biopass

테러리스트들을 방지하기 위한, 최첨단의 여권을 300만명의 영국인이 발급받았다. 그런데 Steve Boggan과 그의 친구 컴퓨터 전문가는 최첨단 여권의 보안을 뚫는 것이 매우 쉽다는 것을 발견하고 말았다.

2006년 11월 17일, 금요일, 가디언

6개월전, 컴퓨터전문가의 도움으로, 나는 누군가 Heathrow 고속도로의 쓰레기통에 던져버린 비행기 티켓의 반쪼가리에서 모은 정보를 이용해서 그의 airline 이용패턴 및 정보들을 파악할 수 있었다. 그가 자주 이용했던 British Airways 항공기정보와 항공사의 웹사이트에서 그의 이름으로 티켓을 사는 것을 이용해서, 우리는 그의 개인정보 - 여권번호, 생일, 국적 - 를 획득할 수 있었다. 이 정보들을 바탕으로, 누구나 접근가능한 데이터베이스들을 이용하여, 우리는 그가 사는 곳, 그의 직업, 그의 학력, 그리고 그의 집이 얼마짜리인지도 알아낼 수가 있었다.

그의 identity를 훔치는 데는 오랜 시간이 걸리지 않았다. 그의 이름으로 사기를 치고, 그의 삶을 망쳐버릴 수 있었다.

우리는 곧, 영국정부가 microchip에 여권소지자의 개인정보와 생체정보가 저장되는, 그래서 보안이 강화되었다는 생체여권을 발급하기 시작했다는 사실을 상기할 수 있었다. 이것으로 인해, 신분위조(identity theft)는 훨씬 어려워질 것이고, 2008년이나 2009년으로 예정된 ID cards(전자주민증) 사업까지 쉽게 진행될 것이라고 모두들 생각했다.

오늘날, 그러한 여권이 삼백만개나 발급되었지만, 그것들은 별로 안전한 것 같지 않다. 나는 방금 여기 무서운 컴퓨터 전문가와 함께, 안전하다고 생각되었던 모든 정보들과 생체정보들까지도 세 개의 새 여권으로부터 빼내었고, 그 모든 정보들을 노트북의 모니터 화면에서 보고있다.

UK Identity and Passport Service 웹사이트는 새로운 종류의 여권이 “최첨단의 암호화 기법”으로 보호되고 있다고 소개하고 있다. 그런데 우리는 어떻게 정보를 빼낼 수 있었던 것일까? 테러리스트들과 범죄자들은 이것을 가지고 무엇을 할 수 있을까? 이것들이 여권과 전자주민증에게 어떠한 의미가 있는 것일까?

우선, 새로운 종류의 여권이 왜 도입되었는지, 그것이 어떻게 작동하는지 설명할 필요가 있겠다. 위조된 여권이 사용되었던 9/11 테러 이후, 미국은 미국을 출입하는 모든 외국인으로부터 기계로 판독이 가능한 신분증명문서를 받기를 원했다. 미국은 미국의 Visa Waiver Program(VWP)에 참여하고 있는 27개 국가의 국민들은 2006년 10월 26일 이후에는 microchip에 생체정보를 저장하는, 생체여권을 소지해야 한다고 하였다.(MUST HAVE) 그렇지 않으면, 비자심사를 신청해야 한다고 했다. 27개국은 대부분이 EU의 국가들이었고, Andorra, Iceland, Singapore, Japan, Brunel 등이 추가로 포함되어 있었다. 영국은 물론 포함되어 있다.

새로운 종류의 여권에 대한 표준은 2003년 국제민간항공기구(ICAO)에서 제정하였으며, 미국과 VWP 국가들에게 받아들여졌다. ICAO는 여권에 전자화된 얼굴생체정보를 담는 것을 권장하였으나, 나중에라도 지문정보를 담는 것도 가능하도록 하고 있다. 이 모든 정보들은 RFID chip에 저장되는데, 이것은 가까운 거리에서 라디오전파를 이용하여 읽을 수 있다.(access) 비슷한 종류의 칩들이 retail(소매)에서, stock control을 하는데 이용된다.

