전자여권 태그 복제 등 최근 보안이슈 대두…다양한 보안기술 개발 필요

최근 전자여권에 포함된 RFID 태그 복제/위변조 문제가 불거지면서 RFID 시스템 보안문제가 심각하게 제기되고 있다. 어떠한 리더든지 모든 태그의 데이터에 액세스할 수 있다는 RFID의 특성이 보안상 맹점으로 떠오른 것이다.

특히 EPC Gen 2 표준을 준수하는 태그가 공급망을 중심으로 확장되고 있는데, 이러한 태그도 태그 정보를 판독하는 어떠한 리더에든지 반응한다는 점에서 대책마련이 시급하다는 지적이다.

이에 따라 인증되지 않은 사람들이 태그 정보를 읽을 수 없도록 보안이 강화돼야 한다는 목소리가 높아지고 있다. 지난 9월 진보네트워크 센터는 국내에 전면 도입된 전자여권의 보안 문제를 지적하고, 실제로 문제의 장면을 시연했다.

센터가 전자여권 인식 프로그램을 통해 보여준 바, 전자여권 내 칩에 기록된 이름, 생년월일, 국적, 여권번호 등 개인정보가 그대로 노출됐다. 센터가 개인정보를 훔쳐보는데 사용한 것은 데스크톱 PC와 RFID 리더기, 웹에서 다운로드할 수 있는 전자여권 인
식프로그램이었다.


최근들어 RFID 관련 해킹 사례가 등장하면서 보안문제가 대두되고 있다.

RFID 보안 허술'다양한 실증사례 나와'

또한, 최근에는 RFID 해킹툴이 등장해 태그의 상품 내용을 바꾸거나 악용하는 사례가 빈번하게 발생하고 있다. ETRI 정보보호연구단은 현관출입통제 등에 많이 사용되는 13.56MHz 대역 RFID를 해킹할 수 있는'RF 덤프'라는 해킹툴이 개발됐으며 오픈 소스 형태로 공개돼 확산되고 있다고 밝혔다.

정보보호연구단은 13.56MHz RFID는 미국에서 실시간으로 무선 태그를 복제할 수 있는 장치가 만들어져 이 장치를 호주머니에 넣고 출입문 근처에 있으면 공격 대상인 카드를 사용할 때 실시간으로 원격에서 카드가 복제된다고 설명했다.

여기에 물류 분야에 사용되는 900MHz 대역 RFID 해킹 기술도 나타났다. 정보보호연구단은 900MHz 해킹기술은 대학 실험실에서 10만원 이하의 저렴한 프로그래머블 반도체(FPGA)와 PC만 있으면 손쉽게 만들 수 있다고 지적했다.

해외에서는 해커가 8달러짜리 RFID 리더를 이용해 신용카드에 손대지 않고 카드 번호나 카드 주인의 이름 등을 단말에 표시하는 등의 스니핑 사례를 시연하는 사례와 Mifare RFID를 해킹하는 시연하는 동영상이 등장하기도 했다.

뿐만 아니라, 지난 2007년에는 불법이민 및 범죄근절에 일조할 것으로 예상됐던 영국의 전자여권이 한 보안전문가에 의해 해킹된 사례도 있다. 한 보안컨설턴트는"신규 여권의 최대 단점은 보안키를 구성하기 위해 찾기 쉬운 데이터를 사용하는 데 있다. 따라서 무차별 공격 스타일의 프로그램이 작동할 수 없는 장치를 포함시켜야 할 것"이라고 조언했다.


최근 열린 '2008 RFID/USN 보안 컨퍼런스' 모습.

보안문제로 세계3강 실현'발목 잡힐라'

최근 한국전자통신연구원과 한국RFID/USN협회 주관으로 한국정보사회진흥원에서 열린'2008 RFID/USN 보안 컨퍼런스'의 결론은 RFID/USN 기술과 관련된 이러한 보안이슈를 해결해야만 우리가 목표로 하는 RFID/USN산업의 세계 3강 실현이 가능하다는 것이다. 따라서 RFID/USN 산업발전과 보안 및 프라이버시 보호는 동시에 균형을 맞춰 추진돼야 한다는 주장에 무게가 실리고 있다.

한국전자통신연구원 정보보호연구본부 조현숙 본부장은 "RFID/USN 기술은 기존의 사람 중심에서 사물까지 정보화를 확대하는 새로운 패러다임의 유비쿼터스 IT기술로써 센서를 초소형 무선장치에 접목해 여러 생활 수준의 고도화를 실현하는 기술"이라며"이런 환경에서는 하나로 통합되는 복잡한 네트워크 체계 속에서 이전과는 차별화된 RFID/USN 보안기술이 요구된다"고 지적했다.

