RFID 환경에서는 사물단위의 정보화가 이루어져 보다 신뢰성 있는 정보 전달이 가능해 질것이지만 현재의 RFID 기술은 보안 기능이 매우 취약해 태그의 변조, 위장 리더, 서비스 거부 공격 등 수많은 위협에 노출되어 있다. RFID는 우리의 사생활 영역 깊숙하게 파고 들것이며 기업 및 공공기관에서의 활용범위도 커져 갈 것이다. 이 때문에 RFID 정보보호 문제는 반드시 해결되어야 하며 네트워크 가용성(availability)을 훼손하는 일이 없이 안정적인 망 구축이 되어야 할 것이다.

◆ 연재순서

1. RFID 보안 및 주요 응용 서비스    

2. 모바일 RFID와 프라이버시 보호

3. 안전한 USN을 위한 정보보호 현황 

4. RFID/USN 하드웨어 보안 대책

5. 국내외 RFID/USN 보안 표준화 동향

RFID 보안 응용 및 서비스기술 종류

■ RFID 보안 미들웨어기술

● RFID 미들웨어 시스템

RFID 시스템에서 미들웨어는 RFID 리더와 기업응용의 사이에 위치한다. 리더로부터 들어오는 대량의 태그 데이터를 실시간으로 응용에게 전달하는 것이 미들웨어의 역할이다.

미들웨어는 중복된 태그 데이터를 제거하고 응용의 요구에 따라 응용에 무의미한 태그 데이터를 제거하는 필터링, 그룹별로 분류하는 그룹핑 등을 수행 한 후, 주기적으로 응용에 전달한다. 이러한 태그 읽기에 대한 추상화뿐만 아니라, 근래에는 태그 쓰기에 대해서도 기능을 제공하고 있다. 특정 리더를 지나가는 물품에 대해 일련의 순서대로 태그 코드 값을 생성하거나 패스워드가 있어야만 쓰기가 가능한 메모리 영역에 응용 데이터를 기록하기도 한다.

미들웨어가 처리하는 태그 데이터는 개인의 프라이버시에 관련되거나 기업의 중요한 기업의 중요한 가치를 가진 정보 일수 있다. 따라서 미들웨어가 제공하는 태그 데이터의 접근은 인증된 사용자가 권한을 가졌을 경우에만 접근할 수 있도록 제어되어야 한다. 또, 미들웨어는 리더로부터의 태그 정보를 기업응용에게 실시간으로 처리, 전달하기 때문에 미들웨어의 가용성은RFID 네트워크의 성능에 많은 영향을 미친다. 따라서 요청할 수 있는 명령, 접근할 수 있는 태그 데이터의 범위 등을 제한하여 미들웨어의 성능을 저하 시킬 수 있는 요소를 사전에 차단해야 한다.

● 사용자 인증 및 메시지 암호

국제적인 RFID 표준화 단체인 EPCglobal의 미들웨어 표준인 ALE(Application Level Event)는 사용자 인증에 관하여 따로 언급하고 있지 않다. 미들웨어와 기업응용간의 통신은 TCP, HTTP, SOAP 등과 같이 여러 형태로 이루어 질 수 있기 때문에 구현 상황에 맞춰 사용자 인증을 하도록 권유하고 있다.

생각해볼 수 있는 인증 방법은 IP 주소에 의한 인증이다. 그러나 이 방법은 공격자가 IP 주소를 얼마든지 속일 수 있기 때문에 적절하지 않다. 미들웨어와 응용간의 통신 방법은 SOAP을 많이 사용하기 때문에 WS-Security가 좋은 인증 방법이 될 수 있다.

WS-Security는 SOAP 헤더에 사용자 인증 정보를 담아 보내기 때문에 SOAP 바디에 존재하는 미들웨어 통신 프로토콜을 변경하지 않고도 보안 적용이 가능하다. 이때 사용할 수 있는 인증 방법은 ID/PASSWORD 또는 공개키 기반 인증서이다.

특히 공개키 기반 인증서를 사용하면 서명을 이용한 인증뿐만 아니라, SOAP 바디를 암호하여 메시지 보호를 할 수 있다. 사용자 인증 외에 공격자가 메시지 내용을 볼 수 없도록 메시지 암호가 필요한데 이것은 현재 널리 사용되는SSL/TLS 방법을 사용하는 것이 좋다.

