스패셜리포트, 입출국자 관리시스템

RFID가 테러리스트로부터 시민들의 안전을 보호하고 대규모 파괴 행동을 차단하는데 효과적인 대응책이 될 것이라는 기대를 받고 있다. 하지만 동시에 프라이버시 침해의 소지도 있어 도입과 관련해 논란이 끊이질 않고 있다.

9/11의 악몽이 지나갔지만 미국 및 전세계 사람들의 상당수가 여전히 안심할 수는 없다. 어떻게 테러리스트들이 미국 국경으로 아무렇지도 않게 들어올 수 있었을까? 미국 정부는 향후에 테러리스트와 그들의 테러 수단을 어떻게 차단할 수 있을까? 최악의 시나리오는 아직 사라지지 않고 있다. 테러리스트들이 새롭고 보다 강력한 무기로 미국을 공격할 가능성은 사라지지 않고 있다. 또한 전세계 공급망을 사용해 대량 살상 무기를 밀반입할 가능성도 여전히 높다.

RFID, 9/11이후 가장 강력한 보안 수단으로 등장

이러한 우려는 결코 과장된 것이 아니다. 미국으로 입출국하는 사람과 물건이 무엇인지 밝혀내는 것은 결코 쉬운 문제가 아니다. 매년 미국 시민 중 2,300만 명이 미국과 멕시코, 캐나다를 왕복하고 있으며, 1,500만 명의 사람들이 비자면제 프로그램(Visa Waiver Program)을 통해 미국을 방문하고 있다. 또한 수백만 명에 이르는 사람들이 비자를 받아 미국을 방문하고 있다. 미국 국경을 통과하는 컨테이너만도 매년 7백만 대가 넘는다.

매일 미국을 드나드는 사람들과 화물을 효과적으로 추적하고 검색하는 것이 9/11 이후 보안 전략의 핵심이 되고 있다. 국토안보부(DHS)를 신설한 것 외에도, 수많은 법안들이 의회에 상정 및 회부되었고 통과되었다. 모두 테러리스트와 테러 무기를 차단하고 자국민의 안보를 강화할 목적으로 이루어진 것이다.
테러리스트를 색출하고 국민들을 보호할 수 있다면 가능한 모든 수단을 총동원하고 있다. 생체인식과 위성 감시 카메라, 전파탐지장비, RFID 등 최첨단 기술에 대한 의존도도 높아지고 있다.

특히 미국 정부를 비롯한 여러 국가들이 항구와 여권 등 두 가지 주요 부문에서의 보안을 향상시키기 위해 RFID의 효용성을 분석하고 있다. 옹호론자들은 미국으로 들어오는 사람들과 화물 모니터링이 목적이라면 RFID가 다양한 계층으로 보안 시스템을 강화할 수 있다고 주장한다. 포레스터 리서치의 엘렌 달리(Ellen Daley) 부사장은 "RFID는 9/11 이후의 세계에서 보안을 위한 강력한 수단으로서 연방 정부에서부터 일반 도시 지역에까지 세밀하게 구현될 수 있다"고 밝혔다.

하지만 보안 강화를 위해 RFID를 사용하는 것은 논란을 불러 일으키고 있다. 일부 연구 조사 결과, RFID 태그와 리더가 위조 방지에서 자유롭지 못한 것으로 나타나 화물의 보안을 강화하는 데에만 머물지 않을 것이라는 우려가 제기되고 있다. 또한 프라이버시를 지지하는 사람들은 RFID를 여권에 적용시킬 경우 ID 절도나 사람들의 불법적인 추적을 가능하게 함으로써 인권을 침해할 가능성이 높다고 주장하고 있다.
이러한 논란에도 불구하고, 미국 정부는 RFID를 보안 계획에 통합시키려 하고 있다. 또한 다른 국가에서도 RFID가 국경 지역에서 보안 강화를 위해 활용될 수 있는지의 여부를 조사하고 있다. RFID와 보안 전문가들은 전세계 국경 보안을 향상시키기 위해 전세계적인 협력이 필요하다고 입을 모으고 있다.