그동안 정부는 RFID/USN 산업 활성화를 위해 보안은 뒷전인 채 오로지 인프라 확산에만 주력해 온 것이 사실이다. 그렇다보니 취약해진 보안은 도리어 RFID/USN 산업발전의 발목을 잡을 태세다. 개발초기부터 임베디드된 제품 개발해야 RFID/USN 더 나아가서는 u-City를 구성하는 다양한 기술들이 생활의 편의를 도모하지만, 프라이버시 측면에서 보면 휴대폰이나 CCTV 등으로 개인의 움직임이나 정보를 실시간으로 유출하고, 유무선 네트워크의 끊임없는 의사소통으로 프라이버시 침해 공간이 확장된다는 것은 누구나 아는 사실이다.

한국정보보호진흥원 개인정보지원센터의 권현오 선임연구원은"정보보호의 개념이 개인의 이름이나 주민번호 등 신상정보에서 위치나 성향정보로까지 확대되고 있다"며"정보를 활용하는 주체에게 이러한 동적인 정보는 중요한 마케팅 수단으로 활용될 수 있는데, 이것도 프라이버시 침해에 해당된다"고 강조했다.

특히, 권 선임연구원은 RFID 시스템의 취약요소로 리더기와 태그의 통신 중 비인가 리더기에 의한 도청 및 정보절취, 리더기들 간의 연동을 통해 동일 태그의 위치이동경로 노출, DB해킹 및 내부관리자에 의한 개인 정보 노출을 지적했다.

권 선임연구원은"RFID/USN 산업활성화와 프라이버시 보호라는 두 마리 토끼를 잡기 위해서는 사업자의 자발적인 프라이버시 보호를 통해서만 산업경쟁력도 제고할 수 있을 것"이라고 말했다. 따라서, 기술개발 초기부터 이용자를 고려한 임베디드된 보안 제품의 개발을 염두에 둬야 한다는 것이다.


보안 관련 국내 업체의 기술개발은 더딘 반면, 해외 업체들은 다양한 분야에서 RFID 관련 보안 기술이 개발되고 있다.

국내 RFID 보안기술 개발 더뎌

이러한 보안과 개인 프라이버시 이슈가 대두되면서 국내외적으로 RFID 하드웨어 및 소프트웨어에 대한 보안기술개발이 활발히 진행되고 있으나, 여전히 가야할 길은 멀다.

국내의 경우, 국책연구기관인 ETRI에서 개발하는 보안기술이 대부분이며, 대다수 RFID/USN 업체들은 영세하기 때문에 보안기술의 개발은 기대하기 힘들고, ETRI가 개발한 기술을 탑재하는 수준에 불과하다.

ETRI의 RFID/USN 보안연구팀은 일반 RFID와 모바일 RFID 분야, USN분야까지 아우르는 보안기술 개발에 박차를 가하고 있다. 이미 ETRI는 일반 RFID 보안기술과 보안 RFID 통합서비스, e-Pedigree Discovery Service(PDS), 안전한 RFID 기반 지능형 빌딩관리서비스, RFID 기반 안전한 의료응용서비스, 전자봉인 보안 프로토콜, RFID/바코드 기반 유가증권 보호시스템을 개발해 제공하고 있
다.

또한, 모바일 RFID 분야에서 모바일 RFID 보안기술, 모바일 RFID 보안 라이브러리, 모바일 RFID 보안미들웨어, 모바일 RFID 프라이버시 보호 서비스,Networked RFID 보안 키오스크, 안전한 모바일 RFID 응용 포탈서비스 등을 개발했다.

USN 분야 역시 안전한 USN 플랫폼, 저전력 HW/SW 보안 모듈, USN 보안관리시스템, 모바일 USN 센서네트워크기술, 센서노드 부채널 공격 시스템 등을 개발 중이다. 특히, ETRI가 개발한'RFID 통합 보안 솔루션'은 DB보안 수준인 현재의 RFID 보안 기술을 한 단계 업그레이드시킨 것으로, 향후 RFID 보안 취약성의 강화, 프라이버시 침해 등의 문제도 일부 해결될 것으로 전망되고 있다.

RFID 업체들, 시장확대에만 혈안, '보안은 뒷전'
이처럼 ETRI는 보안기술을 개발하여 업계에 이전하고 있지만, 정작 국내 RFID/USN 업체들은 산업활성화에만 정신을 팔고 있을 뿐 보안 이슈에 대해 그다지 관심을 두지 않고 있는 실정이다. 그나마 일부 기업의 보안 관련 기술이전이 눈길을 끌고 있다.

