었던 것은 “공개된 정보로 비밀번호를 구성하는 것은 보안원칙에 어긋나는 것이다”는 것이었다. 그럼에도 불구하고 그대로 실행되었는데, 그래서 이제는 “전자여권에는 보안이 없다”고들 얘기한다. 결과는 유명환 외교통상부 장관의 경우와 같다. 그리고 경우는 일반화된다.

우리가 A의 전자여권에서 개인정보를 읽어내고 싶다고 하자. A의 생년월일은 가장 쉽게 얻을 수 있는 정보이다. 그것은 어디에나 널려있다. 인터넷에서 찾을 수 없다면, 마케팅용 생일관리를 해드린다면 얻어내도록 하자. 여권만료일? 지금 시점에서 한국 전자여권의 만료일은 40개정도이다. 2018년 8월말에서 10월초 사이. 가장 어려운 것은 여권번호. 유명환 외교통상부 장관처럼 그것을 인터넷에 공개하는 사람은 별로 없기 때문이다. 그래도 문제될 것은 없다. 여권번호는 수시로 제출/기록되는 정보이다. A가 묵었던 게스트하우스의 손님목록에도, A가 예매한 항공권구입을 대행한 여행사의 시스템에도, 혹은 갑작스레 A에게 다가와 테러위협이 있어서 심문 중이라면 여권을 요구했던 경찰복장 사내의 머릿속에도, A의 여권번호는 남아있다. 위의 과정에서 여권만료일을 얻지 못했다면, 여권번호와 함께 얻어내도록 하자! 보통의 경우, 여권번호는 만료일과 함께 제출된다. 사전조사가 끝나면, 그의 곁에 5초간 머무는 것으로 모든 유출이 끝이다. 유명환 외교통상부 장관이 그랬던 것처럼, A는 아무것도 알지 못한다.

우리는 여권의 신원정보면을 열어보지 않고도, 여권에 저장된 디지털 개인정보들을 손에 넣을 수 있다. 그리고 전자여권 소지자들은, 여권을 항상 가지고 있었음에도, 개인정보들을 잃어버릴 수 있다. 전에는 존재하지 않았던 새로운 종류의 위험이다. 우리는 이 문제에 대한 우리의 이해가 외교통상부의 그것과 크게 다르지 않기를 기대한다. 이것마저도 별 문제 아니라고 말한다면, 그건 그 때가서 생각해야겠다.

 

 

wanted

 

인권단체 연석회의 [거창평화인권예술제위원회,구속노동자후원회,광주인권운동센터,다산인권센터,대항지구화행동,동성애자인권연대,문화연대,민주화실천가족운동협의 회,민족민주열사희생자추모(기념)단체연대회의,민주노동자연대,민주사회를위한변호사모임,민주주의법학연구회,부산인권센터,불교인권위원회,빈곤 과차 별에저항하는인권운동연대,사회진보연대,새사회연대,안산노동인권센터,HIV/AIDS인권연대나누리+,외국인이주?노동운동협의회,울산인권운동 연대,원불교인권위원회,이주인권연대,인권교육센터들,인권과평화를위한국제민주연대,인권운동사랑방,장애와인권발바닥행동,장애우권익문제연구소, 장애인편의시설촉진시민연대,전국장애인차별철폐연대,전국불안정노동철폐연대,전북평화와인권연대,전쟁없는세상,진보네트워크센터,천주교인권위원 회,평화인권연대,한국교회인권센터,한국게이인권단체친구사이,한국DPI,한국성적소수자문화인권센터,한국HIV/AIDS감염인연대KANOS]

2008-10-01

Tags: