수신 귀 언론사 외교통상부, 인권 담당 기자님 발신 위 단체(진보네트워크센터 등 38개 인권시민사회단체) 문의 조성재(자유소프트웨어 운동가, 019-408-8305) 일시 2007년 10월 2일 (총 7 쪽) 제목 RFID, 생체정보, 여권. 어울리지 않는 삼중주
보/도/자/료
제안되고 있는 생체정보 내장형 전자여권의 문제점
1. 생체여권(전자여권) 도입을 위한 여권법 개정안이 국회 통외통위에 계류 중입니다.
2. 외교통상부가 도입하려는 생체여권(전자여권)은 필요성이 충분히 설명되지 않는 RFID, 생체정보인식 등의 기술들을 사용을 포함하고 있습니다. 이 기술들이 함께 사용되었을 때, 개인정보유출, 신원위조(identity theft) 등의 심각한 문제가 발생될 수 있습니다.
3. 첨부 내용을 참고하시어 적극 보도하여 주실 것을 부탁드립니다. 끝.
[첨부] 1. RFID, 생체정보, 여권. 어울리지 않는 삼중주
<첨부1>
RFID, 생체정보, 여권.
어울리지 않는 삼중주
RFID (Radio Frequency Identification)
대부분의 사람들에게 기술을 약어로 들어 설명하면 기술에 대해 설명하기 전까지 그 기술에 대한 이해를 못하는 경우가 허다하다. RFID의 국어표현은 무선 식별시스템이다. 용어에서 알 수 있다시피 이 기술엔 무선 통신 기술과 식별(Identification)기술이 융합되어 있다. 물론 국어로 표현해도 이 기술들에 대해 바로 와 닿지는 않는다.
우리가 제일 흔하게 볼 수 있는 현실화 된 RFID 기술 중 하나는 책 대여점, 도서관에서 볼 수 있는 1-bit 트랜스폰더(Transponder)이다. 도서관이나 책 대여점에선 책에 알루미늄 판막과 스티커가 붙은 트랜스 폰더를 붙여놓는다. (도서관에서 대여한 책의 42~45 페이지 부분을 펴서 책을 깊숙이 펴보길 바란다. 제본한 공간보다 좀 더 덜 벌어지는 곳이 트랜스 폰더가 붙어있는 부분이다.) 도서관과 대여점의 입구에는 특정 주파수의 전파를 발생하는 리더 혹은 판독기가 서 있다. 책을 들고 그냥 지나가려 하면 요란한 경보음이 울리게 되어 있다. 이러한 경보를 피하려면 트랜스폰더에 내장된 태그를 비활성화 시키는 장치가 필요하다. 책을 대여신청 하면, 전자장을 발생시키는 장치 위에 올려놓고 태그를 비활성화 시키는 것이다. 그렇게 되면 태그 내에 전자장에 의해 변형된 상태가 리더의 주파수를 받아들이지 않게 되어, 입구를 통과해도 경보가 울리지 않게 되는 것이다. 이러한 시스템이 RFID의 기본형이라 생각하면 된다. 트랜스폰더의 가격도 (소매로 구입해도 한 개당 500원의 가격으로) 제일 저렴하고 (개인 영업장에서 쓸 수 있을 정도로) 쉽게 운영할 수 있다. 제일 원시적이면서도 제일 효과적인 시스템이다. (이 시스템을 EAS, 즉 전자도난방지기기 라고 한다.)
RFID 기술의 기본 원리 중 하나는 전파에 대한 공진회로 원리이다. 이것은 마치 라디오의 튜너를 방송 주파수에 맞추면 스피커에서 음성신호를 내보내는 것과 같은 원리이다. 이와 같이 특정한 주파수에 감응하는 회로가 RFID 트랜스폰더에도 들어있는 것이다. 대부분의 무선통신 기술의 기본 원리이다. 일반 라디오와 차이점이라면 라디오의 방송을 내보내는 커다란 안테나가 리더의 안에 작게 들어있으며, 전파 신호가 1m 이내로 접근해야 트랜스폰더의 존재를 감지할 수 있다는 것이다. 비유하자면, 라디오는 RFID 태그를 포함한 트랜스 폰더이고, 리더 혹은 판별기는 라디오 방송국의 안테나인 셈이다. 만약 안테나의 크기가 커지고, 발생하는 전파가 더 강해진다면, 1m 가 아닌 그 이상의 거리에서도 감지할 수 있는 것이다.
