전자여권 COS기술 ‘KCOS’, 양정규 정보기술연구원에게 듣다

한국조폐공사(사장 전용학 www.komsco.com)는 지난 9월, 국제표준을 준용해 자체개발한 전자여권 칩 운영체제(COS)에 대해 국내 최초로 국제 공통평가기준(CC) 최고 보안등급인 EAL4+를 획득한 바 있다.

최근 전자여권 개인정보 불법유출 시연 등 전자여권 복제 문제가 거론되고 있는 가운데 한국조폐공사 정보기술연구실 선임연구원 양정규 과제책임자에게서 전자여권 COS 기술인 ‘KCOS’ CC 인증 획득과 그 의미, 그리고 보안문제 등에 대해 들어봤다.

■ 이번 국제 CC인증이 갖는 의의는?

우선 ‘KCOS e-Passport Version 1.0’ 전자여권 COS 제품 측면의 의의는 공사 독자 기술로 개발한 ‘KCOS’가 ‘EAC(Extended Access Control) 기능(외교부 전자여권 사업에서 지문보호를 위한 유럽표준의 필수 인증기능)’ 탑재 전자여권 COS 제품으로써는 세계적으로 4번째로 CC EAL4+ 인증을 획득함으로써 국제 수준의 보안성과 이를 뒷받침하는 고도의 기술력을 국제적으로 인정받았다는 것이다.

그리고 ‘KCOS’의 CC인증으로 국제적으로 25개 국제공통기준상호인정협정(Common Criteria Recognition Agreement) 가입국 및 국내ㆍ외 신규 전자여권 사업에 자력으로 전자여권 COS 및 전자여권 형태 정보보호 제품을 독자 개발해 수출이 가능하게 됐다는 점이다.

이를 통해 공사는 ID사업을 통한 사업다각화 및 매출액 증대 등 장기 비전을 통해 국민의 공기업으로써 지속적인 공공서비스 및 공신력 제고에 이바지할 수 있을 것으로 기대하고 있다.

■ ‘KCOS’의 특징은?

‘KCOS’는 유럽의 국가사업용 ID카드에 선호되고 있는 전용 COS기술로 개발되었으며 보안성과 성능을 극대화 했다.

개방형 COS가 범용플랫폼으로써 다기능 스마트카드의 편리성과 상품개발의 유연성에 초점을 맞춘 반면, ‘KCOS’는 전자여권 전용 목적에 개발 초점을 맞춰 전자여권 배포 및 발급에 보안을 강화한 독자적인 보안체계를 설계해 탑재했다.

또한 다각적인 튜닝을 거쳐 전자여권 판독 시 다양한 판독시스템에 대해 보안성을 유지하면서도 우수한 판독성능을 보인다.

■ 인증 위한 준비기간은? 그리고 준비 과정 중 어려웠던 점은?

CC 준비기간은 제품개발과 병행해 일반적으로 추진되는데, ‘KCOS’ BAC버전과 EAC버전의 단계적 개발에 2년여 기간이 소요됐다. 이와 병행해 CC 평가제출물 작성 및 CC 평가에 1년 반 정도의 기간이 소요됐다.

준비 과정에서 어려웠던 점은 전자여권 COS는 스마트카드용 IC칩에 탑재되는 IT 보안 소프트웨어인데, 전통적으로 은행권류 중심의 제품 제조ㆍ생산을 해오던 공사로써는 ‘KCOS’ 개발 자체가 우선 어려웠던 점이다.

또한 그 외에도 자체적으로 CC인증을 위해 개발과 품질 체계의 정립부터 각종 개발과 관련된 보안체계의 재정립 등 매사 처음 수행하는 부분에서 오는 시행착오의 극복이 어려웠던 점으로 꼽을 수 있겠다.

■ 이번 인증획득을 전자여권 자체 보안성 향상으로 봐도 되는지?

전자여권 자체의 보안성은 기존의 전자여권 신원정보면을 포함한 보안인쇄 및 제작방법에 3대 핵심기술인 IC칩, COS, 인레이(e-Cover) 모두가 복합적으로 작용하는 것으로써 각 부문별 표준화 및 CC인증을 통해 보안성 요구사항을 만족하고 있다.