화물 보안에 RFID가 최적의 시스템

9/11이 있기 전에는 DHS에 따르면 미국 항구로 들어오는 컨테이너 중에서 테러리스트와 관련된 위험을 차단하기 위한 검색 작업이 거의 이루어지지 못했다. 하지만 테러리스트들이 화물 컨테이너에 숨겨둔 폭탄 특히, 방사성 물질로 미국 항구 도시를 폭파시킬 수 있다는 우려가 제기되면서 매년 미국으로 들어오는 7백만 대 이상의 컨테이너에 대한 검색 작업이 최우선 과제로 등장했으며 항구 보안을 강화하기 위해서만 100억 달러의 예산이 집행되고 있다.

현재 미국 컨테이너안전협정(Container Security Initiative)에 따라, 세관원이 40여 곳의 항구에 파견되어 감독하고 있으며 매일 미국의 22개 항구로 들어오는 17,000여 컨테이너의 약 90%를 검색하기 위해 '지능적이고 최첨단의 기술'을 사용하고 있다. 의심스러운 컨테이너를 검색하는 방법에는 '보안 기제'를 사용해 테러 위험을 노출하고 있는 컨테이너를 찾아내고 해당 컨테이너가 항구에 정박하기 전 24시간 이내에 정보를 제공할 것을 의무화하고 있다.

이와 함께, SFI(Secure Freight Initiative)에 따라, DHS는 화물을 대상으로 방사성 물질에 대한 검색을 시도하고 있다. 현재 DHS는 방사성 물질의 존재 여부를 파악하는 스캐닝 작업이 미국에 도착한 90%의 화물에서 도착 즉시 진행되고 있다고 밝혔다. 하지만 DHS는 미국에 상륙하기 전에 화물 검색이 진행되는 것이 최선이라는 것을 인정하고 있다. 2006년 말, DHS와 에너지국(Department of Energy)은 방사선 포탈을 사용해 온두라스와 한국, 오만, 파키스탄, 싱가포르, 영국 등 6개 외항을 대상으로 핵 및 방사성 물질을 모니터링하기 위해 미국행 컨테이너의 7%를 검색할 계획임을 발표했다. 최종적으로 DHS는 방사성 물질에 대한 미국내 반입을 차단하기 위해 컨테이너의 30%를 검색하는 것을 목표로 하고 있다.

하지만 아직 의문점이 남아있다. 미국으로 향하는 모든 컨테이너에 대해 추적이 불가능하다는 것과 미국 선착장에 도착한 뒤에 위험스러운 물질이 발견될 수도 있다는 것이다. 이에 따라 화물 보안에 RFID가 최적이라는 목소리가 설득력을 얻고 있다. 예를 들어, 배터리로 전원이 공급되는 RFID 태그와 센서는 세관원과 선적 담당자들이 컨테이너의 이동 경로를 추적할 수 있게 해줄 뿐만 아니라 누군가에 의해 개봉되었는지 여부도 확인할 수 있도록 해준다. 컨테이너가 의심스러울 경우 세관원에게 테러 관련 확인을 요청할 수도 있다.

IBM, 보안 공급망에 RFID 적극 구현

GE Security와 함께 화물 추적 및 공급망 효율화와 보안 향상을 위해 버지니아 항만청(Virginia Port Authority) 터미널에 RFID 시스템을 도입한 사비 네트웍스(Savi Networks)의 래니 프리츠(Lani Fritts) COO는 "9/11 이후, RFID는 효율성 강화뿐만 아니라 화물의 보안 강화 목적으로 도입되고 있다"고 밝혔다.

기업들은 항만의 보안을 위해서만 RFID를 사용하는 것이 아니라 공급망의 효율성과 수입/수출 보안이 전세계 기업들의 최우선 과제로 부각되고 있기 때문에 도입을 고려하고 있는 것이다. EPCglobal은 액티브 및 패시브 RFID 태그를 사용해 홍콩과 일본, L.A간 대양을 가로지르는 최대 규모의 단계별 파일럿 프로젝트를 진행하고 있다. 전체 파일럿은 2007년 10월에 완료될 예정이며 액티브 태그를 위한 EPCglobal 표준 발표와 함께 컨테이너 인증 테스트 결과도 발표될 것으로 기대된다.