● 사용자 접근 제어

미들웨어는 태그 데이터를 실시간으로 처리하여야 하기 때문에 어떠한 상황에서도 태그 데이터를 응용에게 전달하는 가용성이 중요하다. 이를 위해 미들웨어의 안정적 운용에 부담을 줄 수 있는 명령은 인증된 사용자라 하더라도 적절히 제어를 할 필요가 있다.

이때 사용할 수 있는 기술이 사용자 접근 제어 기술이다. ALE 표준은 사용자 접근제어 API을 포함하고 있다. 이 API로 사용자가 미들웨어에게 요청할 수 있는 명령을 제어 할 수 있다. 접근제어 API는 사용자에게 Role(역할)을 부여하고 Role은 사용자가 요청 할 수 있는 명령의 Permission(접근권한)을 소유하는 구조로 되어 있다.

ALE 표준은 명령 접근 제어 외에 다른 접근 제어는 구현에서 표준을 확장하여 사용하도록 권유하고 있다. ETRI에서 개발한 미들웨어는 사용자가 보고 받을 수 있는 태그 데이터의 범위, RFID 리더, 사용자의 보고 받는 주소, 보고 스펙을 정의한 이벤트 사이클(event cycle)에 대한 접근제어 API을 포함하고 있다.

■ RFID 정보서비스(EPCIS) 보안

RFID 정보서비스(EPCIS, EPC Information Services)는 상품에 부착된 RFID 태그내의 EPC(Electronic Program Code) 코드와 연관되어 있는 이벤트 정보와 그 정보를 해석할 수 있는 속성 정보 등을 제공하는 서비스이다. 이는 EPCglobal의 ‘EPC Information Services (EPCIS)’ 문서로 정의되어 있으며 RFID 기반 산업의 표준이라 할 수 있다.

RFID 정보서비스(EPCIS)는 서비스 계층상에서 RFID 미들웨어 상단에 위치하며 미들웨어가 제공하는 ALE(Application Level Event) 이벤트를 수집하여 이를 비즈니스 관점의 용어들로 해석될 수 있는 정보서비스 이벤트로 변경하고 정보서비스 이벤트를 유통, 물류 등의 응용 서비스에 제공하거나 사업 파트너의 정보서비스 제공 서버와 공유한다.

정보서비스 이벤트는 ‘언제, 어디서, 무엇을, 왜’라는 네 가지 관점의 이벤트를 제공한다. 이벤트가 발생한 시점과 기록 시점을 포함하고 있으며 위치 정보도 가지고 있다. EPC 코드, 생산 정보(일련번호, 유통기한 등), 상거래 정보(배송, 송장 등)를 포함할 수도 있다. 그리고 물품 접수 및 배송, 적재 및 이동, 판매 여부 등의 이벤트들의 발생 이유를 표시하기도 한다.

RFID 정보서비스가 관리하는 정보서비스 이벤트는 결국 제품에 할당된 고유한 EPC 코드로 관리된다. EPC가 포함된 RFID 태그가 부착된 제품이 생산, 적재, 이동, 접수 및 판매되는 등의 다양한 상황에서 제품의 상태, 위치 및 시간 등을 자동적으로 체계적으로 저장된다. 이렇게 저장된 정보는 제품의 생산, 유통, 재고, 판매 등의 다양한 응용 서비스들에 제공된다.

정보서비스 이벤트를 응용 서비스나 거래 파트너와 제공 또는 공유하거나 미들웨어에서 ALE 이벤트를 수집하기 위해서는 각각의 시스템과의 인터페이스에 있어 인증과 인가 등의 보안 기술이 필수적이며, RFID 정보서비스 제공 시스템 또한 이를 위한 보안 기능이 포함되어야 한다.

RFID 정보서비스는 미들웨어로부터 ALE 이벤트를 수집하는 인터페이스와 응용서비스로 정보서비스 이벤트를 제공하는 질의 인터페이스를 가지고 있으며 질의 인터페이스는 다시 질의를 등록하고 해제하는 등의 질의제어 인터페이스와 질의에 대한 응답을 주고받는 질의응답 인터페이스로 구성된다.