또한 이번 CC인증은 CC 평가의 가이드라인으로써 국가정보원의 ‘전자여권 보호프로파일 V1.0’을 준수해 해외 전자여권 COS제품과 동등 이상의 보안성을 입증하게 되었음을 의미한다.

한편 외교통상부는 지난 7일 이와 관련 ‘전자여권의 개인정보 유출 우려 주장’이란 보도자료를 통해  “최근 일부 시민단체 등에서 칩 판독 과정을 시연하고 이를 근거로 전자여권 수록 개인정보의 유출 위험성을 주장하고 있으나, 이는 현실성이 결여된 주장이다”며, “시연 내용은 판독자 고용 등의 특수한 가정 하에서 이루어지고 있고, 전자여권이 판독자에게 이미 입수된 상황을 전제로 하기 때문이다. 또한 칩 수록 정보는 신원정보면 기재 정보와 동일하기 때문에 칩 판독을 통해 추가적인 정보 유출이 일어나는 것은 아니다”라고 밝힌 바 있다.

■ 전자여권 생산 해외 의존도는? 향후 국내 자립도 및 해외 시장 진출 규모는?

외교부 전자여권 사업을 위한 전자여권은 공사가 전량 제조ㆍ발급하고 있으며, e-Cover(칩+COS+인레이) 부분은 입찰을 통해 조달받아 여권 제조에 사용하고 있다.

그리고 이번 인증을 계기로 외교부 전자여권 사업에 적용된 외산 COS에 대해 단계적 국산화가 예상된다. ‘KCOS’를 통한 공사의 해외 시장 진출 규모 등 사업적인 사항은 연구원 차원에서 제시하기 어려운 부분으로 이해 주길 바란다.

참고로 e-Cover 기준, 전자여권 시장규모는 400만 권에 217억 정도다.

■ 전자여권 복제문제 등에 따른 보안조치는?

전자여권 복제 문제는 실험적인 차원에서 시도된 사항으로 이해하고 있다.

‘KCOS┖는 현재 ICAO(International Civil Aviation Organization) 국제표준과 민감한 바이오정보 보호를 위한 EU(European Union)의 규격을 준수해 개발됐다. 이는 전자여권 칩 내 데이터 변조 및 칩 자체의 위조 여부를 확인하는 다각적인 보안메커니즘을 완벽하게 지원한다.

■ ‘KCOS’ 기술의 확대 적용 범위는?

‘KCOS’는 전자여권 전용 COS로 개발되었으나, ID카드 발급기술과 ID카드 동작에 필요한 다양한 암호기술 등을 공통 템플릿화 할 수 있으므로 운전면허증과 같은 전용 목적의 ID카드 등 그 적용 범위는 상당히 다양할 것으로 예상한다.

■ 공사 정보기술연구실의 향후 계획은?

공사 정보기술연구실은 공사 ID카드 사업과 관련한 스마트카드 COS 기술, 카드 소재ㆍ제조 기술과 은행권ㆍ수표 인식기술 등 다양한 분야에 걸쳐 연구하고 있다.

그와 함께 향후 공사가 보안제품 전문생산기업으로 자리매김할 수 있도록 ID카드 관련 핵심기술 발굴 및 개발에 매진할 계획이다.

■ 마지막으로 이번 CC인증 획득 소감?

공사 외부에서는 공사의 전자여권 COS 개발에 대하여 의외의 성과로 인식을 할 수 있으나, 공사는 2002년부터 스마트카드 COS 및 응용기술을 지속적으로 연구해 왔다. 그 노력이 토대가 돼 이번 ‘KCOS’의 CC인증을 획득할 수 있었다.

그런 만큼 공사의 ‘KCOS’가 전자여권 COS 분야에서 유수 IT전문기업과 어깨를 나란히 할 정도의 기술력과 보안성을 인정받게 되어 감회가 깊다. 아울러 공사의 ID사업을 통해 상용화 될 경우 공사의 대국민 공공성 제고에 일익을 담당하게 될 것으로 기대되어 매우 기쁘게 생각한다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>