• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“전자여권 통해 바이오인식 발전할 것” 2007.03.28

바이오인식정보시험센터 “전자여권 취약점 대응할 것”


정부가 내년 하반기 중 전자여권을 발급할 계획이라고 밝히면서 전자여권의 보안이 뜨거운 쟁점사항으로 떠오른 가운데, 한국정보보호진흥원 바이오인식정보시험센터(K-NBTC)는 27일 “바이오 정보를 인가된 사용자만 읽을 수 있게 하는 데이터 가로채기 방지 방안 등을 마련해 취약점에 대응하겠다”고 밝혔다.


국가정보원이 27일 실시한 ‘정보보증 기술 심포지움’의 ‘미래 정보보호 기술’ 세션에 참가한 K-NBTC는 ‘바이오인식 정보보호 및 표준화’라는 주제발표를 통해 전자여권 도입에 앞서 필요한 요구사항을 분석하고 “전자여권 사업 추진을 통해 2007년을 바이오인식 원년의 해로 삼을 것”이라고 말했다.


K-NBTC는 전자여권의 취약성으로 꼽히고 있는 데이터 가로채기를 이용한 복제, 비밀 스캐닝과 트래킹, 바이오 인식 정보 취약성, 암호학적 취약성 등에 대해 데이터 변조 방지, 여권발급의 적법성 보장, 데이터 암·복호화로 칩 복제방지 방안 마련, 전자여권과 리더기 사이에 안전한 통신채널 형성 등을 대응방안으로 내세웠다.


K-NBTC는 “전자여권은 이 외에도 다양한 신규 취약점이 발생할 수 있으므로 인증, 암호화 관련한 국제표준규격의 가이드라인을 마련해 대책수립을 권고할 것”이라고 말했다.

 


전자여권 보안에 대한 가장 중요한 쟁점사항은 RFID 기술이다. 보안이 고려되지 않는 RFID 태그에 대한 무제한적인 접근 허용은 개인의 프라이버시 침해를 비롯, 불법정보 수집 수단이 될 수 있고, 해킹과 바이러스 확산 가능성이 높아진다는 문제점이 제기되고 있다.


이러한 문제점에 대해 한국전자통신연구원 정보보호연구단은 같은 세션에서 ‘RFID 보안기술 현황 및 발전추세’라는 제목의 발표를 통해 “RFID의 정보보호 기술을 개발하고 있다”며 RFID의 정보보호 기술을 설명했다.


안전한 RFID를 위해 한 태그의 응답을 다른 태그의 응답과 구분하지 못하도록 해 공격자의 추적을 막고, 공격자에게는 태그가 응답하지 않도록 하며, 태그의 ID를 공격자가 알 수 없게 한다. 상품을 구매한 후 소유자가 아닌 제3자가 임의로 접근할 때 접근제어를 수행하도록 한다.


국정원 “정보통신 기반시설 대상분야 확대”


이날 행사에서는 국정원이 추진하고 있는 국가 정보보안 정책과 주요기반시설 보안관리, 최근 사이버위협 실태와 방안에 대한 세션이 마련됐다.


특히, 정보통신 기반시설 보호법에 대해 국정원은 “현행법은 정보통신 기반시설 대상이 정보통신 분야와 금융 분야에 집중적으로 몰려 있으며, 시스템 일부에 대해서만 기반시설로 지정돼 있어 실제적인 보호가 이뤄지지 않고 있다”며 “개정안은 대상분야를 확대하고 시설도 시스템 전체로 확대해 정보통신 기반시설을 보호할 수 있도록 했다”고 밝혔다.


국정원 관계자는 “정보통신 기반시설 보호에 있어 더욱 심각한 문제는 대책과 계획을 수립하고도 실제 현장에서 이행되지 않는 것”이라며 “각 시설의 특수성을 고려한 취약점 분석평가와 사후조치가 마련돼야 한다”고 강조했다.


정보통신 기반시설 보호와 관련한 또 하나의 중요한 문제는 자료 등 문서관리가 제대로 이뤄지지 않고 있다는 것이다. 지난해 말 국정원이 실시한 한 기관의 취약점 분석 자료가 대외비가 아닌 일반문서로 분류, 방치되다가 외부로 유출된 바 있다. 이 자료에는 관계기관의 취약점 분석도 있어 큰 문제가 됐다.


이 외에도 국회에 보고된 대외비 문건이 사라져 언론에 유출되는 문제도 심심치 않게 일어나고 있는 등 외부에 공개되는 자료가 관리되지 못하는 보안취약성도 심각한 수준이다.


국정원 관계자는 “중요한 문서는 대외비로 분류하고 잘 관리하며, 외부에 공개할 때는 가능하면 구두보고로 대신하도록 하는 것이 좋다”고 밝혔다.


정보통신 기반시설 보호법은 지난해 12월 국무회의를 통과하고 국회에 상정돼 있다. 국정원은 내년 1월 이 법이 시행될 것으로 예상하고 있다.


한편, 국정원은 최근의 사이버 위협 대응방안에 대한 발표를 통해 “UCC(사용자 제작 콘텐츠) 활성화와 함께 앞으로 이를 이용한 사이버 위협이 크게 증가할 것이며, 윈도우 비스타와 MS 오피스를 목표로 한 위협이 강화될 것”이라고 전망했다.

[김선애 기자(boan1@boannews.co.kr)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>