물론 최신의 RFID 기술에는 전파나 전자장, 유도전류 등 여러 가지 매질을 통해 정보를 전달하도록 고안 설계 되어있고, 무조건 내부의 정보를 외부 리더에서 읽을 수 있도록 하지는 않는다. 트랜스폰더에 태그라는 존재는 우리가 요즘 편리하게 사용하는 USB 메모리스틱에 내장된 플래시 메모리와 비교할 수 있다. 1-bit 트랜스폰더는 전자장에 의해 태그의 상태(내장된 정보)가 변경되지만, 최근의 RFID 태그는 전자장이 아닌 내장된 컨트롤러(Controller 혹은 마이크로 프로세서 Micro Processor)에 의해 변경되게 된다.
최신의 RFID 기술은 스마트카드 기술위에 무선통신 기술이 결합된 것이라 생각하면 좋다. 스마트카드는 우리가 주로 쓰는 현금카드나 신용카드에 쓰이는 기술이다. 한 때 국내에서 IC 전화카드가 있었는데, 이것도 스마트카드의 일종이다. 스마트카드 기술은 메모리카드와 마이크로프로세서 카드로 구분되고 IC 전화카드의 경우 메모리 카드이다. 마이크로 프로세서 카드는 은행에서 쓰이는 '신용카드, 현금카드'를 겸할 수 있는 다목적 카드이다. (은행권에서 휴대폰에 내장하는 칩 카드도 마이크로프로세서 카드이다.) (컴퓨터 CPU와 같은) 마이크로 프로세서가 내장되어 있어 외부 신호에 대해 여러 용도로 분류하여 쓸 수 있도록 되어있다. 스마트카드에 무선통신 기술이 접목된 이유 중 하나는 접촉식 스마트카드의 전극이 오염되면 인식이 어렵기 때문이었다. IC 전화카드의 경우 마구 훼손되는 전화기 때문에 인식이 힘들어졌고, 많이 사용되지 않게 되었다. 반면 버스카드는 비접촉식으로 무선 RFID를 이용한 메모리카드였다. 결과는 무척 긍정적이었고, 마이크로프로세서 카드에도 적용되어서 현재의 신용카드는 선, 후불 방식의 비접촉식 버스카드 기능을 내장하게 되었다.
RFID 시스템을 비접촉 마이크로 프로세서 방식 스마트카드 기술이라 인식해도 좋을 것이다. 이러한 특성을 잘 이용하면 여러 분야에서 카드 하나로 모든 서비스를 처리할 수 있다. 물론 이러한 시스템을 운영하는 주체가 통합되거나 서로 연결되어 있어야 한다는 조건에서 가능하다. 이러한 편의성에 비해 아직까지 사용하지 않는 부분이 있다. 금융거래이다.
RFID 태그 내의 정보가 여러 범용 서비스를 쓸 수 있도록 대용량화되었고, 무선 주파수의 신호도 다양하게 되었지만, 그것이 꼭 보안에 긍정적인 영향을 미치지는 않는다. 아직까지 신용카드가 비접촉식 서비스를 하지 않는 것도 그와 비슷한 이유이다. 휴대폰 단말기를 통해서도 전송되는 신호가 보안화 되어야만 무선으로 금융거래가 가능할 뿐, 버스카드의 오동작 비율만큼 금융거래가 불가능해지거나 오류를 일으킨다면 무척이나 위험하기 때문에 비접촉식 RFID 기술을 사용하지는 않는다. (휴대폰은 비접촉식 카드의 안테나보다 훨씬 더 강하고 대용량의 보안화된 신호를 주고받기에 충분한 대역폭을 가지고 있기 때문이다.)
