구독상품안내
마침내 한국이 세계 37번째로 전자여권 사용국 대열에 합류했다. 지난 4월 15일 미국 방문길에 오른 이명박 대통령은 대한민국 제1호 전자여권을 처음으로 사용했다. 이르면 오는 8월부터는 일반 국민에게 전자여권이 발급된다.
국내 전자여권 발급을 놓고 찬반 여론이 분분하다. 출·입국 심사에서 정확한 개인 신상을 확인할 수 있어 테러 같은 범죄를 예방할 수 있다는 의견이 있는 반면, 아직 보안상의 문제가 남아 있어 개인 정보가 유출될 수 있다는 우려도 있다. 전자여권의 작동 원리와 보안 기술을 5문 5답으로 풀어봤다.
Q1 지문정보는 없다?
전자여권의 외관은 기존의 종이여권과 똑같다. 다만 여권 앞표지 아래에 전자여권임을 나타내는 로고가 인쇄돼 있고, 뒤표지에 전자칩이 내장돼 있다. 전자칩은 종이 사이에 들어 있기 때문에 겉에서는 보이지 않는다. 전자여권의 핵심은 뒤표지의 전자칩이다. 전자칩에는 종이여권에 기재된 신상 정보(여권 유형, 발행국, 성명, 여권번호, 국적, 생년월일, 발행일, 만료일, 성별, 주민등록번호 뒷자리)가 그대로 수록됐다. 신상 정보를 종이와 전자칩에 이중으로 수록한 셈이다. 왜 그럴까.
외교통상부는 “여권의 위·변조를 원천적으로 차단하기 위해서”라고 이유를 밝혔다. 동일한 정보를 신상정보면과 전자칩에 수록해 양쪽을 동시에 조작하지 못하도록 하는 한편, 실제로 어느 한 쪽이 조작됐을 경우 이를 자동적으로 식별해내도록 한다는 말이다.
전자칩에는 신상정보 외에 생체정보가 추가됐다. 현재로서는 얼굴정보가 유일하다. 지문정보는 2010년부터 담긴다. 국제민간항공기구(ICAO)는 전자여권에서 얼굴정보를 필수 사항으로, 지문이나 홍채정보는 선택사항으로 규정하고 있다. 얼굴정보는 꼭 넣되 지문이나 홍채정보는 나라별 상황에 따라 선택하라는 것.
일각에서는 얼굴정보의 인증률이 60~70%로 낮기 때문에 90% 이상으로 인증률이 높은 지문정보를 되도록 빨리 포함시켜야 한다고 주장한다. 얼굴정보의 경우 나이가 들거나 성형 수술을 하면 본인을 확인하는 데 한계가 있는 것이 사실이다.
Q2 교통카드와 같다?
전자여권에 수록된 전자칩은 정확히 말해 ‘비접촉식 IC칩’이다. 쉬운 예로 교통카드를 생각하면 된다. 전파(radio wave)를 발신하는 안테나와 신상정보를 담은 칩으로 구성된 일종의 전자태그(RFID) 시스템이다. 전자칩은 어떤 원리로 작동할까.
판독기(reader)가 전파를 보내면 안테나가 이를 받아 전자칩을 작동시키는 전력으로 바꾼다. 칩은 이 전력을 이용해 신상정보와 얼굴정보가 담긴 신호를 판독기에 되돌려 보낸다. 판독기는 이렇게 전파로 되돌아온 정보를 토대로 개인의 신원정보를 확인한다.
교통카드의 경우 메모리에 사용자의 거래정보가 기록된다면 전자여권은 신원정보가 기록되는 셈이다. 이때 판독기가 전자칩을 읽을 수 있는 최대 거리는 약 5cm다. 판독기에서 5cm 이상 거리가 떨어지면 전자칩은 ‘무용지물’이라는 얘기.
전자여권은 RFID 시스템을 사용한다는 점에서 기본적으로는 교통카드와 동일하다. 하지만 엄밀히 말해서 전자여권은 교통카드가 진화한 형태다.
교통카드는 요금을 신속하고 정확하게 지불하는 일이 제일 중요하다. 이 때문에 지갑 안에 교통카드가 여러 장 겹쳐 있을 때 1장만 결제되도록 하는 인식충돌방지(anti-collison) 기술이 필요하지만 이런 문제를 제외하고는 정보 전송 속도가 빠르지 않아도 된다. 교통카드는 초당 100kb면 충분하다.
반면 전자여권의 경우 얼굴정보가 사진으로 포함되기 때문에 사진정보를 단말기로 읽어오는 데 시간이 걸린다. 아직까지는 판독기가 전자여권을 읽는 속도가 초당 100kb로 다소 느리기 때문에 전자여권으로 신원을 확인하는 데 약 10초가 걸린다. 현재 판독기의 속도를 높이는 연구가 진행 중이다.
