생체여권(전자여권)이 온다. PKI, BAC 등 친숙하지 않은 기술용어들로 무장하고 지문까지 찍어서, ‘극대화된 보안’이라고 홍보되는 생체여권이 오고 있다.
2005년 ‘최첨단의 보안’ 사진전사식 여권이 소개된 이후 1년 만에 ‘극대화된 보안’이라는 개념이 등장하는 것을 보면서, 둘 사이의 차이가 무엇인지 궁금해짐과 동시에 내년에는 또 다른 보안을 만날 수 있을지도 궁금해진다. 외교통상부는 ‘최첨단’과 ‘극대화’라는 수식어를 사용하여 보안을 설명하고 있지만, 명확함이 생명인 공학의 텍스트를 추상적 수량언어로 꾸며주는 것은 부적절하다. 이 글에서는 여권에 필요한 보안을 ‘보안A’와 ‘보안B’로 나누어서 설명하고자 한다.
보안A와 보안B?
▲ 미국이 발행하고 있는 생체여권. 9.11 테러 이후 미국 같은 국가들은 국가보안에 한층 신경을 쓰고 있지만 개인의 보안은 ‘알아서 챙겨야 되는 것’이 되어버렸다.
간단히 말해 보안A가 국가의 보안이라면, 보안B는 개인의 보안이다. 보안A는 9.11 테러 이후 미국 같은 국가들이 한층 신경쓰는 보안이고, 보안B는 초고속 인터넷이 거미줄처럼 깔리는 사회에서 개인이 알아서 챙겨야 되는 보안이다.
전통적으로 보안A와 보안B는 긴장관계에 있다. 국가가 개인정보를 더 많이 수집해서 저장하고 여권에 더 많은 개인정보를 담는다면, 좀 더 확실하게 여권이 가리키는 사람과 여권을 가지고 있는 사람이 일치함을 확인할 수 있고 따라서 보안A는 강화된다. 반면에 더 많은 개인정보를 수집당한 개인은 더 많은 개인정보 유출을 당할 수밖에 없고, 보안B는 약해지게 된다. 그렇다면 생체여권의 극대화된 보안은 어떤 보안을 말하는가?
정답은 물론 보안A이다. ‘전자적 여권’은 보안A를 위해 지문 등의 생체정보를 추가로 수집하고 여권에 담기는 정보들을 전자화하고 있다. 동시에 보안B는 약해졌는데, ‘생체정보를 담았다’는 건 유출되면 안 되는 개인정보가 유출될 수 있다는 것을 의미하기 때문이다. 또 ‘전자화되었다’는 것은 이전보다 더 쉽게, 더 빠르게, 더 멀리 개인정보들을 유출할 수 있게 되었음을 뜻한다.
이쯤에서 ‘그래도 보안B도 조금은 신경 써주지 않았을까?’하는 질문이 생기는데, 이에 대해 한국·영국·미국의 공무원들이 이구동성으로 답해주신 적이 있다.
" 전자칩에는 개인정보만이 아니라 보안요소들이 포함되어 있으므로 보안요소를 같이 복사하지 못하면 아무런 의미가 없습니다. 동인은 개인정보를 복사하였으나 보안요소는 복사하지 못하였습니다. 따라서 부분적인 복사가 가능하였다고 할 수 있습니다." – 한국 외교통상부 대변인
"복제를 할 수 있다는 것이, 위·변조까지 할 수 있다는 것을 의미하지는 않습니다." – 영국 내무부 대변인
" 생체여권을 고안한 사람들도 오래 전부터 칩 복제가 가능하다는 사실을 익히 알고 있었습니다. 그러나 다른 보안 장치들을 통해서 위·변조된 여권으로 미국을 포함한 다른 나라로 입국하는 것을 막을 수 있습니다." – 미 국무부 여권 서비스 담당 부차관보, 프랭크 모스(Frank Moss)
요약하자면, "개인정보 유출은 가능하지만 걱정 마시라. 위·변조는 불가능하고 그런 여권으로 출입국심사를 통과하려고 해봤자 걸리게 되어있다. 보안A 이상 없다 오바!" 정도가 되겠다. 이들은 자랑스럽게 답변하고 있다. 보안B는 원래부터 안중에 없었고, 목적대로 보안A를 달성하고 있다고.
생체여권의 심각한 문제점: 보안B의 관점에서
문제점 ①: 교통카드와 같은 비접촉식 인식 기술(RFID)이 사용된다.
생체여권은 교통카드처럼 비접촉식(RFID)으로 정보를 주고받는 방식인데, 이는 판독기(reader)에 달린 안테나의 성능에 따라 멀리서도 정보를 유출해낼 수 있는 길을 열어주고 있다. 이제 예전과는 다르게 여권을 분실하지 않고도 여권에 담겨있는 정보를 분실할 수 있다. 차폐막을 사용해 불법적인 통신을 차단한다고 하지만, 차폐막은 여권이 완벽하게 닫혀있을 때만 기능한다.
문제점 ②: 여권과의 통신에 필요한 암호가 여권에 적혀있다.
