RFID(Radio Frequency Identification) 시스템은 교통, 물류, 출입관리 등 다양한 분야에 적용될 수 있도록 많은 기술 개발이 진행되어 왔다. 국내에서는 수동형 RFID 시스템을 활용하는 시범 사업을 통해 유통물류, 도로교통정보 수집, 문서관리, 농수산물 이력관리, 폐기물 관리, 문화재관리 등의 신규 서비스 제공이 가능함을 입증하기도 했다.

다양한 RFID 응용 시스템 중 가장 혁신적이며 사용자의 피부에 와 닿는 응용 중 하나는 RFID 태그를 유가증권(예를 들면 수표, 지폐, 어음, 채권, 상품권, 양도성 예금증서 등)에 내장시켜 유가증권의 위변조 방지 및 효율적인 관리를 추구하는 RFID 기반 유가증권 보호 시스템이다.

기존의 유가증권 활용 환경에서는 컬러복사기, 스캐너, 디지털 인쇄기 등으로 유가증권을 위조하는 사례가 빈번하게 발생했다. 일례로 지난 2004년 K 도시가스의 한 직원이 자사의 기업어음을 컬러복사기로 위조한 후 시중은행에 제시하여 400억원 가량을 횡령한 사건이 있었고 2005년 문화관광부 국정감사에서는 도안과 특수문자, 홀로그램, 바코드까지 동일하게 사용된 시가 50억원에 이르는 불법 게임 상품권의 유통 움직임이 있었다는 경고도 있었다. 이렇듯 기존의 유가증권은 악의적인 공격자가 정교하게 위변조할 경우, 일반인뿐만 아니라 은행 담당자들도 속아 넘어갈 정도로 위변조 공격에 취약하다. 이러한 배경 속에서 유가증권의 위변조 취약점을 극복하고 또한 금융업무의 효율화를 위하여 유가증권에 RFID 기술을 적용시키려는 노력이 시작된 것이다.

유가증권에 RFID 태그를 내장시키는 주요 목적은 돈세탁을 방지하고 유가증권의 불법 유통을 추적하거나 위조지폐를 탐지해 내기 위함이다. 유가증권에 대한 추적 및 위조 탐지는 유가증권 발행, 유통을 책임지는 기관이 추구하는 목적인 반면 유가증권 사용자들은 프라이버시 보호 측면에서 볼 때 RFID 태그의 사용을 오히려 자신들의 프라이버시에 대한 보안 위협으로 생각할 수도 있다.

만일 아무나 유가증권에 포함된 RFID 정보를 읽을 수 있다면 유가증권을 소유한 사람은 자신이 가진 전체 유가증권 정보가 노출되어 범죄의 대상이 될 수 있다. 또한 누구라도 RFID 정보를 덮어쓸 수 있다면 공격자의 악의적인 금액 변경이 가능하므로 유가증권 유통 질서가 혼란해질 가능성도 존재한다. 그러므로 RFID 기반 유가증권 보호 시스템은 불법적인 읽기와 쓰기 공격에 대한 방어가 튼튼하도록 설계되어야 한다.

RFID 기반 유가증권 보호 시스템은 위의 주요 목적과 요구사항을 모두 만족하는 시스템으로 구현되는 것이 최종 목표지만 유가증권에 내장되는 RFID 태그 비용 및 기술 규격 발전을 고려하면 활용 환경에 따라 단계적인 해결 방안을 적용하는 것이 비용 대비 효과를 높이는 방법이 된다. 비용 부담 및 개발 어려움이 가장 큰 RFID 태그의 기능에 따라 단계적인 접근 방안이 가능하며 다음과 같이 요약된다.

● 제 1단계·읽기 전용 태그

제 1단계 해결 방안은 유가증권에 읽기 전용 RFID 태그를 장착하는 방안이다. RFID 태그에는 유가증권을 식별할 수 있는 일련번호가 저장되어 있으며 이는 변경되지 않는 고정 값이다. 그리고 제 1단계 환경은 일련번호에 대한 접근 제어 기능이 없기 때문에 모든 리더의 요청에 일련번호를 응답한다.

제 1단계 환경의 가장 큰 장점은 현재 상용화되어 있는 RFID 태그를 사용하여 비교적 저렴한 비용으로 유가증권의 제작이 가능하다는 점이다. 히다치의 뮤칩 또는 EPCglobal의 Gen2 통신 규격을 준수한 임핀지, 필립스, TI의 칩들이 대표적인 사용 가능 칩들이다.