ALE 수집 인터페이스는 미들웨어와 정보서비스 제공 시스템과 상호 인증할 수 있는 수단을 제공해야 하며 정보서비스 제공 시스템은 미들웨어로 이벤트 수집을 위한 규칙(ECSpec)을 보내고 그 결과(ECReport)를 받을 수 있는 안전한 방법을 제공해야 한다.

RFID 정보서비스 표준 문서에서는 그 수단을 정의하고 있지 않지만 ALE 이벤트가 XML로 구성되어 있어 SOAP(Simple Object Access Protocol)을 사용하여 쉽게 보안기술을 적용할 수 있다. SOAP 메시지에 ALE 이벤트들을 담고 SOAP에 대한 W3C(World Wide Web Consortium)의 인증 및 메시지 보안 기능을 제공하는 WS-Security 기술을 적용하여 이벤트 수집 규칙과 그 결과에 서명 및 암호화를 통해 상호 인증, 메시지 무결성 및 기밀성 등을 보장할 수 있다.

질의제어 인터페이스는 표준 문서에서 두 가지 보안 인터페이스 방법을 제시하고 있다. HTTP를 이용한 SOAP 메시지 전송과 AS2(Applicability Statement 2, MIME-based Secure Peer-to-Peer Business Data Interchange Using HTTP, RFC 4130)를 이용한 XML 메시지 전송 방법이다. 질의응답 인터페이스는 여기에 HTTPS를 이용한 XML 메시지 전송 방법까지 추가되어 있다. HTTPS는 메시지를 전송하는 채널에 대한 기밀성을 유지할 수 있는 보안 기술이다.

질의에 대한 가장 간단한 보안 방법은 우선 질의제어를 RFID 정보서비스 제공 시스템의 내부에서 작성하고 이 결과를 HTTPS를 통해 전송하는 방법이며 질의제어 인터페이스를 시스템 외부에서 접근하고 사용하려면 이에 대한 추가적인 보안 방법이 반드시 필요하다.

외부에서 질의제어를 할 수 있는 방법 중에는 HTTP를 이용한 SOAP 메시지 전송이 있다. 이 방법은 ALE 수집 인터페이스의 보안 방법과 동일하게 WS-Security를 사용하여 전자서명 및 암호화를 이용하고 전자서명에 사용된 인증서를 가지고 해당 질의에 대한 제어가 가능한 권한이 있는 지를 확인하는 접근제어를 제공하면 된다. 질의에 대한 질의응답 인터페이스도 같은 방법을 사용하여 안전하게 질의에 대한 결과를 질의제어 등록 응용에게 전달할 수 있다.

외부에서 질의제어를 할 수 있는 다른 방법은 AS2를 사용하는 것이다. AS2는 IETF의 표준문서로 HTTP를 이용하여 MIME 메시지를 전송하는 방법이다. 이 표준 문서 안에는 전자서명이나 암호화 기술 등에 대한 보안 기술의 사용 방법까지 기술되어 있다. 따라서 질의제어 및 질의응답 인터페이스에 AS2를 적용할 경우, AS2의 보안 기술부분까지도 같이 운영하여야 한다.

표준에서는 위의 세 가지 보안 기술을 선택에 따라 사용할 수 있도록 규정하고 있으며 RFID 정보서비스는 세 가지 보안 기술 중에 하나의 보안 기술은 반드시 적용해야 한다.

RFID 정보서비스는 RFID 미들웨어의 이벤트를 받아 각종 응용 서비스에 비즈니스 로직을 추가하여 변환한 정보서비스 이벤트를 제공하여 어떤 응용이라도 쉽게 이벤트를 해석할 수 있게 정의된 것이다.

어떤 RFID 정보서비스 제공 시스템에 접근하더라도 동일한 방법으로 호환성 있는 이벤트를 받을 수 있게 구성된다. 따라서 RFID 정보서비스는 접근하는 대상 및 대상이 원하는 질의 및 응답에 등에 필요한 인증, 인가 및 메시지 보안 등의 보안 기술이 더욱 필수적이며 위에서 언급한 HTTPS, WS-Security 및 AS2 기술 중 반드시 하나를 적용하고 권한 있는 응용들만 질의제어를 할 수 있는 접근제어 기능이 반드시 있어야 한다.

