RFID, 다시 보안을 생각하다

RFID에 대한 보안 강화가 이뤄지지 않는 가장 근원적인 이유는 시스템과 보안을 별개로 인식하는 보안(안전) 불감증에 있다. 따라서 이젠 보안을 시스템에 내재하는 핵심적인 속성의 하나로 보는, 인식의 전환이 필요한 때다.

지난 3월, TV뉴스에서 교통카드 해킹이 가능하다는 것이 시연을 통해 보도되면서 많은 사람들을 놀라게 한 적이 있다. 하지만 기실 RFID와 관련된 업무를 하는 사람들에게는 전혀 새롭거나 놀라운 이야기가 아니었다. 이미 2008년 네덜란드에서 크게 이슈가 된 적이 있기 때문이다. 그리고 당시 문제가 됐던 마이페어 클래식(Mifare Classic) 카드의 위험성에 대한 논문 발표에 대해 제조사인 NXP가 논문 발표자를 상대로 제기한 소송도 이미 NXP의 패소로 결론이 난 바 있다.

그렇다면 끊임없는 위험성에 대한 문제제기와 그것을 증명하는 충분한 시연에도 불구하고 RFID에 대한 보안 강화가 이뤄지지 않는 가장 근원적인 이유는 무엇일까? 원인은 시스템과 보안을 별개로 인식하는 보안(안전) 불감증에 있다. 즉, 보안을 시스템에 내재하는 핵심적인 속성의 하나로 보지 않고 시스템 외적인 요소로 인식하고 그렇게 다루고 있기 때문이다.

따라서 이젠 확고한 인식 전환이 필요하다. 건축물을 예로 살펴보자. 건축물에서 안전은 선택사항이 아니다. 아무리 뛰어난 디자인의 건축물이라도 안전이 보장되지 않는다면 어느 누구도 그 건축물을 사용하지 않을 뿐 아니라 설계자, 시공자 모두 법적 책임은 물론 모든 시민으로부터 지탄을 받는 공분의 대상으로 전락할 것이다.

하지만 정보시스템에 대한 우리의 인식은 아직 관대하다. 아직까지 통신망 보호와 개인정보보호에 대한 최소한의 법적 의무도 제대로 이행하지 않는 기관이나 사업자가 있다는 사실이 이를 반증한다. 이제는 정보시스템도 건축물처럼 실제 사용에 앞서 충분한 안전 진단이 이뤄져야 하며 이미 오래 전부터 사용중인 시스템의 경우도 신속하고 지속적인 안전 진단이 이뤄져야 한다.

ETRI 등 일부 연구기관과 기업에서 RFID 보안성 강화를 위한 다양한 연구가 진행되고 있는 것은 사실이다. 그러나 대체적인 연구 방향은 RFID 자체에 대한 보안에 치중돼 있을 뿐, RFID가 적용된 전체 정보 시스템에 대한 종합적이고 체계적인 보안 연구는 매우 미미한 수준이다. RFID 시스템은 단순히 태그와 리더기 혹은 보다 더 확장해서 미들웨어 서버만의 문제가 아니다. RFID는 전체 정보시스템의 일부이며 이러한 경우에만 그 의미가 있는 것이다.

하지만 RFID 확산에 막중한 책임을 지고 일익을 담당하는 주요 RFID 구축업체의 보안 인식지도를 보면, RFID시스템과 전체 정보시스템은 별개이고 RFID 시스템에서 보안 이슈는 오직 태그와 리더기 생산업체의 몫인 것처럼 보인다. RFID를 정보시스템에 활용하는 많은 사람들 중에는 아직도 담뱃갑만한 태그 에뮬레이터를 통해 태그의 유일식별자인 UID(혹은 TID)가 쉽게 복제될 수 있다는 사실을 인지하지 못하고 있다. 뿐만 아니라 리더기를 통해 태그를 쉽게 읽을 수 있다는 사실이 정보시스템의 보안에 어떤 영향을 미치는가에 대한 고민은 염두의 대상이 아니다.

심지어 일부 경비전문업체의 경우 출입카드처럼 사용되고 있는 방범설정카드(보통 마이페어류-이렇게 표현한 이유는 NXP로부터 정식 라이센스를 통해 생산한 것이 아닌 중국 일부 공장에서 생산된 것으로 품질과 보안성 면에서 또한 UID가 통제되지 않아 다른 카드의 UID와 충돌할 가능성이 있는 경우도 있다. 이미 인터넷에 이런 류의 카드 생산 업체가 소개되고 있다)에서 태그의 유일한 식별자만을 사용해서 등록된 카드 여부만을 확인하고 방범시스템이 설정/해제될 수 있도록 하고 있다. 이는 매우 위험한 일이다.

보안에는 금과옥조(金科玉條)가 있다. 사슬은 항상 약한 고리부터 끊어진다. 무선 환경의 증가로 시스템의 내외부를 구분하는 것이 매우 복잡한 상황이다. 따라서 유비쿼터스 환경에서는 누가 내부자인지 외부자인지를 구별하기조차 쉽지 않다.

하지만 명백하게 취약점이 드러난 것은 마땅한 대비를 해야 한다. 태그 자체를 통한 SQL 인젝션(injection) 공격은 말할 것도 없고(아직은 실험적인 논문에서 논의되는 수준이긴 하지만) 이미 태그 자체를 통해 다른 태그를 감염시키는 멀웨어(malware)의 가능성도 제기되고 있다.

교통카드의 경우처럼 RFID 인프라가 상당한 수준으로 구축된 이후에는 보안 대책을 세우는 것도 어렵고 엄청난 비용을 지불해야만 한다. 시스템 구축단계부터 전체적인 시각에서 정보시스템의 보안을 생각하고 시스템을 설계, 구축해야 교통카드와 같은 문제를 미연에 방지할 수 있다.

결론적으로 성능이 아무리 우수하고 사용이 편리하더라도 시스템의 안전성(그 핵심은 데이터의 무결성이다)이 보장되지 않는다면, 그 시스템은 무가치할 뿐만 아니라 때론 재앙이 될 수도 있다. 건축에서의 안전은 일정한 수준에서 예측 가능한 물리현상을 대상으로 하지만 정보 시스템의 보안은 불순한 의도를 지닌, 예측불가능한 사람들을 대상으로 한다.

열길 물속은 알아도 한길 사람 속은 모른다는 옛말이 있다. 이른바 불순한 해커들은 시스템 설계자가 전혀 생각하지 못한 방법으로 시스템을 무기력하게 만들 방법을 찾는다. 그만큼 정보시스템의 보안은 예측불가능하고 어려운 것이다. 따라서 보안을 시스템을 내재적 속성으로 고려하지 않은 채 인프라 확충이 우선이라는 사고는 위험천만한 접근방식이라 하지 않을 수 없다. 늦었다고 생각할 때가 가장 빠른 때라는 말이 있다. 만시지탄(晩時之歎)하지 않으려면 RFID 보안, 지금 당장 다시 시작할 때다.

<글 : 채규혁 한국IT감리컨설팅 RFID/USN 보안사업부 이사(tao2001@chol.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)