실제 EPCglobal Gen2 규격은 사용자 메모리 영역을 별도로 정의하고 있어서 읽기/쓰기가 가능하도록 규정하고 있지만, 상용화된 많은 Gen2 태그들은 저가 구현을 위하여 단지 식별자 정보만을 응답하는 단순한 구조를 가지고 있으며 제 1단계 환경에서는 이러한 Gen2 태그의 활용을 전제로 하고 있다. 따라서 제 1단계 해결 방안은 컬러 복사기, 스캐너, 디지털 인쇄기 등에 의한 위변조를 방지할 수 있으며 신속한 계수 및 식별자 획득의 장점이 있다.

그러나 소유자가 지닌 RFID 기반 유가증권은 모든 리더들에게 자신의 식별자를 응답하기 때문에 오히려 공격자들에게 소유자가 유가증권을 가지고 있다는 사실을 노출시키는 프라이버시 침해의 빌미가 될 수 있으며 일련번호가 공격자에게 손쉽게 노출되기 때문에 일련번호에 대한 복제는 막을 수 없는 단점이 있다

● 제 2단계·읽기/쓰기 태그

제 2단계 해결 방안은 유가증권에 읽기/쓰기가 가능한 RFID 태그의 내장과 바코드 인쇄가 병행되는 방안이다. RFID 태그의 사용자 메모리 영역에는 유가증권 일련번호, 금액과 같은 정보와 어느 유통 지점에서 읽혔는지, 몇 번째 유통인지와 같은 유통 흐름 정보가 기록되며 위의 정보들은 정보관리 기관에서도 동일하게 유지한다. 

그리고 제 2단계 환경에서는 RFID 태그의 쓰기 동작은 패스워드에 의한 접근 제어를 하지만 읽기 동작은 별도의 접근 제어가 없다. 즉, 제 2단계 보안 대책은 ISO/IEC 18000-6 C 타입 규격의 읽기/쓰기 규칙을 준수하면서 비교적 저용량 메모리를 사용하는 환경을 전제로 한다.

제 2단계 환경의 가장 큰 장점은 국제 표준을 준용하는 RFID 태그를 사용하여 사용자 프라이버시가 강화된 유가증권 보호 시스템을 구축할 수 있다는 것이다. 제 2단계 해결 방안은 제 1단계 해결 방안에 비해 비용 증가가 예상되지만 점차 RFID 태그 기술의 발전과 더불어 현실적인 대안이 될 수 있을 것으로 판단된다.

그러나 제 2단계 해결 방안에서는 RFID 태그 읽기 동작에 대한 별도의 접근 제어가 없기 때문에 소유자 프라이버시 보호를 위해서는 RFID 태그의 사용자 메모리 영역에 기록하는 정보를 평문으로 저장해서는 안 된다. 즉, 저장 시 패스워드를 이용하여 암호화시킨 후에 암호문을 저장시켜 놓아야 하며 패스워드를 가진 리더에서만 그 암호문을 해독할 수 있어야 한다.

이러한 경우에 현실적으로 가장 큰 문제는 모든 리더들이 유가증권마다 해당 패스워드를 알아내야 하는 패스워드 관리 문제이다. 이러한 패스워드 관리 문제를 간단하게 해결한 것이 바코드 인쇄이다. 즉, 바코드에 패스워드를 기록해 놓는 것으로서 소유자가 유가증권을 제출했거나 또는 소유자가 지켜보는 가운데 바코드 스캐너를 통해 쉽게 패스워드를 얻을 수 있는 장점이 있다. 이렇게 확보한 패스워드를 이용하여 RFID 태그 정보를 암복호화하고 쓰기 동작의 접근 권한을 얻을 수 있다. 제 2단계 보안 대책은 제 1단계에 비해 소유자 프라이버시 보호가 향상된 것으로 볼 수 있는데, 이는 패스워드를 가진 리더만이 RFID 태그 정보를 해독할 수 있기 때문이다.

● 제 3단계·암호 연산 태그

제 3단계 해결 방안은 유가증권에 암호 연산이 가능한 고성능의 RFID 태그와 바코드 인쇄를 병행하는 방안이다. 제 3단계 환경은 RFID 태그가 충분한 메모리 공간과 자체적인 암호 연산 능력을 가지고 있어서 유가증권 일련번호와 같은 중요 정보뿐만 아니라 태그 식별자도 허가받은 리더에게만 공개되어 유가증권의 소유 자체도 노출시키지 않는 환경이다.