■ 전자계보(e-Pedigree) 기술

미국의 FDA는 2004년 ‘FDA COMBATING COUNTERFEITING DRUGS’ 라는 보고서를 통해 점점 증가되고 있는 위조 약품의 증가와 적발 건수의 증가 등으로 인한 위협을 제기하고, 이를 방지할 수 있는 새로운 기술의 도입을 요구하였으며 대안이 되는 기술로 RFID가 선정되어 이에 대한 표준작업을 EPCglobal에서 진행했다.

전 세계 시장의 10% 이상이 위조 약품이고 FDA에서 2000년에 6건의 위조약품 적발에서 2004년에는 58건의 적발로 점점 증가되고 있으며 점차 복작한 방법으로 위조 약품들이 합법적인 약품으로 둔갑하고 있다. 위조 약품들은 안전하지 못하고 알려지지 않은 불법적인 사업자를 통해 유통망에 유입되고 있다. FDA와 EPCglobal은 2007년 제정한 전자계보(e-Pedigree) 표준에서 RFID 기술을 이용하여 위조 약품의 유통을 방지하기 위한 방법을 제시하고 있다.

2008년 현재 미국의 많은 주에서 전자계보 사용에 대한 법률을 제정하고 시행하고 있다. 또한 SupplyScape. IBM 등의 4개사의 5개 제품이 해당 표준에 대해  EPCglobal의 인증을 받고 이에 대한 사업을 진행 중이다. 전 장에서 언급한 RFID 정보서비스 제공 시스템에 대한 대부분의 매출이 전자계보 관련 시장에서 발생하고 있을 정도로 위조 약품의 유통 방지기술인 전자계보 시장이 커지고 있다.

전자계보는 약품에 대한 전자 이력을 포함하고 있으며 처방약에 대한 제조업체의 판매부터 도매상의 취득 및 판매, 약국에서의 최종 판매에 이르기까지의 소유권 변화에 대한 전자 기록으로 관리 및 유통 등의 정보의 관리라고 정의할 수 있다. 하나의 전자내력은 한 약품에 대해 각 유통 단계별 관리 정보와 이에 대한 전자서명과 서명에 대한 인증 체인까지 포함한다.

전자계보는 한 업체에서 다른 업체로 배송 및 접수될 때 각각의 업체가 물품의 정보를 담고, 전자서명을 추가하는 방법으로 이루어진다. 한 약품의 전자계보를 살펴보면, 제품의 일반적인 정보뿐만 아니라 유통 경로 등을 한 눈에 볼 수 있다. 문서안의 각각의 전자서명을 검증함으로써 문서의 각 내용에 대한 무결성 확인이 가능하여 이렇게 함으로써 약품의 유통과정에서 위조 약품이 유통되지 못하게 하고, 소비자에게 신뢰성있는 약품만을 제공할 수 있게 된다.

전작계보는 문서 자체가 전자서명을 많이 담고 있는 보안문서로 문서의 내용에 담긴 내용에 대한 무결성을 제공한다. 현재의 EPCglobal의 전자계보는 약품의 정보와 전자서명을 담기 위한 XML 스키마, 전자계보 작성 및 추가 방법, 전자서명 방법 등을 정의하고 있지만, XML 스키마의 일부 수정만으로도 다양한 분야에 적용할 수 있을 것이다.

전자제품, 식품, 의류 등의 유통·물류의 산업에서도 많은 위조 제품들이 많고 이를 관리하기 위해 많은 비용을 지불하고 있는 것이 현실이다. 전자계보 기술을 이용하여 제품의 정보 및 유통과정 등에 대한 신뢰성 있는 정보를 소비자에게 제공함으로써 위조품의 유통을 방지할 수 있을 것이다.

<글 : 한국전자통신연구원 RFID/USN보안연구팀 최두호 팀장, 박남제 선임, 강유성 선임, 김태성 선임, 김주한 선임>

[월간 정보보호21c 통권 제101호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>