어쨌든, ICAO는 RFID chip에 접근하기 위해서 필요한 비밀번호를, 여권번호, 소지자의 생일, 여권만료일로 구성할 것을 제안했다. 모두들 여권의 "machine readable zone(MRZ)"에 실제로 프린트되어 있는 정보들이다. 출입국심사대의 직업이 여권을 리더기에 긁으면, 비밀번호를 얻을 수 있고, RFID 리더기가 칩과 통신을 할 수 있게 된다. 통신이 성공하면, RFID chip에 저장되어 있던 여권소지자의 사진이 모니터상에 나타나게 된다. 이것은 문서가 매우 강력한 보안으로 보호되고 있다는 가정하에서 가능하다. 나중에 살펴보겠지만, 이런 가정은 매우 치명적인 약점일 수 있다.

지난 3월부터 영국에서 이 여권이 발급하기 시작한 이래 우리는 그것을 테스트하기 위해 비를 해왔다. Phil Booth, NO2ID의 코디네이터는 그는, 회원들에게 새로운 종류의 여권을 신청할 것을 제안했다. 전자주민증이 발급되기 전에 여권을 발급받은 사람은 여권의 유효기간인 10년 동안은 전자주민증을 발급받지 않아도 될 것이기 때문이다.

같은 시각, 컴퓨터전문가이자 컴퓨터보안회사인 Bunker Secure Hosting의 기술감독인, Adam Laurie와 나는 새로운 여권을 시험해보기 위한 계획에 착수했다. Laurie는 무서운 사람은 아니지만 - 그는 이 동네에서 , 프라이버시와 civil rights를 고민하는 기술 전문가이다 - 그는 많은 기술적 문제들을 폭로해왔다. 2년전에 그는 블루투스 모바일 폰이 원격에서 접속될 수 있으며, 통화기록과 사진 등을 빼내올 수 있고, 그것이 고장날 수 있도록 조작될 수 있다는 것을 폭로했다. 핸드폰업계는 그가 폭로한 것들을 보완하느라 수백만 파운드를 소비해야 했다.

지난달, Booth와 Laurie와 나는 각각 새 생체여권을 얻을 수 있었고, 마침내 실험을 시작할 수 있었다. Laurie가 가장 먼저 한 일은 ICAO의 홈페이지에 들어가서 ICAO가 새로운 여권에 대해 발표했던 자료들을 모으는 것이었다. 여기서 그는 보안이 강화된 칩을 뚫을 정보가 여권에 프린트 되어 있다는 정보를 배울 수 있었다 - 여권번호, 생일, 만료일

“너무 쉬워서 놀랐습니다” Laurie가 말했다. “칩에 내장된 정보들은 전혀 암호화되어 있지 않습니다. 다만 이것에 접속하고, 통신을 시작하기 위해서 비밀번호가 필요할 뿐입니다”

“RFID 리더기 - 저는 이것을 250파운드에 구입했습니다. - 는 칩과 통신을 하기 위해서 일종의 ‘인사’를 해야됩니다. 인사말은 위에서 말한대로, 여권번호, 생일, 만료일 등으로 구성되죠. 한번 통신이 시작되면, 통신내역은 암호화가 됩니다. 하지만 나는 48시간만에 이것을 무력화시키는 프로그램을 쓸 수 있었습니다.”

“내무부에서는 최첨단의 암호화기술은 3DES를 사용했습니다. 3DES는 매우 강력했던 DES알고리즘을 3번 적용한 것입니다. 그들은 리더기와 칩사이의 통신이 몰래 엿듣기는 것을 방지하기 위해 매우 강력한 방법을 쓰고 있습니다. 하지만, 그들은 암호학의 가장 중요한 원칙을 위반하고 있습니다. 바로, 비밀이 아닌 정보로 비밀번호를 만든 것이죠. 비밀번호에 필요한 정보들은 모두 여권에 프린트되어 있으니까요. 이것은 집에다 강철대문을 달면서, 열쇠를 대문앞 매트 밑에다 숨겨놓은 셈이죠”

리더기를 세 개의 여권에 들이대자, 몇분안에 그 안에 들어있던 정보들이 복사되었고, 여권소지자의 사진이 Laurie의 노트북 스크린에 표시되었다. 여권 한 개는 Phil Booth의 것이었고, 하나는 Laurie의 아들 Max의 것이었고, 하나는 내 파트너의 것이었다. 그들은 모두 이 실험을 허락했다.

