태그 내 정보 획득 쉬워... 해킹 툴 등장 프라이버시 침해 우려
태그와 리더 간 인증 시스템과 암호화 기술 사용해야

최근 유비쿼터스 환경 구축 사업이 각광을 받으면서 RFID 기술도 함께 발전하고 있다. 하지만 아직 RFID 기술이 프라이버시 침해라는 문제점이 있어 이에 대한 대비책이 필요할 것으로 보인다.

RFID(Radio Frequency Identification)이란 무선 주파수를 이용하여 사물에 부착된 태그로부터 사물의 정보 및 주변 환경정보를 인식해 이를 실시간으로 네트워크에 연결해 정보를 관리하는 것을 의미한다. 즉, 각 사물의 정보를 수집, 저장, 가공 및 축적함으로써 사물에 대한 원격처리ㆍ관리 및 사물간의 정보 교환 등 다양한 서비스를 제공한다. 이러한 RFID 시스템은 고유정보를 저장하는 태그(트랜스폰더), 판독 및 해독 기능을 수행하는 RFID 리더(판독기), 태그로부터 읽어 들인 데이터를 처리할 수 있는 호스트 컴퓨터로 구성된다.

고려대학교 정보보호대학원 이동훈 교수는 “현재 RFID 태그는 비접촉의 무선주파수통신을 이용해 정보를 주고받는데, 태그내의 정보가 정당한 리더기인지에 대한 확인 없이 정보를 전송한다”면서 “만약 태그 내에 중요한 정보나 개인정보가 아무 리더기에 정보를 전송하게 되면 개인의 정보 노출, 위치 추적 등의 프라이버시 침해 문제가 발생하게 된다”고 밝혔다.

또한 그는 “RFID 태그 해킹툴이 등장해 태그의 상품 내용을 바뀌거나 악용하는 사례가 발생하고 있다”며 “이를 해결하기 위해서는 태그와 리더 간에 상호 인증을 수행하도록 하거나 태그의 정보를 암호화 하여 사용해야 한다”고 강조했다.

다음은 고려대 이동훈 교수의 RFID와 개인정보보호에 대한 인터뷰 내용이다.

Interview
유비쿼터스 정보보호사업단/단장, 고려대학교 정보보호대학원 이동훈 교수
 

< 고려대학교 정보보호대학원 이동훈 교수>


태그와 리더 간 인증 및 암호화로 개인정보 보호 가능
모바일 환경 RFID, 개인정보 침해 방지 대책 방안 필요

RFID 기술로 인해 프라이버시 침해 문제점이 제기되는데 그 이유는?

RFID 시스템의 리더와 태그는 비접촉의 무선주파수통신을 이용해 데이터를 주고받는다. 태그는 주위의 리더의 신호에 반응해 자신의 고유정보를 리더로 전송한다. 즉, 태그는 주위 리더기가 정당한 리더기인지에 대한 확인 없이 자신의 고유 정보를 리더로 전송한다. 이런 특징은 개인의 정보 노출, 위치 추적 등의 프라이버시 침해 문제를 야기 시킨다. 즉, RFID 태그는 리더의 질의에 단순히 태그 고유의 정보를 전송하기 때문에 물건에 내장된 태그는 사용자가 다른 사람에게 알리고 싶지 않은 정보, 예를 들면, 고가의 물건의 소유, 특정 병력에 관한 약품 소지 등에 대한 정보를 제 삼자에게 제공할 수 있다. 또한 RFID 태그의 정보가 리더에 전송될 때, 태그와 리더의 통신에 제 삼자의 도청이 가능하게 된다. 공격자는 도청한 정보를 사용하여 사용자의 위치를 추적할 수 있기 때문에 문제점이 제기되는 것이다.

위의 문제점을 방지하기 위한 대비책은?

RFID 시스템의 태그와 리더 사이에 상호 인증이 필요하다. RFID 시스템에서 상호 인증이란 것은 태그의 측면에서 자신에게 질의 하는 리더가 정당한 리더라는 것을 확인 할 수 있으며, 리더의 측면에서는 자신의 질의에 응답하는 태그가 정당한 태그라는 것을 확인 할 수 있다. 이러한 인증 과정을 통해서 RFID 시스템이 가지는 특성에서 야기되는 사용자의 프라이버시 침해 문제는 해결 될 수 있다. 그 이외의 다른 방법은 태그가 리더로 전송하는 값을 암호화된 형태로 전송하여 제 삼자가 태그와 리더 간에 전송되는 값을 도청하더라도 어떤 정보도 얻을 수 없도록 하는 방법이다. 만약 이 경우에 태그가 항상 동일한 암호화된 값을 전송한다면 사용자의 위치 정보가 노출 될 수 있다. 이러한 문제를 해결한다면, 상호간의 인증이 필요 없이 사용자의 프라이버시 침해 문제를 해결 할 수도 있다.

RFID 해킹툴이 있다는데 어떤 프로그램이고, 발생할 수 있는 문제점은?