최근 인트정보시스템(대표 홍인택)이 ETRI로부터 기술을 이전받아 RFID 휴대용 리더기에 RFID 보안기술을 적용하고 있다. ETRI에서 개발한 이 기술은 RFID 서비스를 보호할 수 있는 통합 보안 기술뿐만이 아니라 USN 환경의 광범위한 형태의 종합적인 융합보안을 지원할 수 있는 보안 환경 및 프라이버시 보호 기능이 강화된 RFID/USN 보안 토털 솔루션 기술이다.

인트정보시스템 관계자는"보안 기술을 RFID 휴대용 리더 단말에 RFID 에지 미들웨어 형태로 커스터마이징을 통해 적용함으로써 가깝게는 전통적인 RFID 응용 분야인 물류/유통 등과 같은 기업간 거래(B2B) 시장에서 중요한 역할을 수행할 수 있을 것"으로 내다보고 있다.
또한, 향후 휴대폰을 이용해 개인 정보와의 연관성이 높은 응용 분야와 개인 프라이버시 침해 문제가 발생할 수 있는 응용분야인 기업과 소비자간 거래(B2C)시장에서도 핵심적인 역할을 수행할 수 있을 것으로 보고 있다.

소프트웨어업체로는 엘엔아이소프트(대표 임종남)가 RFID 통합 보안 미들웨어를 개발해'uSTAT 1.0'을 출시했다.' uSTAR 1.0'은 순수 자체 기술로 개발된 제품으로 다양한 필터링 기술 등을 통한 효과적인 태그 인식으로 다양한 RFID 시스템 구축이 가능한 통합 미들웨어이다.

특히, 그간 RFID 미들웨어의 고질적 문제로 지적돼 왔던 보안성 관련 문제를 개선한 것이 특징인데, 이를 위해 2건의 RFID 미들웨어 보안 관련 특허를 출원했을 정도다. 엘엔아이소프트 채흥석 연구소장은 "uSTAR 1.0은 보안성 뿐만 아니라, ETRI와의 공동 개발을 통해 RFID 관련 국제 표준 제정 기구인 EPCglobal 의 ALE 1.0 표준을 준수하는 제품"이라고 말했다.


각 국은 RFID 관련 프라이버시 가이드라인과 법률을 통해 보안이슈에 대처하려는 움직임이다.

해외, HW 및 SW 보안기술 개발 '활발'
해외의 경우, RFID 업체 및 보안솔루션 업체를 중심으로 RFID 보안기술 개발이 활발히 진행되고 있다.
美벤처기업인 베라요(Verayo)가 최근 RFID 칩을 복제할 수 없도록 하는 기술을 상업화하는데 성공했다. 이 기술의 핵심은'PUFs(Physically Unclonable Functions)'라 불리는 작은 전자회로다. PUFs는 최근반도체 보안 분야에서 선보인 기술로, 실리콘에 칩이 내장될 때 그 과정에서 나타나는 미세한 차이를 이용하는 것이다.

회사측에 따르면, 이렇게 되면 제조업체라도 IC 제조 프로세스를 복제하는 것이 불가능할 뿐만 아니라 다른 칩에 대응하는 것과 동일한 반응을 생성하는 것 또한 불가능하다. 회사 관계자는" PUF 기술이 적용된 RFID 칩을 인식하기 위해서는 현재 사용되는 리더의 펌웨어만 업그레이드하면 된다"고 말했다.

PUFs는 모든 종류의 칩과 디지털 장치에 적용이 가능하지만, 베라요는13.56 MHz 수동형 RFID 칩에 초점을 맞추고 있다. 베라요는 9월 중으로 이 기술이 적용된'VERA X1'태그를 선보일 예정이다. 이 제품은 메모리가 512비트로 읽기만 가능하며, 복제방지를 위해 보안기능으로 PUPs 기술을 접목시켰다.

회사 관계자는"최근들어 RFID 기술이 적용된 전자여권과 주민증의 복제문제가 대두되고 있는데, 이러한 복제방지 기술의 등장으로 RFID 기술의 확산에 기여할 것으로 보인다"고 말했다.

스카이텍(SkyeTek)은 최근 보안기능이 탑재된 RFID 리더를 개발해 태그 정보에 대한 보안문제를 해결하고 있다. 회사 관계자는"이 제품을 사용하면 보안 기능을 태그의 메모리에 적용할 수 있기 때문에 특정 보안 태그를 따로 구매할 필요가 없고, 또한 기존 솔루션의 보안 확대를 원하는 경우에는 기존의 보안 태그에 보안기능을 덮어씌울 수도 있다"고 말했다.