Booth는 깜짝 놀랐다. 그는 Laurie가 250파운드에 구입했던, RFID 리더를 174파운드에 구입할 수 있다는 것을 알아냈다, “이것은 예정에 없던 일인데..” Booth가 말했다. “이것은 위조자들에게 대성공을 마련해줄 수 있다. 왜냐하면 여권에서 정보를 빼내는 것과, 거기에 들어있는 전자서명을 곁들이면 진짜 사용할 수 있는 여권을 만들 수 있기 때문이다. 여권의 완벽한 복제품을 만들 수 있는 것이다.”

그렇지만, 내 여권을 당신이 복제한다고 해서, 당신이 그것을 사용할 수 있겠는가? 칩의 보안기법은 칩에 내장된 정보들이 위변조 되지 않았음을 확실하게 보장해주고 있다. 따라서 당신은 내 칩에 당신의 사진을 넣을 수는 없는 것이다. 그러면 위와같은 여권복제는 정말 의미있는 것일까?

내무부는 별로 의미없다고 생각한다. 내무부는 여권에서 기술적으로 빼내온 정보들이 여권에 프린트되어서 사람의 눈으로 확인할 수 있는 정보일 뿐이라고 지적한다. 그리고 비밀번호를 알기 위해선 먼저 여권에 접근할 수 있어야 하며, 그 안에서, 생일, 만료일, 여권번호 등의 정보를 읽어내야 한다.

“아무 문제 없어요” 내무부 대변인이 말한다. “칩에 있는 정보를 당신이 획득했을 때, 당신은 이미 그 정보들을 여권에서 본 상태입니다. 그 생체정보들이 당신에게 어떤 의미가 있을까요? 그리고 만약이 당신이 그 정보를 입수하더라도, 당신에게는 여전이 위조여권을 만들어야하는 어려움이 있습니다. 여기에는 더 많은 보안기술이 적용되어 있죠. 당신이 범죄자라면 당신은 그냥 여권을 훔치는 것을 선호하겠죠.”

어쨌든, 몇몇 컴퓨터 전문가들은 내무부가 너무 순진하다고 생각한다. 몇 달전, 독일의 DN-Systens Enterprise Soluitions의 설립자인, Lucas Grunwald는 독일여권에 비슷한 공격을 가해, 복제 RFID chip을 만들어내는 데 성공했다. 그는 테러리스트나 범죄자들이 이 기술을 매우 유용하게 사용할 수 있을 것이라고 생각한다.

“당신이 그 칩을 읽을 수 있다면, 당신은 그 칩을 복사할 수도 있습니다.” 그는 말한다. “당신은 이 복제여권으로 시스템을 속이고 다른 나라에 불법적으로 들어갈 수 있을 것입니다.” (우리는 불법일 수 있기 때문에, 여권을 복제하지는 않았다)

Grunwald가 덧붙이길: “문제는 이 생체여권 지문정보를 담았을 때 더 커집니다. 이미 지문을 위조하는 몇가지 방법이 알려져 있습니다. 훗날, 각국의 출입국심사대는 무인심사대로 대체될 것인데, 이렇게 (손가락에 붙어있는) 위조된 지문들은 무인심사대를 속이고 통과할 수 있을 것입니다.

그나저나 얼굴인식 시스템은 어떠한가?(생체여권은 얼굴의 특징점들을 담고있다) “Yes” Grunwald가 말한다. “그것은 아직 공항에 적용되지도 않았고, 20%-25%의 착오율을 보이고 있습니다. 그것은 믿을수가 없어요”

1996년 Westminster 대학의 심리학팀이 수행한 연구결과에 따르면, 인간의 눈도 마찬가지이다. 새로운 정보 - 예를 들면, 새로운 사진 - 는 복제된 칩에 저장될 수 없다. 따라서 복제된 여권을 사용하려는 사람들은 그들과 얼굴이 닮아있는 사람들의 여권을 골라서 복제해야 할 것이다.

