군 탄약고ㆍ대형 물류센터 등 큰 혼란 올 수도

RFID 리더기 암호화와 위변조 기술개발 시급

2007 국방 정보보호 컨퍼런스에서는 유비쿼터스 환경의 핵심 기술로 급부상하고 있는 RFID 기술의 허점을 이용한 해킹 시연도 함께 이루어져 참가자들의 눈길을 끌었다. 

이날 해킹시연은 순천향대학교 정보보호 동아리 ‘시큐리티퍼스트’ 멤버들이 3개월간 준비한 내용으로, 현재 RFID 기술의 문제점들을 정확히 지적하면서 조속한 개선을 촉구했다.

RFID를 도입한 대형 물류센터에서 일하고 있는 해커는 RFID 시스템의 허점을 이용해 대량의 물품을 빼돌려 큰 돈을 벌기로 마음먹었다. 

우선 해커는 자신과 함께 근무하고 있는 상사인 김 과장이 자리를 비운 사이 그의 RFID 출입증 카드를 불법 복제했다. 불법 복제는 의외로 간단하게 이루어졌다. 김 과장의 출입증을 리더기에서 읽은 후, 그 입력값을 복사해 빈 RFID 카드에 그대로 붙여넣기 하면 간단하게 복제 카드가 만들어진 것이다. 

해커는 복제된 카드로 자신이 그동안 출입할 수 없었던 통제구역도 드나들 수 있었고 해당 카드를 이용해 물류센터 통합 DB서버에도 접근할 수 있었다. 이렇게 되면 해커는 물류센터의 모든 재고량에 대한 조작을 시도할 수 있게 된다.

해커는 통합 DB에 들어가 자신이 빼돌리려는 물품란에서 1000개라고 쓰여있던 숫자를 0으로 조작했다. 이제 해당 물품은 DB상에서는 존재하지 않는 물품이 되는 것이다.

해커는 관리자 몰래 해당 물품을 빼돌려 이를 전문으로 취급하는 브로커에게 넘기고 많은 돈을 벌 수 있었다.

김 과장은 다음날 통합DB에 들어가 재고량을 조사했지만 무엇이 문제인지도 발견할 수 없었고 물건이 없어진 사실도 알 수 없었다.

해커는 RFID 시스템의 허점을 이용해 간단하게 그리고 지속적으로 물품을 빼돌려 돈을 벌 수 있게 된 것이다.

해킹 시연을 준비한 시큐리티퍼스트 최상명 학생은 “RFID 도입시 보안 프로그램을 반드시 적용해야 한다. 특히 리더기에서 고유번호를 빼낼 수 없도록 암호화 처리가 돼야하고 카드의 위변조를 방지할 수 있는 방안이 마련돼야 한다. 그리고 물리적 보안을 통해 출입관리를 철저히 해야하며 사용자들의 보안 교육도 더욱 강화해야한다”고 강조했다.

군에서는 현재 탄약창고에 RFID 시스템을 적용해 탄약관리를 실재로 하고 있으며 일반 기업에서도 물류센터에 이 기술을 적용해 물류관리를 하고 있다. 만약 해커가 만음만 먹는 다면 탄약창고에서 탄약을 몰래 반출할 수도 있고, 대형 물류창고에서 물건을 빼내거나 가격을 조작할 수도 있어 큰 사회문제를 야기할 수 있다.

유비쿼터스 환경으로 가기위한 핵심 기술로 평가받고 있는 RFID 기술에 대한 보안은 앞으로 더욱 개선돼야할 것으로 보인다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>