제 3단계 환경의 가장 큰 장점은 RFID 태그의 암호 연산을 통해 보안 통신이 강화됨으로써 제 1단계와 제 2단계의 단점을 극복한 안전한 시스템을 구축할 수 있다는 점이다.

그러나 수동형 RFID 태그에서 충분한 메모리를 보유하고, 메모리 읽기/쓰기에 대하여 패스워드를 이용한 접근 제어를 수행하며 또한 데이터 보호를 위한 대칭키 암복호, 해쉬 연산 등을 수행하는 것은 비용 측면이나 기술 수준 측면에서 지금 당장은 구현하기 어려운 전제 조건이라는 단점이 있다.

유가증권의 사용은 일상생활에서 매우 빈번하게 발생하는 금융활동이다. 유가증권 시스템에 RFID 기술을 적용하여 보안성 강화와 효율성 증대를 추구하는 것은 IT와 금융간의 융합 서비스 제공과 관련되어 있다. RFID 태그 기술 수준과 비용을 고려하면 머지않아 안전한 RFID 기반 유가증권 보호 시스템이 상용화될 것이다.

■ 능동형 RFID 기반 전자봉인(eSeal) 장치

유비쿼터스 사회로 가는 그 첫걸음에 RFID(Radio Frequency Identification) 기술이 위치하고 있음이 널리 인식되면서 많은 연구와 활용방안이 논의되고 있다. 화물 컨테이너 보호 분야도 그 좋은 예이다.

미국 정부는 2012년부터 미국으로 반입되는 모든 컨테이너 화물에 대해 운송 도중 컨테이너가 개폐되지 않았음을 확인할 수 있도록 미국 세관이 인정한 보안장치를 장착해야만 미국내 반입을 허락하는 법률을 통과시켰는데 미국과 교역이 많은 우리나라는 이를 대비해야 하는 상황이 되었다.

2006년에 통과된 미국 항만보안법(Safe Port Act)에 따르면 화물 컨테이너 잠금 장치를 규정하고 있는데 이에 해당될 수 있는 것으로는, 대표적으로 화물 컨테이너의 안전하고 효율적인 운송 및 화물 정보의 안전한 전달을 지원하는 전자봉인(eSeal: Electronic Seal)과 컨테이너 보안장치(CSD: Container Security Device)가 있다.

전자봉인(eSeal)은 433 MHz와 2.4 GHz 대역에서 동작되는 능동형 RFID 장치로서 화물 컨테이너의 문에 설치되며 컨테이너의 문이 비정상적인 형태로 개폐되거나, 또는 비정상적인 개폐가 시도될 경우 이를 감지하여 주변의 리더에게 알리고 그 이력을 유지하는 역할을 한다. 화물 컨테이너용 전자봉인 장치는 ISO TC104 SC4 WG2(국제표준화기구의 화물 컨테이너 기술위원회 산하 자동장치 인식 작업그룹)에서 국제 표준화 작업을 진행했으며 표준문서 번호는 ISO 18185 규격번호를 가지고 있다.

ISO 18185 규격은 세부적으로 ISO 18185-1부터 ISO 18185-5까지 5개의 파트로 구분되어 표준문서가 작성되었다. 따라서 능동형 RFID 기술을 사용하는 전자봉인 장치의 기술적 특징은 ISO 18185 표준문서에 정의되어 있다. 컨테이너 보안장치(CSD)는 2.4 GHz 대역을 사용하는 일종의 능동형 RFID 장치로, 화물 컨테이너의 내부에 장착되며 컨테이너 화물의 분실, 도난, 컨테이너 위치 추적 및 컨테이너 침입 탐지의 기능을 수행한다.

컨테이너 보안장치는 국제 표준화와는 별도로 미국의 GE를 중심으로 산업체 생산품으로 등장한 상태다. 2008년 하반기 현재까지는 ISO 국제 표준화를 통해 논의된 전자봉인(eSeal)과 산업체 생산품인 컨테이너 보안장치(CSD) 중 어느 기술이 실제 항만 물류에서 사용되게 될지는 미지수다. 따라서 능동형 RFID 기술의 상용화 동향을 파악하기 위해서는 전자봉인과 컨테이너 보안장치의 동향을 살피는 것이 필요하다.

● 전자봉인

화물 컨테이너의 효율적인 운송과 비정상적인 개폐 감지를 지원하는 대표적인 능동형 RFID 장치로 언급되는 전자봉인은 국제표준의 위상을 지니고는 있지만 기능적인 측면에서 보면 기존의 기계적 봉인장치에 단순히 원격에서 자동식별만을 지원하는 전기적 특징만 추가된 형태다.