그러나 사람들의 사진을 신용카드에 넣는 것이 사기를 줄일 수 있는가?를 질문했던 Westminster 대학의 연구 때, 슈퍼마켓 직원은 얼굴과 사진이미지를 매치시키는데 매우 어려움을 겪었다. 결과는 얼굴사진은 보안을 전혀 강화하지 못하는 것으로 판명되었고, 따라서 그것은 신용카드에 적용되지 않았었다. 당신이 여권을 건네줄 때마다 - 예를 들어 호텔 리셉션이나 해외의 자동차 렌트 사무실에서 당신의 여권은 우리가 했던 것처럼 복제될 수가 있다. 이것인 옛날 여권에서도 마찬가지이지만, 오히려 보안이 강화되었다는 새 여권에서 이런 일이 발생한다면, 국경에서 별 의심없이 통과하는 것이 더 쉬워질 수도 있는 것이다.

Westminster의 연구결과에 따르면, 테러리스트가 당신과 약간 닮았고, - 그리고 턱수염을 길렀다고 가정해보자 - 그는 국경을 통과하기에 아주 좋은 기회를 얻을 수 있을지도 모른다. 왜냐하면 그의 여권은 복제된 것이고, 필요한 전자서명을 가지고 있으며, 그리고 당신은 아직 여권분실을 신고하지 않았기 때문이다. 왜냐하면 실제로 당신은 여권을 분실하지 않았고, 아직도 가지고 있기 때문이다. 그는 복제된 당신의 여권, 훔친 당신의 신분을 이용하고 가고싶은 곳, 어디든지 갈 수 있을 것이다.

기술적인 어려움들은 어떠한가? 정부는 새로운 생체여권에 내장되는 칩들이 2cm 거리에서만 읽힐 수 있다고 주장한다. 그러나 세계각지의 연구자들은 생체여권의 칩을 멀리서도 읽을 수 있음을 주장해왔다. 영국의 주요물리학자들은 영국의 생체여권이 1미터밖에서도 읽을 수 있다고 말한다. 그러나 아직 실제로 보여준 적은 없다. 네덜란드 팀은 30cm밖에서 읽을 수 있다고 주장하고 있다.

어쨌든 Laurie는 7.5cm밖에서 여권을 읽을 수 있는 장비를 갖추었다. 이것은 네덜란드의 30cm만큼 길지는 않지만, 런던지하철이나나 Gatwick 공항 모노레일에서 옆자리에 앉아있는 사람의 주머니 속에 들어있는 여권을 당신의 가방속에 숨겨져있는 리더기로 읽기에 충분한 거리이다.

리더기로 여권의 모든 정보를 빼내는데 4초정도의 시간이 걸린다. 그 다음에 그 정보들은 1km밖의 공범자의 노트북으로 중계전송될 수 있다. RFID 리더에 블루투스 안테나가 연결된 Heath Robinson 장비로 Laurie는 그의 아들의 여권에 있는 상세한 정보를 벽 두 개를 뚫고 10미터 밖에 있는 노트북으로 전송할 수 있었다.

아, 내무부는 이렇게 말하겠죠. 그러나 통신에 필요한 비밀번호를 알아내기 위해선 당신은 아직도 복제할 여권을 열어봐야 한다고. 정말 그럴까요? 다음과 같은 시나리오를 보세요: 범죄조직과 연관된 우편배달부가 당신의 집으로 배달할 여권이 있다는 것을 안다고 생각해보세요. 그는 이미 봉투를 보고 당신의 이름과 주소를 알고 있습니다. 그는 신용정보회사 등의 몇가지 방법을 동원해서, 당신의 생일을 알 수 있을 겁니다. (그는 당신의 모든 생일카드를 배달하기도 하죠)

그는 만료일도 알고 있습니다. - 어제로부터 10년이죠. 혹은 하루전, 혹은 하루후. 이제 9자리 여권번호만 남았네요. NO2ID는 그들의 30,000 멤버들의 보고에 따르면, 영국 어디살고 있느냐에 따라 여권번호 앞 4자리가 비슷하게 나타나고 있다고 말하고 있습니다. 이것으로 가능한 여권번호의 범주는 줄어들 수 있죠. 이제 5개의 순수한 랜덤번호만 꽤맞추면 되니까요.