생체정보 인식 기술
생체정보는 무궁무진하다. 예전에는 얼굴의 이미지만으로 구분하던 것이, 음성, 홍채, 지문, DNA 감식까지 유형도 다양해졌다. DNA 감식은 DNA가 가지는 유전자 정보가 크고, 그것을 판별하기 위한 과정에서 병목현상이 심하기 때문에 감별하는 시간이 오래 걸린다는 점이 있지만, 홍채나 성문, 지문은 채취와 감별이 간편해졌다. 컴퓨터의 성능 향상이 주요한 요인이 되었다. 10년 전까지도 지문인식이나 감별은 고성능 컴퓨터에서나 가능했을 법한 일인데 말이다. 현재는 일반 노트북에도 지문정보 인식기가 붙어있을 정도이다. 이 중에서 지문 인식 기술이 많이 사용되는 편인데, 홍채 인식 기술에 비해 (자신의 눈에 적색 레이저를 쏴 보내는 것을 좋아하는 사람이 아니라면) 정보 채취에 거부감이 덜 하고, 감기만 걸려도 다른 사람으로 인식하는 음성 인식에 비해 용이하기 때문이다. 지문에서 8가지의 특징을 받아서 데이터베이스화 하는 것도 비교적 쉽다. 그런 면에서 생체정보 인식 기술 중 지문인식 기능은 무척 편리하다. 가끔 상처로 지문의 일부가 훼손되는 경우에 대해 우려하는 경우도 있지만, 특징만을 얻어내는 것이어서 문제되지도 않는다. 이 특징은 전 세계 인구를 다 뒤져봐도 일치하는 경우가 거의 없을 정도로 특별하다.
한 가지 문제라면 인식기에 접촉한 후 타액에 의해 지문의 문양이 남는 것이다. 최근 동사무소의 무인 민원기에서 지문 감별을 하는 경우도 그러한 이유로 오류가 생길 때가 많다. 물론 잘 닦아서 얼룩을 없앤 후 다시 사용할 수 있지만, 가끔 지문 채취에 악용될 수도 있다. 동네에서 파는 셀룰러 테이프 접착면을 인식기 유리 위에 붙였다 떼어도 남아있던 지문을 복제할 수 있다. 생체 정보의 인식이 무척 쉬우면서 정확하다는 표현은 곧 복제되어 악용된다면, 그에 따른 피해를 피할 수 없다는 것이다. 이처럼 정확한 확증이 어디 있을까?
여권 인증 요소와 인증의 어려움
여권에 생체정보가 내장된 RFID 칩을 사용하여 여권 소지자의 신분을 증명하는 도구로 쓰인다는 전제는 우리에게 어떤 영향을 미칠지 아직 모른다. 현재 한국 금융 카드 사고만큼이나 여권사고가 일어날 지도 모르는 것이고, 그에 따른 해결도 힘들지 모른다. 신원 확인이라는 과정은 무척이나 간단하면서도 힘든 것이다. 스스로 접근해서 처음 만난 사람을 신뢰하기 어려운 것처럼, 타국의 입국 심사대는 국내에 들어오려는 외국인에 대해 무척이나 불신을 갖고 있을 것이다. 이 때 여권은 신원확인과 동시에 신뢰를 줄 수 있는 중요한 도구이다. 이러한 여권이 금융카드와 같은 사고가 빈번하게 일어난다면, 어떤 영향을 미칠까? 여권 인증에 대한 이해도 새로운 여권의 기술을 결정하는 중요한 요인이 될 것이다.
여권이 갖춰야 할 세 가지 인증(Verify) 요소가 있는데 다음과 같이 정리할 수 있다. 1. 올바른 발급 기관이 발급했는지 여부 2. 기재된 정보가 올바른지 여부 3. 소지자가 여권에 기재된 사람과 같은지의 여부 이 세 가지 인증 요소를 모두 통과할 수 있다면 완벽한 위조 여권이거나 올바른 여권이라 할 수 있겠다. 이에 대한 각각의 위조 방법은 '발급기관을 속여서 만드는 경우', '기재된 정보를 왜곡하는 경우', '기재된 사람으로 꾸미는 경우'로 분류할 수 있다.