전자봉인은 멀티밴드 물리계층 규격을 지원해야 하는데, 타입 A 물리계층은 433 MHz 원거리 링크와 OOK(ON-OFF Keying) 근거리 링크로 구성되며 타입 B 물리계층은 2.4 GHz 원거리 링크와 FSK(Frequency Shift Keying) 근거리 링크로 구성된다.

기술적으로 살펴보면 타입 A와 타입 B는 전혀 다른 기술이다. 전자봉인이 2개의 타입을 동시에 구현하고 있기 때문에 433 MHz 통신이 허용되는 국가에서는 타입 A 리더와 통신할 수 있고, 433 MHz 주파수 대역이 허용되지 않는 국가에서는 타입 B 리더와 2.4 GHz 대역에서 통신할 수 있으며 저주파 근거리 통신의 도움으로 컨테이너 위치를 파악할 수 있는 장점이 있다.

그러나 전자봉인은 전자봉인 상태 정보 이외에 컨테이너 화물 정보와 같은 중요 데이터를 가지지 않는다는 전제조건 때문에 데이터 보호 기술을 적용하지 않고 있다. 하지만 전자봉인의 본질적인 기능인 컨테이너 개폐 진위에 대한 원격 확인을 위해서는 잠금(Sealed) 또는 열림(Opened) 이벤트를 보호해야 할 정보로 정의할 수 있다.

즉, 언제 열리고 닫혔는지를 아무나 알 수 있다면 악의적인 공격자가 그 정보를 읽은 후에 컨테이너 문을 열고 물건을 바꿔치기 한 후에 다시 동일한 정보를 가진 새로운 전자봉인으로 컨테이너 문을 잠그면 도착지에서는 여전히 이전의 잠금 정보만을 읽게 되므로 이는 보안상 취약점이 된다. 따라서 전자봉인의 상용화를 위해서는 반드시 데이터 보호에 대한 대책을 강구해야 한다.

전자봉인 기술의 지적재산권과 관련해서는 타입 A, 타입 B 물리계층 규격에 대해 현재 미국 주요업체에서 지적재산권을 가지고 있다고 주장하고 있는 상황이다. 타입 A에서 정의하고 있는 전자봉인과 리더 사이의 433 MHz 통신 규격은 미국의 SAVI가 지적재산권을 가지고 있다고 주장하는 ISO/IEC 18000-7 표준의 주요특징을 그대로 준용하는 것으로, 2007년 5월 2일자 RFID Journal 기사에 따르면 미국의 SAVI는 2007년 6월 30일부터 ISO 18185 라이센싱 프로그램을 가동시킬 예정임을 밝힌바 있는데 우리나라에서는 2008년 하반기 현재 (주)케이피씨에서 SAVI와 라이센싱 계약을 맺고 있다.

그리고 이와는 별도로 미국 SAVI는 2006년 8월부터 ISO/IEC 18000-7 라이센싱 프로그램을 진행하고 있는 상황이다. 결국 화물 컨테이너에 전자봉인이 적용될 경우 ISO 18185 라이센싱 이슈는 크게 부각될 수 있을 것이다. 타입 B에서 정의하고 있는 전자봉인과 리더 사이의 2.4 GHz 통신 규격은 ISO/IEC 24730-2 표준의 주요특징을 그대로 준용하는 것으로서 저주파 근거리 통신 규격은 미국의 WhereNet이 지적재산권을 가지고 있다고 주장하는 Magnetic FSK와 관련된 내용을 담고 있다. 2007년 4월 26일자 RFID Journal 기사에 따르면, 미국의 WhereNet은 저주파 Magnetic FSK 기술과 관련된 라이센싱 프로그램을 진행하고 있다고 밝히고 있다.

● 컨테이너 보안장치

전자봉인은 국제표준 논의를 통해 등장한 기술인 반면 컨테이너 보안장치는 국제표준화 작업 없이 미국의 GE에서 독자적으로 개발한 RFID 장치이며, GE와 더불어 유럽의 지멘스, 한국의 삼성물산, 일본의 미쓰비시 등의 산업체를 중심으로 상용화가 추진되고 있는 기술이다.

기능적인 측면에서 보면 컨테이너 보안장치는 컨테이너 침입 여부를 확인하고 컨테이너 문의 개폐 상태 감지 및 컨테이너 이동상황에 대한 정보 제공이 가능하다. 그리고 컨테이너 보안장치는 장착 위치를 컨테이너 내부로 규정하고 있으며 악조건 해상 환경에 대한 견고성을 보장한다.