한편 여권에 전자칩을 심었다고 해서 무조건 전자여권으로 인정되는 것은 아니다. 말레이시아의 경우 현재 전자칩을 내장한 여권을 발급하고 있지만 ICAO의 규정을 따르고 있지 않아 여권 표지에 전자여권임을 나타내는 로고가 없다. ICAO는 칩 용량을 최소 32kB로 할 것을 권고하고 있지만 말레이시아 여권의 칩 용량은 8kB에 불과하며, 생체정보로도 지문정보만 수록하고 있다.
Q3 해킹이 쉽다?
지난해 10월 UCC사이트인 ‘유튜브’에 영국의 BBC가 제작한 전자여권 해킹 동영상이 게재돼 물의를 빚었다. 동영상에는 한 남자가 불과 5분 만에 전자여권의 칩을 복제해 똑같은 전자여권을 만들어내는 장면이 담겨 있다.
그는 시중에서 200유로(약 30만 원)를 주고 산 RFID 판독기로 전자여권의 신상정보와 사진을 읽어냈고, 자신이 제작한 소프트웨어로 칩의 정보를 컴퓨터에 내려 받은 뒤 이를 새 칩으로 옮겼다.
이 동영상이 알려지면서 국내에서는 전자여권이 과연 해킹으로부터 안전한지의 문제가 뜨거운 감자로 떠올랐다. 정말 전자여권에 보안 문제가 없을까?
동영상처럼 다분히 의도적이지 않는 이상 일차적으로 해킹은 불가능하다. 무엇보다도 전자칩 자체를 위조하거나 변조하는 일이 원천적으로 어렵다. 전자칩이 ‘3중 철통’ 보안 기술을 채택하고 있기 때문이다. 우선 전자여권의 신원정보면을 광학 판독해 자외선과 홀로그램 등을 통해 신원정보면이 위조됐는지 확인한다. 그리고 여권번호, 생년월일, 만료일로 구성된 기본접근통제(BAC) 키를 추출한다.
이 과정을 통과하면 판독기가 전자칩에 전파를 전송하고 전원을 공급받은 전자칩이 작동을 시작하면서 판독기에 BAC 키를 요구한다. 추출한 BAC 키와 요구한 키가 일치해야만 다음 단계로 넘어간다. 즉 BAC는 전자칩에 대한 정보 접근이 허용되지 않는 한 접근을 원천적으로 차단하는 보안 기술이다. 이는 전자여권을 펼치지 않고도 칩 안의 정보를 외부에서 읽거나 칩과 판독기 간 통신을 외부에서 도청할 가능성을 막는다.
다음 단계는 전자칩의 위·변조 여부를 확인하는 과정이다. 수동적 인증(PA)은 전자서명을 똑같이 할 수 없다는 점에 착안해 칩 내용이 발급 뒤 변경되지 않았음을 확인하고, 칩 인증(CA)은 칩 복제 여부를 확인한다. 이런 일련의 과정을 순차적으로 통과해야 비로소 칩에 담긴 정보가 전송된다. 그리고 최종적으로 칩의 신원정보와 여권의 신원정보면에 기재된 정보를 비교해 신원을 확인한다.
Q4 남극에선 못 쓴다?
전자칩은 얼마나 튼튼할까. 여권을 소지한 사람이 실수로 혹은 고의로 전자칩을 파괴할 수 있다. 하다못해 출입국사무소에서 도장을 너무 힘차게 찍어도 전자칩이 훼손될 수 있다. 너무 덥거나 너무 추워서 전자칩이 제대로 작동하지 못하면 어쩌나.
이런 문제가 발생할 것에 대비해 외교통상부는 10만 회 이상 전자여권의 신뢰성과 내구성 검사를 마쳤다. 이에 따르면 전자여권은 영하 35℃에서 영상 80℃ 사이에서는 제대로 작동한다. 남극이 따뜻한 달에는 영하 30℃정도니 이때는 남극에서도 전자여권을 사용할 수 있는 셈이다.
혹 여권을 재킷 주머니에 넣어둔 채 깜빡하고 세탁기를 돌렸더라도 너무 걱정할 필요는 없다. 30℃ 물에 합성세제를 넣고 45분 정도 놔둬도 전자칩은 끄떡없다.
Q5 최초의 생체신분증이다?
사실 전자여권은 최초의 생체신분증이 아니다. 지난 2005년 해양수산부(현 국토해양부)가 세계 최초로 지문 정보가 저장된 선원신분증명서를 개발했기 때문이다. 선원신분증명서는 각 국의 선원들이 외국 항에 출·입국할 때 자신의 신분을 증명하는 신분증이다.
지난해 8월에는 현행 플라스틱 주민등록증을 대체할 새 전자주민증의 시제품이 공개됐다. 신용카드 크기의 전자주민증 앞면에는 이름과 생년월일, 성별, 사진 등이 담기고 주민등록번호와 주소, 지문 같은 개인정보는 전자여권과 마찬가지로 전자칩에 수록됐다.
현재 국내에서는 외교통상부의 전자여권 사업을 계기로 전자주민증사업(행정안전부), 출입국관리사업(법무부), u-디펜스사업(국방부), u-스쿨 출결관리사업(교육과학기술부) 등 생체인식 기술을 도입한 사업이 추진되고 있다.