EPCglobal의 표준 담당 이사인 게이 휘트니(Gay Whitney)는 "RFID는 화물 추적에 매우 적합하다"면서, "RFID가 어떻게 작동하고 인증이 전세계적으로 어떻게 이루어지는지, 그리고 공급망에서 어떤 수준의 정보가 추적될 수 있는지를 입증하는 것이 이번 프로젝트의 목표이다. 운송 과정에서의 라이프 사이클을 통한 가시성을 확보할 경우 제품의 위조나 변조를 막을 수도 있다"고 밝혔다.

IBM은 보안을 강화하고 비즈니스 프로세스를 구현하며, 반테러 보안 프로그램인 C-TPAT(Customs-Trade Partnership Against Terrorism; 운송업자, 수입업자 등 민간 업계가 보다 엄격한 운송 관련 보안 조치를 취하는 대신, 관세 당국은 이를 인정하고 보다 신속한 통관을 보장해 주는 프로그램)을 준수하기 위해 화물에 태그를 부착한 액티브 및 패시브 RFID 기술을 선도적으로 도입하고 있는 대표적인 기업이다. 이 프로그램에는 6,000여 미국 수입업체들이 가입해있다. 세계관세기구(WCO)는 2006년에 이와 유사한 화물 보안 프레임워크를 도입했다. C-TPAT가 RFID 사용을 의무 규정으로 두지는 않고 있지만 EPCglobal 액티브 태그 표준이 발표되면 기업들이 C-TPAT의 요구 사항에 따르기 위해 RFID 태그와 센서를 사용할 수 있게 될 것이다.

RFID를 통해 화물을 추적하는 것은 보안을 향상시켜 기업들에게 공급망에 대한 통제력을 강화해준다. IBM 소프트웨어 그룹의 센서 부문 앤 브라이덴바흐(Ann Breidenbach) 이사는 "RFID는 공급망 전체에 대한 가시성을 확보해준다는 점에서 그 어떤 기술보다 뛰어나다. IBM은 이 기술을 솔루션으로 보지 않고 구현 기술로 보고 있다. RFID는 다른 기술과 결합될 경우에 최고의 효과를 발휘한다"고 말했다.
IBM Import Compliance Office의 공급망 보안 프로그램 매니저인 데비 턴불(Debbie Turnbull)은 화물의 보안을 높이는 것은 대테러 방지에도 효과적일 뿐만 아니라 비즈니스에도 효과적이라면서, "보안을 강화시켜주는 동시에 보안을 타사와의 차별화 요인으로 만들 수도 있다"고 말했다.

2007년 중반부터 전자 여권에 RFID 칩 삽입

일부에서는 인접 국가를 통해 미국에 불법적으로 들어오기가 매우 쉽다고 우려하고 있지만 사실 9/11 테러리스트들은 관광 비자를 소지하고 합법적인 경로를 통해 들어온 경우가 많았다. 미국 세관에 의해 매년 수백만 명의 불법 체류자들이 추방당하고 있지만 세관원들은 ID 검색 기능을 강화하고 합법적인 관광객들의 입출국은 원활하게 진행하기 위한 방법 마련에 고심하고 있다.
국토안보부의 마이클 처토프(Michael Chertoff) 장관은 9/11 이후 5년 동안의 보안 강화 프로그램을 진행한 뒤 보고서에서 "해결책은 확실하다"면서, "테러리스트가 탈취할 수 없는 안전한 ID는 5년 전에도 그랬듯이 현재에도 가장 필요한 것"이라고 말했다.

미국을 비롯한 여러 나라들이 생체인식 ID 데이터와 함께 여권에 RFID 칩을 삽입하는 것이 검색 프로세스의 속도를 높이고 여권 소지자들의 신원을 증명할 수 있는 한 방법이 될 수 있을 것으로 판단하고 있다. 국무부에 따르면, 전자여권(e-passport)에 삽입되는 RFID 칩은 안면 인식 기술의 사용을 통해 생체 인식을 구현한 디지털 사진과 함께 탑재된다.

국무부는 여권 신규 발급 및 갱신을 신청하는 미국 시민들을 대상으로 원하는 사람들에게 우선적으로 2006년 말부터 발급하기 시작했다. 2007년 중반부터는 미국 여권 발급 기관을 통해 모든 신규 신청자 및 갱신자들을 대상으로 전자여권을 발급할 예정에 있어 최종적으로는 모든 미국 여권에 RFID 칩이 내장될 것으로 예상된다.