그는 특히, 이 리더의 보안기능은 복제와 훼손을 방지할 수 있기 때문에 상품 인증과 소비재 인증 분야에서 중요하다고 강조했다.

아들레이드 대학의 오토-ID 연구소에서는 RFID 시스템의 보안과 신뢰성을 강화하고 사용자와 제공 업체 사이의 신뢰성을 향상시키는 것을 목표로, 가벼운 암호기법(cryptography)의 개념을 토대로 독창적인 암호화 메커니즘을 개발하고 있다.

이밖에 오스트리아의 보안 솔루션 제조업체인 미코(Mikoh)는 최근 RFID 부착된 제품 인식 태그인'Smart &Secure 리테일 태그'를 개발했다.

각국 RFID 관련 법률 및 가이드라인 마련
RFID/USN 보안문제를 해결하고 개인프라이버시 침해를 방지하기 위해 이러한 기술개발과 함께 법적인 장치도 마련돼야 한다는 지적이다. 우리나라를 비롯, 미국 등 선진국들은 프라이버시 관련 가이드라인을 마련해 놓고 있다.

(구)정통부는 RFID 시스템 이용에 따른 사생활 보호와 안전한 이용환경을 조성하기 위해'RFID 프라이버시 보호 가이드라인'을 마련한 바 있다.

이 가이드라인은 ▲ 법률규정이나 본인의 명시적 동의없이 RFID 태그에 개인 정보 기록 불가 ▲ RFID 태그에 기록된 개인 정보의 수집 또는 개인 정보 연계시미리 그 사실을 당해 이용자에게 통지하거나 쉽게 알아볼 수 있는 방법으로 표시 ▲ RFID 태그의 제품 부착 사실과 RFID 태그 기능 제거 방법 설명 ▲ RFID 리더기 설치시 이용자가 쉽게 알아볼 수 있게 표시 ▲ 법률에 특별한 규정이 없는 경우, RFID 태그 인체 이식 금지 등이 주된 골자다.

법적인 장치의 경우, RFID는 기존의 정보통신망법 적용대상은 아니지만 행안부가 개인정보보호법 제정시 동법의 적용을 받게 된다. KISA 권연호 선임연구원은"가이드라인과 법률상의 상이한 용어사용의 문제가 있을 수 있으나, 개인정보 수집/이용시 고지 및 동의획득이라는 가이드라인원칙이 그대로 적용될 것"으로 예상했다.

이와함께 미국표준기술연구소(NIST : National Institute of Standard and Technology)도 최근 RFID 기술의 보안과 개인의 사생활을 보호하기 위한 가이드라인을 제시했다. NIST는 RFID 기술이 주는 수많은 혜택을 실현하기 위한 관리적, 운영적, 기술적 통제를 통해 보안과 사생활 침해 위험을 세심하게 다뤄야 한다며, RFID 시스템 보안관련 가이드라인을 크게 3가지로 설명했다.

NIST가 제안하는 가이드라인 첫번째는 RFID 시스템을 적용하기 전에 미리 적용되는 응용분야가 무엇인지를 숙지해 적절한 보안 통제 수단을 강구해야 한다는내용이다. 둘째로 RFID 실행이 성공하기 위해서는 효과적으로 RFID 실행과 관련된 다양한 위험을 관리해야한다고 강조한다. NIST는 마지막으로 RFID 시스템 보안은 신구 시스템들이 서로 보완성을 지닌 보안통제 관리방법이어야 한다고 강조한다.

일본의 경우, 일찍이 경제산업성과 총무성 주관으로'RFID 태그에 관한 프라이버시 보호 가이드라인'을 제정한 바 있다.

'세계 3강 실현'보안이슈부터 해결해야
RFID/USN 기술은 이미 전 세계적으로 산업 전반에 걸쳐 가장 커다란 영향을 미칠 수 있는 기술의 하나로 자리매김하고 있다. 이에 최근 우리 정부는 RFID/USN 산업을 신성장동력원으로 선정해 본격 육성키로 하고, 오는 2018년 19조원 가량의 생산유발효과와 25억 달러의 수출, 12만여 명의 일자리 창출을 통해 국민소득 4만달러에 기여한다는 포부를 밝히고 있는 만큼, 보안이슈는 반드시 풀어야할 할 과제다.

보안업체 관계자는"본격적으로 RFID 확산단계에 접어들기 전에 정부의 지원과 업체의 HW 및 SW 보안 기술 개발로 보안문제를 미연에 방지해 안전한 RFID 이용환경을 조성하는 것이 바람직하다"라고 조언했다. 또한, 보안 관련 법률과 규제 역시 지속적인 발전이 필요하다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지