\r\n
.jpg)
\r\n
\r\n
\r\n
\r\n
\r\n해킹으로 문제 드러난 마이페어 카드
\r\n 공기업에서는 출입통제 카드?
\r\n\r\n
\r\n공공분야의 출입통제 문제가 다시 도마 위에 올랐다. 공공분야는 물론 일반기업에서 광범위하게 쓰이는 마이페어 카드(Mifare Card)의 보안강도가 문제가 되고 있지만, 새 전자공무원증을 사용하는 중앙정부기관을 제외한 대부분의 공기업은 아직 기존의 마이페어 카드 출입증을 사용하고 있다는 것이다. 비록 아직까지 출입증과 관련한 사고가 없긴 하지만 현재 사용 중인 시스템이 보안취약성이 명확한 만큼 서둘러 교체에 들어가야 한다는 것이 업계의 주장이다.
\r\n
\r\n
지난 2012년 10월 한 명예퇴직자가 정부청사에 무단으로 침입해 방화를 시도하고, 투신자살한 사건이 발생했다. 국가주요시설 가운데서도 핵심이라고 할 수 있는 정부중앙청사에 별다른 제지 없이 침입해 방화를 저지르고 투신자살했다는 사실에 많은 국민들이 큰 충격을 받은 사건이었다. 당시 행정안전부는 정부중앙청사 방화·투신사건 발생 3일 만에 정부청사 출입시스템 보강, 출입증 및 외부 방문자 관리 철저, 보안관련 지침과 매뉴얼 정비, 청사 외곽경비 강화, 경비대·방호원·직원 보안교육 강화 등의 내용을 담은 ‘출입보안 및 경비체계 강화 대책’을 발표했다. 그중에는 전자공무원증에 부착된 IC 칩에 대한 보안성을 한국조폐공사 등 관계기관과 협조해 주기적으로 점검하는 내용과 위·변조 공무원증으로 청사출입을 시도한 자를 적발할 경우 공문서 위·변조 행사죄를 적용해 엄중 처벌한다는 등의 출입증 및 외부 방문자 관리 대책도 포함됐다.
\r\n
\r\n
공공기관은 IC 카드, 공기업은 마이페어 카드?
\r\n
문제는 이러한 사건 후 공공분야의 출입통제에 대한 추가적인 조치가 제대로 이뤄지지 않았다는 것이다.
\r\n
\r\n
현재 대부분의 출입통제는 출입증을 통한 스피드게이트 통과로 이뤄진다. 그런데 출입증으로 흔하게 사용되는 마이페어(Mifare Card) 카드의 경우 암호화를 위한 Key 길이가 80비트 이하로 해킹이나 복제가 가능하다는 문제를 안고 있다는 것이다. 아이러니하게도 중앙정부기관과 지방정부기관의 경우 2008년 전자공무원증의 도입으로 IC 칩과 RF 카드를 혼용하는 콤비카드를 사용하고 있어 이러한 문제에서는 한 걸음 벗어났다(참고로 2010년 당시 사건에서 범인은 개방된 스피드게이트를 통과해 출입한 것으로 알려졌다).
\r\n
\r\n
문제는 공기업이다. 전자공무원증은 필수가 아닌 권고사항이기 때문에 중앙정부를 제외한 다른 곳은 상황에 맞게 선택할 수가 있다. 문제는 교체 비용이 들기 때문에 대부분 이를 변경하지 않고 그대로 사용하고 있다는 것이다. 물론 지방정부나 일부 공기업 등은 정부의 권고를 받아 전자공무원증이나 IC 카드를 도입했으며, 업계에서는 공공분야의 약 60%가 IC 칩이 적용된 카드를 사용한다고 보고 있다.
\r\n
\r\n
교통카드 해킹으로 기존 마이페어 카드 위험성 드러나
\r\n
일반 마이페어 카드가 문제가 되는 이유는 바로 보안의 취약성 때문이다. 이미 한국인터넷진흥원 등에서는 보안취약성이 약하다며 2010년 이후 사용하지 말 것을 권고 했으며, 대표적인 마이페어 카드인 교통 카드가 해킹당하는 등 실제 보안이 뚫리기도 했다.
