신 전자여권, 보안은 '뒷전'

지난 8월 25일부터 전면 발급된 전자여권의 보안 상태가 허술, 개인 정보가 쉽게 노출될 수 있다는 지적이 제기됐다.

천주교인권위원회, 진보네트워크센터 등 전국 41개 인권단체로 구성된 인권단체연석회의는 29일 서울 천주교인권위 사무실에서 전자여권 내 개인정보를 갈취하는 해킹시연을 했다.

이번 해킹시연은 특별한 기술 지식 없이도, 누구나 RFID(전자태그) 리더기와 전자여권 리딩 프로그램만 가지고도 실현할 수 있다는 것. RFID 리더기는 시중에서 10만원 정도의 저렴한 가격에 구입할 수 있으며, 정보를 읽을 수 있도록 제작된 소프트웨어는 인터넷을 통해 쉽게 구입할 수 있다.

녹색 불이 들어온 리더기에 전자여권을 올려놓고 특정 명령어를 입력하면, 하드디스크에 전자여권내 개인 신상 정보가 전달되고, 이 정보는 컴퓨터에 연결된 모니터를 통해 고스란히 볼 수 있다.

해킹시연을 해보인 김승욱 진보네트워크센터 활동가는 "이 기술은 별도 지식이 없이도 누구나 적용할 수 있다"며 "우리나라의 경우 특히 출입국 심사를 하는 데 있어 전혀 필요하지 않은 주민등록번호 등도 포함돼 있어 더욱 문제"라고 설명했다.

김 활동가는 이어 "RFID 칩은 특정 주파수 영역에서 통신을 주고 받을 수 있기 때문에 반드시 접촉을 하지 않더라도 5cm 떨어지 곳에서도 데이터를 읽을 수 있다"며 "근거리 전파를 차단하기 위해 쉴딩(shielding) 기능을 권고하고 있지만 문제는 지난 8월 25일 발급한 전자여권에는 이러한 보호 기능이 탑재돼 있지 않다는 것"이라고 꼬집었다.

이에 대해 외교통상부 관계자는 "현재 발급된 전자여권에는 쉴딩 기술이 탑재되지 않았다"며 "하지만 기본 접근 통제 기술(BAC)인 암호화 기술이 적용돼 설사 안테나를 통해 칩의 정보를 수집하더라도 해독할 수 없다"고 말했다.

현재 국제민간항공기구(ICAO)는 전자여권 보안을 위해 전자여권에 탑재된 칩의 정보 수집을 금지하는 쉴딩 기능과 수집된 정보의 해독을 방지하기 위한 BAC 기술을 모두 탑재할 것을 권고하고 있다.

◆MRZ 정보 노출되면 해킹에 무방비

하지만 이번 해킹 기술을 사용한다 하더라도 전혀 사전 정보가 없는 옆 사람의 전자여권 정보를 빼내기는 쉽지 않다.

옆 사람의 여권 정보를 빼내기 위해서는 여권 신상 정보 밑줄의 MRZ(Machine Reader Zone) 정보를 알아야 하는데 이 정보는 여권을 직접 습득하거나 사전에 정보를 파악한 사람만이 알 수 있기 때문.

MRZ는 여권의 정보를 광학식 판독기가 읽을 수 있는 정보로, 만약 이 정보를 습득할 수만 있다면 전자여권은 해킹에 무방비로 놓일 수밖에 없다. 호텔이나 여행지에서 잠시 전자여권을 맡기더라도 보안 위협에 처할 수 있는 것.

김 활동가는 "오늘 해킹 시연은 MRZ 정보를 사전에 알고 있는 상태에서 시연한 것이기 때문에 사전에 습득한 정보가 전혀 없이 생판 모르는 사람의 정보를 빼내기는 쉽지 않다"며 "하지만 유럽연합의 펀딩을 받고 있는 보안전문가 그룹 FIDIS는 일부 MRZ 정보를 빼내는 기술을 자체 보유한 것으로 알려져 향후 이에 대한 대비를 철저히 해야한다"고 말했다.

서소정기자 ssj6@inews24.com