전자 여권 10분이면 해킹...

지난 8월 새로 도입된 전자여권에서 단 몇 분 만에 개인정보가 유출될 수 있는 것으로 드러났다. 전국 41개 인권단체로 구성된 인권단체연석회의는 29일 서울 중구 명동 천주교인권위 사무실에서 비접촉식(RFID) 리더기를 이용해 전자여권 내의 신상정보를 컴퓨터로 불러들이는 시연을 해보였다.
  
  "단 5~10분이면 모든 정보를 빼낸다"
  
  여권의 정보를 읽기 위해 필요한 도구는 비접촉식 리더기(RFID Reader)와 전자여권 리딩 소프트웨어가 깔려 있는 컴퓨터다. 이들이 시연에 사용한 리더기는 인터넷에서 가장 저렴하게 구입할 수 있는 10만 원 가량의 제품이며 소프트웨어는 인터넷에서 다운로드받은 것이다.
  
  리더기 위에 전자여권을 올려놓자 리더기가 빨간 불로 변하면서 RFID 칩의 내용을 읽기 시작했다. 환경을 설정하고 실행어를 입력하자 곧 컴퓨터와 연결된 모니터 화면에 여권에 기재된 정보가 그대로 떠올랐다.
  
  여권 속의 페이지가 모니터 화면에 뜨는 데 걸린 시간은 불과 몇 분. 시연을 해보인 진보네트워크 김승욱 활동가는 자신은 학부에서 컴퓨터 공학을 전공한 수준에 불과하다고 말했다. 이 작업이 고도의 기술을 필요로 하는 것은 아니라는 뜻이다.
  
  김승욱 활동가는 "가장 저렴한 리더기라 마이크로소프트 윈도즈 운영체제와 호환이 되지 않아 리눅스 운영체제를 이용해 보여드렸다"며 "윈도즈를 이용하면 지금 보여준 것보다 더 쉽고 간편하게 정보를 읽어낼 수 있을 것으로 보인다"고 말했다.
  

▲ 왼쪽 사진은 여권 첫 페이지에 기재된 신상정보이고 오른쪽 사진은 이 여권을 리더기로 읽어 얻어낸 컴퓨터 화면 속 정보이다. 이름, 주민등록번호, 여권번호, 사진 등 모든 정보가 그대로 컴퓨터 화면에 나타났다. ⓒ프레시안

  "옆 사람 호주머니 속의 여권 해킹은 불가능"
  
  그러나 이 같은 기술을 이용한다고 해도 '해킹'이라는 단어에서 연상되는 것처럼 바로 옆으로 지나가는 사람의 호주머니 속에 있는 여권 정보를 빼내는 해킹은 현실적으로 불가능하다.
  
  해킹을 하는 내내 리더기와 컴퓨터가 바로 옆에 있어야 할 뿐 아니라 RFID 칩을 읽는 과정에서 여권 내부에 적혀 있는 MRG 데이터(위 사진에서 맨 아래쪽에 모자이크 처리된 두 줄)를 따로 입력해야만 가능하기 때문이다. 여권번호와 생년월일, 여권만료일 등의 정보가 들어있는 MRG 데이터를 유출하기 위해서는 직접 여권을 보면서 입력하거나 따로 이 같은 정보를 알아내야만 가능하다.
  
  김승욱 활동가는 "영국의 경우 MRG 데이터에 우리보다 더 적은 종류의 데이터가 들어 있기 때문에 한 활동가가 여러 가지 경우의 수를 따지는 방식으로 해킹에 성공했다"며 MRG 데이터 해킹도 향후에 얼마든지 가능해질 수 있다고 설명했다. 그는 "일반 국민들이 현 수준의 기술을 이용한 RFID 칩으로 만든 전자여권을 5~10년간 쓰는 사이 해킹 기술은 얼마든지 발달해 이 같은 해킹이 가능해질 가능성이 있다"고 말했다.
  

▲ 리더기 위에 여권을 올려놓고 리딩 프로그램을 이용해 정보를 읽는데 몇 분이 채 걸리지 않았다. ⓒ프레시안

  "호텔, 가이드 등에 여권 맡겨도 될까?"
  
  이처럼 해킹에 허술한 전자여권을 두고 현 시점에서 가장 우려가 되는 부분은 바로 위·변조의 가능성이다. 사진전사식 여권의 경우 통째로 잃어버려야만 문제가 됐지만 전자여권은 누군가에게 5~10분 정도 잠시 맡기기만 하는 경우에도 문제가 될 수 있다는 것.
  
  김승욱 활동가는 "여행 중에 여권을 호텔에 맡기거나 가이드에게 맡기는 일이 비일비재한데 이제 그들이 나쁘게 마음만 먹는다면 해킹을 통한 위·변조가 가능하다"고 말했다. 그는 "리더기로 읽어낸 후 사진만을 바꾸는 방식으로 위·변조가 가능하다"며 "빈 여권 또는 빈 RFID 칩에 내용을 담아 새로 여권을 만들 수 있다"고 말했다.
  
  또 그는 "여권 제작 당시의 정보가 변하지 않았다는 인증서 내용을 함께 바꿔줘야 하는데 전자여권 내에 이것을 바꾸는 암호가 함께 들어있어 더 큰 문제"라며 "마치 신용카드 뒷면에 비밀번호를 써 놓은 것과 마찬가지"라고 지적했다. 전자여권은 RFID 방식을 이용하는 국제민간항공기구(ICAO) 표준을 따라야 하기 때문에 유럽 등 전자여권을 발급하는 국가도 모두 이 같은 문제가 있다.
  
  김승욱 활동가는 "한국의 여권에는 평생 바꿀 수 없는 주민번호 정보가 들어 있는 데다 2년 뒤엔 지문 인식까지 포함될 것으로 예정돼 유출시 훨씬 더 심각한 문제가 된다"며 "이제라도 외교통상부는 이미 발급한 전자여권을 파기해야 한다"고 주장했다.
  
  그는 "전자여권의 국제표준을 정하는 ICAO에 따르면 RFID 칩이 판독되지 않는 경우 육안심사와 기계판독을 통해 출입국이 가능하도록 되어 있다"며 "개인적으로 여권을 전자레인지에 돌리거나 해머로 두들겨 칩을 망가뜨리는 것도 한 방법이 될 수 있다"고 설명했다.

출처: 프레시안..
(2008년 기사입니다)