여권 심사를 개선하고 향상시키기 위해 의회는 비자 없이도 미국에 최대 90일간 체류할 수 있는 비자면제 프로그램(VWP)에 참여하고 있는 27개 국가들에게 기계가 판독할 수 있는 여권(MRP)의 발급을 의무화하고 있다. RFID 칩이 내장된 MRP를 통해 여권 속에 담긴 데이터가 자동으로 스캐닝된다. 이 칩에는 여권 소지자의 개인 정보와 함께 디지털 사진 등 생체인식 ID가 저장되어 있다. 국제민간항공기구(ICAO)에 따르면, 2006년 10월 기준, 호주와 프랑스, 일본, 영국 등 비자 없이 미국을 여행할 수 있는 24개 국가들이 RFID 태그를 내장한 여권을 발급하고 있다.

뉴욕의 존. F 케네디 공항과, 워싱턴 덜레스(Washington Dulles), 샌프란시스코, 로스앤젤레스, 뉴저지의 뉴어크 리버티(Newark Liberty), 호놀룰루 등 몇몇 미국 국제 공항에 RFID 리더가 설치되어 있다. DHS는 VWP를 다른 국가로 확대할 계획이다. 또한 말레이시아와 터키 등 VWP가 적용되지 않는 일부 국가들도 인증 프로세스를 향상시키기 위해 여권에 RFID 칩을 탑재하고 있다.

2009년에 이르면 캐나다와 멕시코, 버뮤다 등에서 미국으로 재입국하기 위해 출생 증명서와 함께 운전면허증과 같이 정부가 발급한 사진 ID를 사용하는 경우에 허용되었던 미국으로의 입국이 더 이상 유효하지 않을 것으로 알려졌다. 그 대신, 서반구여행협회(WHTI)의 승인 하에, 국무부와 DHS는 2006년 10월에 육로나 해상을 통해 국경을 자주 왕래하는 수백만 미국 시민들에게 PASS(People Access Security Service) 카드를 발급할 계획을 발표했다. 이 계획에 따르면, PASS 카드는 RFID 태그가 내장되어 있으며 이름이나 출생지 등 카드 소지자에 대한 여권 데이터가 보관된 국경세관국(Customs and Border Protection Department)의 RFID 리더를 통해 전송되는 독특한 ID 번호를 보유하고 있다.

또한 RFID 태그는 신상정보와 방문목적, 체류기간 등을 기재한 출입신고서(I-94A)에도 테스트되고 있다. 이러한 문서에 대한 RFID 태그는 애리조나와 뉴욕, 워싱턴 주에 위치한 다섯 곳의 미국 국경 지역에서 파일럿 테스트가 진행되고 있으며 국경 출입을 자동으로 기록하는데 사용될 예정이다.

PASS 카드, 프라이버시 문제에 발목 잡혀

미국에서 전자여권이 현재 발급되고 있지만 PASS 카드의 경우 프라이버시 침해 우려로 인해 '발목이 잡힌' 상황이다. 전자여권과 PASS 카드를 함께 시행하겠다는 방침이 시민단체 등 프라이버시 옹호론자들로부터 큰 반발을 불러일으키고 있는 것이다.

소비자의 프라이버시를 중요하게 여기는 사람들은 PASS 카드와 기타 정부가 발급한 RFID 내장형 ID가 전례없는 감시 체제를 초래할 수 있다고 주장하고 있다. 이들은 RFID 태그가 내장된, 정부가 발급한 ID 카드의 경우 ID 절도범이나 테러리스트 등 인증되지 않은 누군가에 의해 개인의 신상 정보와 ID가 탈취되어 악의적인 용도로 사용될 수 있다고 경고하고 있다. 또한 공항이나 세관을 통과한 뒤에도 여권의 RFID가 사람들의 이동 경로를 추적하는데 사용될 것을 우려하고 있다. 아울러 전자여권과 PASS 카드에 저장된 데이터의 보안 문제도 의심스럽다. 예를 들면, 2006년 8월 라스베가스에서 개최된 블랙 햇(Black Hat) 컨퍼런스에서, 독일의 컴퓨터 보안 업체인 DN-Systems는 여권에 탑재된 RFID 칩으로부터 데이터를 복제하는 것이 매우 쉽다는 것을 증명한 바 있다.