이 중에서 '기재된 사람으로 꾸미는 경우'는 무척 힘들고, 어려운 방법 중 하나라 생각한다. 자기 자신이 아닌 다른 사람으로 꾸며 여권 심사를 통과할 정도라면 이 세상의 모든 인증을 뚫을 수 있다고 생각한다. 일란성 쌍둥이가 아닌 경우에야 이런 경우는 어렵지 않을까? 하지만, 인종에 따라 서로를 인식하기 어려운 경우도 종종 있다. 우리가 사진만으로 타 인종 사람의 외모를 모두 특징지어 구분하기 어려운 것과 다를 바 없다. 또한 성형 기술이 발전하고 있으니, 이러한 위조도 가능할 수 있겠다. 그러나 이러한 목적으로 입국을 시도할 정도라면 각국에서 보내는 첩보원과 다를 바 없을 것이다. (또한 이런 첩보원들에게는 위장 신분을 갖춘 여권을 만들 터이니 불필요하게 성형이나 같은 모습의 사람을 찾을 필요도 없다.) 또한 누군가 잃어버린 여권을 사용한다면 '위장'의 의미가 없을 것이다. 잃어버린 사람과 완벽하게 같은 모습의 사람이 있다면 여권을 잃어버린 사람일 것이다.
여권의 위조가 일어난다면, '발급기관을 속여서 만드는 경우'와 '기재된 정보를 왜곡하는 경우'가 제일 유력하다고 생각한다. 특정 정부의 여권 발급 과정을 알고, 과정에서 필요한 요건이나, 암호화 방식을 안다면, 기존 여권과 같은 품질의 여권을 발급할 수 있을 것이다. 이는 어려운 일이 아니며, 악의적인 목적으로 여권을 사용하려는 단체가 있다면 충분히 가능한 일이다. 또는 분실된 여권을 받아 기존의 정보를 지우고, 새로운 정보를 입력하여 다른 사람이 사용할 수 있도록 만드는 예도 쉽게 생길 것이다. 사진전사식 여권(현행 발행되는 여권)의 발급으로 사진을 변경하여 여권을 위조하는 방법은 사라졌다. 그렇다면 여권을 새로 제조하는 수밖에 없을 것이다. 사진을 전사하고 기존 여권의 정보를 넣어서 새로 제조하지 않는 이상 위조는 일어날 수 없게 된다. 만약 그러한 위조가 발견된다면 지금 현재의 여권을 이용한 인증 기술도 결코 안전하다 할 수 없다. 아직까지는 위조 여권을 이용한 사고가 발생하지 않고 있다.
만약 현재의 여권이 위조될 수 있다는 위험을 전제로 하고, RFID를 이용한 전자여권이 앞으로 일어날 위조 문제에 대해 근본적인 해결책이 될 수 있을까? 생체 정보는 이러한 위조를 방지할 수 있을까? 대답은 아니오다.
제안되고 있는 생체정보 내장형 전자여권의 문제점
외교통상부를 통해 앞으로 제작될 여권의 모델은 생체정보와 여권소지자의 개인정보를 암호화하여 RFID 태그에 내장하도록 하고 있다. 이 모델에 대한 문제점 중 하나는 위에 설명한 RFID와 라디오의 기본적 원리에 있다. 라디오 방송국 안테나의 전파 세기가 크면 20 Km 밖의 라디오 방송 청취자에게도 방송이 들리듯, RFID 태그의 정보를 읽어들이는 리더(혹은 판독기)의 전파가 강하다면 항공기 티켓을 받기 위해 모이는 사람들의 행렬 속에서 RFID 정보를 얻을 수 있게 된다.
두 번째 문제는 그 내용이 암호화 되어있지 않다는 점이다. 현재 제안된 여권의 암호화 방식은 PKI(Public Key Infrastructure) 방식으로 개인키와 공개키를 가지고 있는 비대칭형 암호방식이다. 여러 가지 방법으로 이 암호화 방식을 사용할 수 있지만, 기본적으로 공개키를 이용하여 암호화 한 정보는 개인키를 이용해서만 풀 수 있게 되어있다. 또한 개인키를 이용하여 암호화한 정보는 공개키로 복원할 수 있다. 즉, 한 쪽 키를 가지고 있으면 상대방이 암호화 한 내용을 볼 수만 있을 뿐, 다시 암호화 할 수는 없는 것이다. 그러나 이러한 암호화도 여권에 있는 정보를 암호화 한 것이 아니라, 여권 정보를 메시지 다이제스트(Message Digest)라고 하는 복원 불가능한 압축 방법으로 압축 저장한 정보에 대해서만 적용하고 있다. 즉, 여권의 기존 내용을 암호화하지 않고 RFID에 내장 한 후, 여권심사대에서 한국에서 발행한 공개키를 가지고 얻은 암호화된 메시지 다이제스트와 여권 정보를 가지고 얻은 메시지 다이제스트를 비교하는 것으로 여권이 위조되었는지 확인하는 것이다. 한국의 공개키로 암호화된 메시지가 복호화 된다는 것으로 한국에서 제작되었다는 것을 인증할 수 있으며, 메시지 다이제스트로 여권이 위조되지 않았다는 것은 인증할 수 있겠지만, 자신의 정보를 라디오 방송에 얘기하는 것과 다름없다.
