불법 판독기·위변조 등 개인정보 대책 강구돼야

전자여권 프로파일은 내년 하반기 시행예정으로 정부에서 적극적으로 추진하고 있는 정책이다. 이 때문에 보호프로파일에 대한 관심도 여느 제품보다 높았다. 전자여권의 경우 IC 칩 내에 포함돼 있는 사용자 데이터에 대한 개인정보보호를 중점으로 진행됐다.

이준호 한국정보보호진흥원 연구원은 사용자 데이터는 인가된 판독기에서만 사용돼야 하며 전자여권 IC 칩 내 사용자 데이터를 보호하기 위한 대책이 강구돼야 한다는 것이다. 특히 전자여권이 개발부터 발급되는 과정에서 위협원으로부터 침해받지 않았음을 보장하기 위해 전자여권의 개발에서 발급까지 각 단계별 관리적, 물리적, 인적 보안대책이 수립돼야 한다고 설명했다.

위협요인으로는 판독기간 통신을 도청해 사용자 데이터를 노출하거나 지문·홍채와 같은 바이오 정보 접근 가능성, 전자여권 판독기를 모방한 장비를 이용해 비인가된 비접촉식 통신 채널 이용 등이 제기됐다.

이에 대해 운영환경에서 사용돼서는 안되는 기능이 악용되지 않도록 기능악용방지가 이뤄져야 하며 바이오정보보호는 안면을 제외한 지문·홍채와 같은 바이오 정보에 대해 EAC를 통해 접근이 허가된 판독기에만 읽기 권한을 부여해야 한다고 제안했다. 또 정상적으로 사용되는 전자여권 IC 칩이 누출하는 정보가 악용되지 못하도록 대응책을 마련해야 한다.

이준호 연구원은 “사용자 데이터 및 TSF 데이터는 발급 단계 이후에 발급기관과 같은 인가된 사용자만이 암호 키를 통한 적절한 인증 과정을 거쳐야 한다”며 “인가된 판독기는 BAC, EAC 보안 메커니즘을 통해 접근 권한을 획득할 수 있도록 해야 한다”고 말했다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>