RFID 해킹 툴 ‘RFDUMP’를 소지한 사람이라면 누구나 전자태그의 정보를 읽고, 칩의 정보를 마음대로 바꿀 수 있는 프로그램이다. 이 소프트웨어가 보급될 경우 해커나 도둑들이 핸드리더 장비로 상품 태그에 담긴 내용을 마음대로 바꿀 수 있다. 비싼 상품의 가격을 낮게 바꿔서 셀프 계산대를 통과하거나, 미성년자들이 술ㆍ담배ㆍ성인영화 등의 태그에 담긴 내용을 변경해 구매할 수도 있다.

위의 해킹툴을 차단하기 위한 대비책은?

해결책은 사용자의 프라이버시 해결을 위한 기법과 동일하다. 즉, 태그와 리더 간에 상호 인증을 수행하도록 하거나 태그의 정보를 암호화 하여 사용하는 것이다. 첫째, 태그가 리더를 인증한다면 해커나 도둑이 소지한 리더에 대해서 자신의 정보를 전송하지 않을 것이다. 둘째, 리더가 태그를 인증 할 경우는 도둑이나 해커가 생성하여 저장한 태그가 인증 과정을 통과 할 수 없기 때문에 리더는 태그를 인식하고 처리하지 않을 것이다. 셋째, 태그는 리더의 질의에 암호화된 정보를 한다. 다만, 전송된 값의 변경 여부는 EPC 코드에서 제공하는 보안 레벨 부분의 데이터를 사용한다. 보안 레벨부분의 정보는 정당한 사용자만이 접근할 수 있다. 만약 해커나 도둑이 특정 태그의 값을 다른 태그에 저장했다면, 정당한 리더는 그 태그가 전송하는 값과 그 태그의 보안 레벨의 정보가 다르다는 것을 확인할 수 있다.

RFID 기술이 정보보호를 위해 나아가야 할 방향은?

RFID 태그는 배터리 유무에 능동형 태그와 수동형 태그로 나뉠 수 있다. 능동형 태그의 경우는 자체적인 배터리를 가지고 있으며 연산을 수행 가능하지만 수동형 태그의 경우는 자체적인 연산이 불가능한 실정이다. 그러나 현재 실생활에서 바코드 대체로 사용가능한 태그는 수동형 태그이다. 수동형 태그는 비용 측면, 실용적인 측면에서 실생활에 적용하여 사용하기 적합하다. 그러나 현재 사용되는 수동형 태그 기술은 태그가 기존의 바코드 보다 더 많은 양을 저장할 수 있으며, 비 접촉식 매체여서 관리 측면에서 유용하다는 저장매체로서의 기능을 제공할 수 있을 정도이다. 그러나 현재 RFID 태그의 사용으로 인해 우려되고 있는 사용자의 프라이버시 침해문제를 해결하기 위해서는 태그가 자체적인 연산을 수행 할 수 있어야 한다. RFID 태그의 칩 기술 발달로 태그의 연산 능력이 향상된다면, 태그와 리더간의 상호 인증 및 암호화 연산을 수행함으로써 사용자의 프라이버시를 보호 할 수 있을 것이다.

RFID의 국ㆍ내외 기술 동향은?

국내의 기술 동향은 태그 칩 제조사(필립스, 에일리언, 메트릭스 등)에서 웨이퍼를 공급받아 EPC0, EPC0+, ISO18000-6B, U-CODE 1.19 프로토콜을 지원하는 스마트라벨을 생산하는 것이 주를 이루고 있으며, 각 주파수 대역 별로 태그 칩을 수입해 안테나 가공이나 라벨링 작업 수준에서 벗어나 칩 자체를 개발할 수 있는 기술력을 확보하고 있다. RFID 태그의 소량 생산에 대한 경쟁력은 확보 되었으나 시장의 핵심 경쟁력인 대량 생산, 및 저가의 주문형 제품생산 능력은 미흡한 실정이다. 향후 RFID 태그 관련 기술은 ‘06년 까지 수동형의 단일 밴드/멀티 모드형, ‘06년도부터 ‘10년까지는 능동형의 멀티밴드/멀티모드형 태그가 주를 이룰 것으로 예측된다. 국외의 기술 동향은 최근 각 국가별로 RFID용 주파수가 배분되고 있으며, 기술표준에 있어서도 USN 네트워킹 개발, MDS (멀티코드 지원 개체검색 시스템 개발) 등 표준화 노력이 지속되고 있다. 또한, RFID 시스템을 유통-소매 분야에 도입함으로써, 재고관리 및 판매의 실시간 파악 등의 관리 비용 절감 및 수집된 정보에 의해 제품과 서비스의 판매 주기 관리 용이성을 제공하는 등 기업의 이윤을 창출하고 있다.

기타 알리고자 하는 내용은?

현재 모바일 RFID 에 관한 관심도 높아지고 있습니다. 이 분야는 세계적인 이동통신 인프라를 갖추고 있는 우리나라가 기술을 선도하고 있다. 모바일 환경에서의 RFID 사용도 사용자의 프라이버시를 침해 가능하다. 이 환경에서의 프라이버시 기법에 대한 연구를 통한 해결책도 고려해 모바일 RFID 기술을 연구한다면 우리나라는 세계 시장에서 높은 점유율을 차지하게 될 것이다.  
[박은수 기자(eunsoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>