미국 정부는 부정한 방법으로 RFID 태그를 판독하는 스키밍(skimming)을 방지하기 위해 전자여권이 10cm 이하의 거리에서만 판독이 가능하도록 했으며, 여권을 펼치지 않을 경우 태그가 판독되지 않도록 하기 위해 표지에 금속 물질을 포함하고 있다고 밝혔다. 또한 RFID 칩은 ATM이나 신용 카드 거래에서 사용되는 PIN과 유사한 기본접근통제(Basic Access Control) 기술로 잠금 장치가 되어 있으며, 세관의 보안 단말기로만 판독이 가능하다. 하지만 PASS 카드의 경우 최대 6m 떨어진 곳에서도 판독할 수 있으며, 프라이버시 옹호론자들은 전자여권과 PASS 카드용 스키밍 방지 기술이 그리 강력하지 않다고 주장하고 있다.

미국 국토안보부에서 조차 그 사실을 인정하고 있다. 국토안보부 산하의 데이터 프라이버시 및 무결성 고문위원회는 2006년 5월에 발표한 '인간 식별을 위한 RFID의 이용(The Use of RFID for Human Identification)'이라는 보고서를 통해 RFID가 모든 여권의 위조를 방지하지 못하며 국경 지역이나 공항에서의 대기 시간을 크게 줄여주지도 못하고 국토 안보를 비약적으로 향상시키지도 못할뿐더러 프라이버시의 침해 위험도 있다고 발표한 바 있다. 이 보고서는 "RFID가 프라이버시와 데이터 무결성에 기여한다는 주장에 비해 효과가 미흡하며, 오히려 개인의 프라이버시와 보안을 위협할 소지가 있다"고 분석했다.

2006년 12월 6일에 발표된 수정 보고서는 RFID에 다소 우호적이긴 했지만 RFID로 구현된 ID에 대한 프라이버시 문제를 재차 강조했다. 보고서는 "신원 확인을 위해 RFID가 구현된 시스템을 도입할 경우 정확성과 속도, 효율성이 향상되는 이점이 있다"면서, "반면에, RFID가 구현된 디바이스의 데이터에 대한 인증되지 않은 접근을 비롯해, 디바이스와 리더간에 데이터가 전송될 때 이를 탈취하는 행위 등 다양한 위험성이 존재한다"고 기술하고 있다. 또한 RFID가 구현한 ID는 미국 시민을 포함해 개인에 대한 광범위한 감시 감독(당사자의 동의를 받지 않거나 당사자가 모르는 상태에서)을 초래하게 된다고 지적했다.

이러한 프라이버시 침해 우려로 인해 PASS 카드 프로그램의 경우 국립표준기술원(NIST)은 국제표준화기구(ISO)가 정한 보안 표준에 부합되어야만 인증할 것으로 알려져, 인증이 이루어질 때까지는 도입되지 않을 것이다. 또한 정부에 대해서는 "허가받지 않은 사람의 정보 접근을 방지하기 위한 최고의 방안을 마련하라"는 지침도 내려두고 있다.

주정부 관계자와 프라이버시 옹호론자들은 운전 면허증 및 주 정부에서 발급하는 ID 카드가 국토안보부가 결정한 표준에 부합되어야 한다는 내용의 2005 리얼 ID 액트(Real ID Act)를 준수하기 위해서는 엄청난 비용이 들 수밖에 없다고 우려하고 있다. 이 법안은 RFID가 포함된 전자 인증 시스템의 도입을 2008년까지 완료할 것을 규정하고 있다. 전국주지사협회(NGA)와 전미 주의회 의원 연맹(National Conference of State Legislatures), 전미 자동차 관리 협회(American Association of Motor Vehicle Administrators) 등 여러 단체들은 이 법안을 종합적으로 분석한 결과, 법안 준수를 위해서는 5년간 111억 달러의 예산이 집행되어야 한다고 추산했다. 이 단체들은 법안의 대폭적인 수정을 요구하면서 비난을 멈추지 않고 있다.

또한 전자프런티어재단(Electronic Frontier Foundation)은 국가차원의 ID 프로그램이 개인의 프라이버시를 침해할 뿐 보안 향상은 기대할 수 없을 것이라고 주장했다. 지난 12월, 상원 의원인 다니엘 아카카(Daniel Akaka)와 존 수누누(John Sununu)는 법안 폐기를 위한 법안을 제안할 것이라고 밝혔다.

