올해 8월부터 전면 발급된 전자여권에 대한 물리적 보안 수준을 높이고, 각종 위변조를 방지하기 위한 기술적 장치에 대한 점검을 강화해야 한다는 주장이 제기됐다.
14일 ETRI(한국전자통신연구원, 원장 최문기)는 한국 RFID·USN협회(회장 김신배)와 공동으로 한국정보사회진흥원에서 '2008 RFID·USN 보안 컨퍼런스'를 개최하고, 전자여권의 보안성을 기술적으로 검증하는 자리를 마련했다.
이날 성균관대학교 원동호 교수는 '전자여권 보안이슈와 암호기술'에 관한 주제발표를 통해 "현재 논란이 되고 있는 전자여권 보안성에 대한 이슈는 물리적인 보안의 중요성을 말해준다"며 "전자여권을 분실하거나 위탁했을 때 노출된 MRZ(Machine Readable Zone) 정보를 통해 개인정보노출이 가능하다"고 말했다.
여권에 적힌 MRZ 정보를 통해 추가로 습득할 수 있는 정보가 주민등록번호, 사진 등에 불과하지만, 이를 대량으로 수집해 노출할 경우에는 개인정보사고로 확대될 수 있다는 것.
또 원 교수는 전자여권의 물리적 보안 수준을 높이는 게 중요하다고 강조했다.
현재 전세계적으로 전자여권을 도입한 국가는 36개국에 불과하며, 전자여권내 IC칩을 읽을 수 있는 판독기의 보급율도 현저히 낮은 상황에서 전자여권 활용도는 미미하며, 보다 시급한 것은 전자여권 분실로 인한 위변조와 복제를 방지하는 것이라는 것.
◆"MRZ정보 노출로 인한 개인정보 대량 수집 가능성 배제 못해"
아울러 전자여권에 적용된 기술 수준을 높여, 향후 발생할 우려가 있는 정보 유출을 막아야 한다는 설명이다.
국제민간항공기구(ICAO)는 전자여권에 적용되는 보안기술을 PA, AA, BAC, EAC 등 4가지로 구분하고 있는데 PA와 BAC는 필수사항으로, AA와 EAC는 선택사항으로 규정하고 있다.
하지만 칩복제방지를 위해서는 AA 기술이 필요하고, EAC는 BAC보다 안정성이 높기 때문에 이 두가지 기술이 필수 적용돼야 한다고 지적했다.
현재 우리나라 전자여권은 EAC 기술이 탑재됐다. EAC 기술 안에는 AA기술이 들어있어, AA 기술을 따로 탑재할 필요가 없다.
이밖에 전자여권에 사용되는 '임피니언칩'에 탑재된 데이터 정보를 그대로 읽을 수 있는 리더 프로그램이 시중에 유출돼 문제가 불거지고 있다고 원 교수는 덧붙였다.
원 교수는 "현재 전자여권에 탑재된 기술은 RFID(전자태그)칩과 리더기간 통신 내용 보호 및 상호 인증, 여권 소유자 인증을 위한 다양한 보안방법이 적용됐다"며 "향후 지문인식과 생체인식 정보 탑재를 대비해 보안성을 강화해나가는 게 필요하다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기