현재까지 공개된 컨테이너 보안장치의 특징과 제원만을 놓고 보면 컨테이너 보안장치는 기능적인 측면에서는 컨테이너 위치 인식 기능을 제외하면 ISO 국제표준인 전자봉인, 컨테이너 태그, 화물 태그의 기능을 모두 포함한다고 볼 수 있다. 통신 주파수 대역은 2.4 GHz 대역으로서 전 세계 모든 지역에서 별도의 허가 없이 사용할 수 있도록 목표하고 있으며 화물 정보와 공급망 관리 정보 및 컨테이너 이동상황과 관련된 이벤트를 보유할 수 있다. 또한 보유하고 있는 데이터의 안전한 전달을 위하여 Kerberos 네트워크 인증 서비스와 AES-128 데이터 암호화 기법을 사용함으로써 한층 보안성을 강화시킨 장점이 있다.

위와 같은 전기장치로서의 기능외에 전자봉인과 차이를 이루는 또 다른 특징 중 하나는 장착 위치가 컨테이너 내부라는 것이다. 전자봉인은 최종 목적지에서 봉인 케이블을 절단하거나 봉인장치 자체를 파손하므로 재사용이 불가능 하지만 컨테이너 내부에 장착된 컨테이너 보안장치는 최종 목적지에서 컨테이너 개봉 후에도 보유 데이터를 초기화시킨 후 재사용할 수 있다.

컨테이너 보안장치의 지적재산권과 관련해서는 이 장치가 국제표준이 아니라 산업체에서 독자적으로 개발된 제품인 관계로 범용적인 기술과 독자적인 기술이 혼합된 상태다. 2.4 GHz 통신, AES-128 암호화 연산, Kerberos 네트워크 인증 서비스 등은 널리 사용되고 있는 범용적인 기술인 반면, 컨테이너 내부 장착 후 센싱을 통해 컨테이너 개폐 여부를 판단하고 이벤트를 저장하는 기법에 대해서는 미국 GE에서 지적재산권을 보유하고 있다고 알려져 있다.

현재까지 컨테이너 보안장치에 대한 라이센싱 프로그램이 공개된 것은 없지만 화물 컨테이너 보호용 RFID 전자장치의 시장 형성 과정에서 상용화와 맞물려 컨테이너 보안장치의 라이센싱 이슈도 부각될 수 있는 여지가 남아있다.

화물 컨테이너 운송은 항만 물류, 항공 물류와 같이 비교적 대규모로 이루어지며 전 세계를 대상으로 하여 국가간 무역에서 중요한 역할을 한다. 화물 컨테이너 자체의 효율적 운송도 중요하며 컨테이너에 실려있는 화물에 대한 정보도 안전하게 유지되어야 한다.

화물 컨테이너 운송과 관련된 산업체와 국가기관에서 RFID 전자장치를 상용화함에 있어서 국가별 주파수 정책, 물류 비용의 적정성, 기술의 신뢰도, 국제적인 호환성, 관련 업체 및 국가기관들의 합의 등 다양한 조건을 고려하여 제품을 선택하고 인프라를 구축해야 할 것이다.

향후 RFID 보안기술의 발전 방향

태그와 리더를 통해 비접촉식으로 정보를 송수신하는 RFID 기술은 차세대 정보통신 환경으로 주목받고 있는 유비쿼터스 컴퓨팅 환경의 핵심기술이다. 그러나 RFID 기술의 특징은 편의성을 제공하기도 하지만 보안과 프라이버시를 침해할 수도 있다. 또한 사물의 지능화에 따른 정보의 기밀성, 완전성, 가용성 등에 대한 기술적, 법적 문제도 야기될 수 있다.

현재 개별적으로 추진되고 있는 보안 대책을 분야별, 대상별, 또는 수직적, 수평적으로 구분하여 정부기관과 산업체가 공동 참여하여 종합 대책을 수립하고 특성에 적합한 솔루션 등이 개발되어야 할 것이다. RFID 시스템에서의 보안과 프라이버시 강화 기술과 더불어 향후 정책적인 노력이 더해진다면 앞으로 안전한 RFID 이용 환경을 조성할 수 있을 것이며 RFID 기술의 확산 및 보급에 힘이 될 것이다.

<글 : 한국전자통신연구원 RFID/USN보안연구팀 최두호 팀장, 박남제 선임, 강유성 선임, 김태성 선임, 김주한 선임>

[월간 정보보호21c 통권 제101호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>