RFID의 효용성 논란 가속

국경의 보안을 강화하기 위해 RFID를 도입하려는 정부 계획은 많은 논란을 불러 일으키고 있다. PC&I(Pinkerton Consulting & Investigations)의 전세계 공급망 보안 총괄 부사장이며 C-TPAT 구축에 참여한 컨설턴트였던 배리 윌킨스(Barry Wilkins)는 시애틀의 화물 보안 파일럿에 RFID를 적용했다. 이 파일럿은 5,800만 달러가 집행된 DHS의 OSC(Operation Safe Commerce) 항만 프로그램의 일부로, 국제 화물 컨테이너의 보안을 향상하기 위해 이루어졌다.

윌킨스는 RFID가 화물의 정보를 파악할 수 있게 해주기 때문에 컨테이너의 보안을 강화할 수 있다고 주장했다. 그는 "현재 볼트로 마감된 컨테이너는 매우 취약하다"면서, "장기적으로 볼 때, 이러한 취약성에 대응할 수 있는 유일한 방안은 침입 탐지 장치이다. RFID 리더를 통해 판독되는 전자 탐지 센서가 컨테이너에 부착된다면 매우 효과적일 것"이라고 말했다.

하지만 로스 알라모스 국립 연구소(Los Alamos National Laboratory)에서 취약점 평가 팀(Vulnerability Assessment Team)을 이끌고 있는 로저 존스턴(Roger Johnston)은 연구소에서 테스트해본 RFID 제품들 자체가 임의조작방지(tamper-proof) 기능이 없기 때문에 화물의 임의조작을 방지할 수 없다고 밝혔다. 그는 "기본적인 입장은 RFID 태그와 리더가 보안 장치는 아니라는 것"이라면서 "수많은 RFID 제품을 가져와 임의조작 방지 기능이 있는지 조사해보았지만 대부분 그러한 기능이 없었으며 일부는 매우 조악하기까지 했다"고 말했다.

존스턴은 RFID가 공급망에서 맨 먼저 도입되고 재고 관리를 위해 사용된다는 것이 문제점 중의 하나라고 지적했다. 그는 "이러한 상황에서는 보안이 구현되기가 어렵다. 공급망 RFID의 경우 보안 기능이 탑재되어 있지 않으며 특별히 안전하지 않다고 해서 이상할 것도 없다. RFID가 보안 장치가 되기 위해서는 처음 설계 과정에서부터 보안이 구현되어야 한다"고 밝혔다. 그는 RFID가 '만병통치약'으로 인식되는 것을 경계해야 한다면서 컨테이너에 대한 수동 검사 비율이 감소하게 되면 실제 보안도 그만큼 약화될 것이라고 경고했다.
궁극적으로 볼 때, 분석가와 보안 전문가, 업계 관계자들은 포스트 9/11 세계에서 RFID는 여러 보안 기제 중의 하나에 불과하다는 점에 동의하고 있다. 항구 보안에 도입되건 여권에 도입되건 간에, 결국 효과를 발휘하기 위해서는 다중 계층의 보안 시스템의 일부로 사용되어야 하며, 개인의 프라이버시를 침해하지 않고 취약성 테스트를 거치고 표준을 토대로 해야 하며, 엔드 유저에 대한 투자 대비 수익도 포함되어야 한다.
사비 네트웍스의 프리츠는 "RFID는 반테러 목적뿐만 아니라 분실 방지와 위험 관리에도 적용된다"면서, "9/11 이후 5년이 지난 지금, 규제와 상용화, 표준 등의 다양한 움직임이 시도되어 왔으며 이제 막 실현되기 시작했다"고 말했다.

윌킨스는 RFID를 비롯해 어떠한 기술이라도 국가 차원의 보안을 구현하기 위해서는 훨씬 대규모적이고 다각적인 접근 방법이 필요하다는 의견에 동의하면서, "현명한 정책과 과정, 실행 방안이 뒷받침되지 않는 기술은 존립할 수 없다"고 말했다. Courtney Macavinta

저작권자 © 아이티데일리 무단전재 및 재배포 금지