“나쁜 우편배달부가 당신의 여권을 당신의 집으로 배달한다면, 그는 봉투를 열어보지도 않고 리더기를 통해 올바른 비밀번호가 나올 때까지 매초마다 12개의 다른 조합을 시도해보는 ‘brute-force' 공격을 해볼 수 있죠. ” Laurie가 말한다. “5개 숫자의 조합은 깨는데 최대 23시간정도 걸릴거예요. 비밀번호를 찾기만 하면, 당신은 RFID chip과 통신을 열고, 모든 정보를 훔쳐갈 수 있죠. 그리고 당신의 여권은 당신에게 배달될거예요. 봉투는 열리지 않은 채로, 하루정도 지연이 된채로 ”

그러나 이러한 일이 정말 있을 수 있는가? 테러리스트나 범죄자들이 정말 이정도까지 할까? 캠브리지대의 컴퓨터 연구실의 보안공학 교수인 Ross Anderson은 그들이 충분히 그러고도 남을 것이라고 믿는다 “요점은 당신이 생체여권으로 정보를 빼냈을 때, 단순히 생체정보만이 들어있는 것이 아니라는 거죠. 거기에는 그 생체정보의 bit-stream과 그것이 올바른 것임을 증명하는 전자서명까지 들어있어요. 이것이 그들로 하여금 국경을 마음대로 통과할 수 있게 하는 것이죠.”

“brute-force 공격에 대한 어떤 방어책도 없어요. ATM에서는 같은 공격에 대해 3번이상 비밀번호가 틀리면 더 이상 시도할 수 있도록 되어있는 것과는 대비되죠. 여권에도 이러한 제한이 필요해요. 컴퓨터는 그것이 맞는 번호를 찾을 때까지 끊임없이 노력할 수 있거든요. ..”

문제는 생체여권에 사용된 RFID chip에 이렇게 문제가 많은데, 그 기술 그대로 전자주민증에 적용된다는 점이다. 정부는 전자주민증 칩에 어떠한 정보를 담을지 정확하게는 밝히지 않고 있다. 그러나 당신에 관한 50개정도의 정보를 담는 국가적신분등록이 담길 것이다. 당신의 이름, 나이, 모든 주소, 사회보장번호, 생체정보들이 여기에 포함된다. 어쩌면, 이 카드로 당신은 병원에 갈 수 있을지도 모르고, 이 카드가 여권을 대체할지도 모른다.

이미, 범죄자들과 테러리스트들은 복제된 전자주민증이 얼마나 유용한지 알고 있다. 그들의 선한 마음을 기대하는 것은 매우 어리석은 짓이다.

내무부는 영국 생체여권이 안전하며, 그것도 세계에서 가장 안전하다고 말한다. 그러나 모두 동의하는 것은 아니다. 지난주, EU에서 fund를 받는 Futere of Identity in the Information Society(Fidis)는 RFID chip이 내장된 생체여권과 전자주민증에 관해 성명을 발표했다. 성명에는 여기에 사용된 기술들이 매우 빈약하다고 말하고 있으며, 다음과 같이 덧붙이고 있다.: “유럽 각국의 정부는 시민들이 - 매우 드라마틱하게 그들의 보안과 프라이버시를 약화시키고, 신분위조의 가능성을 높이는 -새로운 여권을 받아드리도록 매우 효율적으로 강제해왔다.”

정부는 자유민주주의자들과 전자주민증 반대그룹들로부터 여권에 호일커버를 씌우라는 생체여권의 리콜요구를 직면하고 있다. 이러한 커버는 최소한 여권을 멀리서 읽어가는 것을 방지해준다. 물론 이것은 여전히 호텔 리셉션 담당자가 당신의 여권을 몰래 열고 정보를 빼내가는 것을 방지하지는 않는다.

나중에라도 정부가 여권에 RFID chip을 내장하는 것은 위험하고 불필요한 일이라는 것을 받아들일지도 모르겠다. 그때까지 이러한 종류를 기술을 좋아할 사람들이 나쁜 마음을 가지고 있는 사람들 뿐일 것이다.