지난 9월 19일, 국회에서 '전자여권 도입에 관한 공청회'가 있었다. RFID 기술의 허점을 들어, 오용될 수 있는 여러 가지 시나리오에 대해 외교통상부측의 답변은 '전파가 통하지 않도록 겉에 전자파 차폐막을 만들겠다.'고 제안하였다. 그렇다면 굳이 RFID를 사용할 필요 없이 현재 여권에 부착되어 있는 마그네틱 필름만으로도 충분할 것이다. 분실하지만 않는다면 현행 여권이 위조될 위험은 없을 것이다. 여권을 분실할 경우를 전제로 여권 위조를 막기 위해 PKI 방식의 암호화 된 메시지 다이제스트를 내장한다 하더라도, 개인정보의 유출을 막을 수는 없는 것이다. 여기에 생체 정보를 내장하고 있다면, 자신의 지문을 이용하여 어떠한 일을 할지도 모르는 일이다.
생체정보를 내장한 여권을 사용한다고 하면 국외에서 발생하는 여러 사건, 사고마다 자신의 지문이 찍혔다는 이유로 감금되거나 처벌받지 않으리란 보장이 없다. 주민등록번호는 국내에서만 국한된 정보이기 때문에 도용되는 범위는 국내에서 머물지만, 생체정보는 전 세계적으로 사용될 수 있으며, 그에 따른 혐의도 늘어날 것이다. 실제로 미국은 비자 신청 프로그램에서 지문을 채취하고 있으며, 방문자들의 지문을 데이터베이스에 저장해두고 있다. 이러한 경우 생체정보의 노출은 명의도용 문제를 심화시킬 수 있다. 이 문제는 개인에게 국한되지 않고, 사회적, 국가적 문제로 대두될 수도 있다. 어처구니없게 테러리스트 용의자 명단에 한국인이 들어간다면 다른 국외 여행자들의 안전마저 보장할 수 없게 되는 것이다. 현재 국내에서 자신의 신분을 증명하지 않고도 주민등록번호를 통해 얻을 수 있는 서비스의 형태는 무척 많다. 인터넷이 보편화 된 시대에 개인의 정보 유출은 심각한 상황에 이르렀으며, 이를 통해 파급되는 여러 가지 범죄도 늘어나고 있는 실정이다. 명의 도용은 그 중에서 제일 간단한 형태의 범죄이다. 자기 자신을 드러내지 않고 악의적인 활동을 한다고 가정할 때, 남의 명의로 만든 ID를 통해 게임이나 인터넷 게시판 등에서 정신적, 경제적 피해를 입히는 경우, 가해자의 확인은 어려울 뿐더러 명의를 도용당한 제 2의 피해자는 자기 자신이 한 행위가 아니라는 것을 증명해야 할 것이다. 국내에서 인증을 위해 사용된 주민등록번호의 노출만으로도 노출된 개인정보에 대한 피해가 충분히 크다. 생체정보 내장형 전자여권의 사용은 명의도용을 전 세계로 확산하는 계기가 될 수 있다.
예로 든 얘기가 과장이 심하고 비약적인 내용이라 생각할 수도 있다. 그러나 모든 가능성을 재고하지 않고 앞으로 생길 문제에 대비하지 않는다면, 잠재적인 피해자를 두고 있는 것과 다름없다. 부실 건축으로 인해 예상하지 못한 참사를 일으켰던 삼풍백화점 사고나 성수대교 사고처럼, 부실한 설계로 운영되는 인증 시스템이 일으킬 참사는 비단 직접적인 피해자뿐만이 아니라, 국민 전체를 피해자로 몰아세울 수도 있다는 것을 명심해야 한다.