\r\n
\r\n
마이페어 카드는 무선으로 근거리 통신을 하는 기술을 기반으로 하고 있으며 초반에 무선통신을 선점해서 레퍼런스가 많다. 대표적인 것이 바로 초기 교통카드로 모 은행카드에서 후불식 교통카드를 처음 출시한 것이 히트하면서 이슈가 됐다. 문제는 후불식 교통카드가 성공을 거둔 후 신용카드가 아닌 일반 후불식 카드가 마이페어 방식으로 출시되면서부터다. 마이페어 카드의 보안성이 취약한 것을 안 해커들이 카드를 해킹해 돈을 충전하면서 큰 문제가 된 것이다. 무엇보다 교통카드의 해킹 사건으로 마이페어 카드의 보안성이 문제가 됐음에도 불구하고, 아직까지 대부분의 공공분야에서 출입통제용 카드로 사용하고 있다는 것이다. 즉, 해킹만 하면 출입카드를 만들어 쉽게 침입이 가능하다는 이야기다.
\r\n
\r\n
특히, 전력, 전기, 발전소, 항만 등 국가주요시설로 분류되는 공기업의 상당수가 이 마이페어 카드를 사용하고 있는 것으로 조사되어 큰 우려를 낳고 있다.
\r\n
\r\n
이전대상 공공기관/공기업부터 시스템 교체 필요
\r\n
방송통신위원회와 한국인터넷진흥원(KISA)은 ‘암호 알고리즘 및 키 길이 이용안내서’를 통해 대칭키 암호 알고리즘으로 ‘SEED와 ARIA’를 이용하도록 권고하고 있으며, 특히 보안강도 80비트의 경우 2010년까지만 사용하고, 보안강도 112비트의 경우 2011년부터 2030년까지 사용하라고 권고했다.
\r\n
\r\n
문제는 키 길이 보안강도 112비트의 사용이 필수가 아닌 선택, 즉 권고사항이기 때문이다. 이미 80비트인 마이페어 카드의 해킹으로 보안취약성이 드러났음에도 불구하고 권고사항에 머문 것은 아마도 카드시스템 교체에 따른 비용 때문일 것이다. 물론, 전체 시스템 교체에 따른 비용은 상당할 것이다. 또한 해당 기관이나 담당자 입장에서는 당장 큰 사건이나 사고가 없었고, 정부나 법에 의한 강제성도 없기 때문에 굳이 IC카드 기반의 시스템으로 교체할 필요가 없다고 느낄 수도 있다. 하지만 이미 현재 사용하고 있는 마이페어 기반의 교통카드가 해킹 당함으로써 보안위험성이 충분히 드러났는데도 이를 무시하고 사용한다는 것은 결국 무사안일주의에 지나지 않는다. 비용이 문제라면 두 손 놓고 있는 것이 아닌 어떻게든 비용을 마련하는 것이 우선일 것이다. 또한 정부역시 이런 상황을 인지하고 비용마련에 힘써야 할 것이다.
\r\n
\r\n
최근 혁신도시에 공공기관과 공기업이 이전을 앞두고 있는 곳이 많다. 우선 이전을 앞두고 있는 곳부터 비용을 마련해 우선적으로 바꾸는 것도 한 방법이 될 것이다. 우리는 그동안 소 잃고 외양간을 고쳤던 일이 너무나 많았다. 심지어 소를 잃은 후에도 외양간을 고치지 않아 다시 소를 잃었던 경우도 있다. 보안과 안전은 투자의 대상이 아니다. 최소한 보안과 안전에 문제가 발견됐다면 다른 무엇보다 그 문제를 해결하는 것이 우선이 돼야 할 것이다.
\r\n
\r\n
\r\n
<글 : 원병철 기자>
\r\n
\r\n
[월간 시큐리티월드 통권 제211호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>