이것은 종종 ‘신용카드 뒷면에 비밀번호를 적어 놓는 것’에 비유된다. 즉, 분실된 여권은 암호와 함께 분실되는 것을 의미한다. 또 여권이 수시로 제시해야 되는 신분증임을 생각해 볼 때, 악의를 품은 사람이라면 누구나 쉽게 암호를 알아낼 수 있다는 것을 의미한다. 악의를 품은 사람은 이용할 수 있는 장소들은 다음과 같다. 공항, 호텔, 환전소, 인터넷 카페, 카렌탈 서비스, 그리고 길거리(사복경찰의 불심검문).
※ 생체여권은 모두 ICAO(국제민간항공기구) 표준에 따라 설계·도입된다.
누가누가 더 멀리 생체여권 정보를 유출하나
생체여권을 해킹하는 것은 어느덧 ‘괴짜들의 놀이(geeksport)’가 되어버렸다. 미국에서, 영국에서, 독일에서 해커들이 생체여권에서 개인정보를 유출하고, 칩을 복제하는 시연을 해보였다. 비접촉식 인식 방법(RFID)을 이용하여 누가 멀리서 유출하는지 경쟁이라도 하는 것 같다.
사실 해킹이라고 부르기도 민망하다. 그냥 복사했을 뿐이니까. 당신도 새로운 스포츠의 선수가 될 수 있다. 이 사이트(http://www.rfidiot.org)에 가보시라. 생체여권 해킹 프로그램은 자유소프트웨어(f/oss)로 다운받을 수 있고, 생체여권을 원격에서 읽을 수 있는 판독기(reader)까지 주문할 수 있다.
‘극대화된 보안’이 등장하면서, 보안B는 국가로부터 철저하게 버림받았다. 그런데 여기서 잠깐! 그들이 신경 쓴다는 보안A는 과연 안전한가?
10년 전 보안기술로 ‘무장’된 생체여권을 상상해보라
생체여권을 사용한 출입국심사를 시연하던 시드니 공항에서 두 명의 일본인이 장난삼아 서로 바꿔 들고 있던 여권으로 출입국심사를 통과하는 유쾌한 사건이 발생했다. 확률에 기반하는 생체인식 시스템의 특성상, 생체여권의 인증실패율은 언제나 무시 못할 정도이고, 이에 따라 칩에 저장된 내용으로 개인의 신원을 확인하는 것은 영원히 부수적인 절차일 뿐이다. 따라서 내장된 칩이 망가져도 예전의 출입국심사 절차 그대로 여권을 사용할 수 있다. 즉, 처음부터 칩은 불필요했던 거다.
이런 구조적인 결함 외에도 칩에 저장된 내용을 조작해 출입국심사 시스템 전체를 멈추게 하거나 중계기(relay device)를 이용해 여권에 있는 칩 대신에 주머니 속에 준비한 가짜 칩이나, 뒷사람 여권에 저장된 칩을 판독기에 연결시켜서 출입국심사대를 통과하는 등의 방법도 소개되고 있다. 이러한 방법들은 생체여권이 등장한 지 채 1년이 지나기도 전에 소개된 것들이다. 여권의 유효기간이 10년임을 생각해볼 때 더 많은 위협들이 기다리고 있음은 쉽게 알 수 있다. 보안A도 결코 안전하지 않다.
생체여권 도입을 전후한 미국의 풍경은 이렇다. 처음에는 98%의 미국 국민들이 반대의사를 표명하다가, 정부가 이것을 강행하자, 생체여권이 도입되기 전에, 10년짜리 여권을 새롭게 발급받으려는 사람들이 여권발급기관으로 몰려들었다.
해머로 두드리고, 전자레인지로 돌리고…새로운 문화 창조?
▲ 미국과 영국 등지에서는 생체여권에서 정보유출을 차단해주는 여권 전용 주머니가 절찬리 판매 중인가 하면 생체여권의 칩을 망가뜨리기 위한 다양한 방법이 구글을 통해 전파되고 있다.
시기를 놓쳐 어쩔 수 없이 생체여권을 발급받은 사람들은 생체여권의 RFID 칩을 되돌릴 수 없는 방법으로 불능화하기 위해 전자레인지에 돌리거나, 해머로 두드려서 칩을 망가뜨리는 수고를 하고 있다. 새로운 틈새시장도 열렸다. 전자레인지보다 훨씬 간편하고 확실하게 칩을 망가뜨릴 수 있는 ‘RFID-Zapper’ 같은 자기장 발생기가 판매되고 있으며, 생체여권에서 정보유출을 차단해주는 여권 전용 주머니도 절찬리 판매 중이다.
미 국회의 전문연구그룹인 GAO는 생체여권과 생체인식 시스템의 문제점을 지적하는 보고서를 계속해서 미 국회에 제출하고 있으며, 유럽연합의 공식 후원을 받는 보안전문가 네트워크 ‘FIDIS’는 생체여권이 오히려 보안을 약화시키고 있다며, 현재의 생체여권 표준을 빠른 시일 안에 폐기할 것을 권고하고 있다.
한국은? 보안A는 불안하고, 보안B는 철저히 외면한 ‘극대화된 보안’ 생체여권 프로젝트를 적극적으로 추진 중이다. (☞ 더 자세한 내용은 biopass.jinbo.net 을 통해 알 수 있다.)
2008-04-16
