|
RFID 환경에서는 사물단위의 정보화가 이루어져 보다 신뢰성 있는 정보 전달이 가능해 질것이지만 현재의 RFID 기술은 보안 기능이 매우 취약해 태그의 변조, 위장 리더, 서비스 거부 공격 등 수많은 위협에 노출되어 있다. RFID는 우리의 사생활 영역 깊숙하게 파고 들것이며 기업 및 공공기관에서의 활용범위도 커져 갈 것이다. 이 때문에 RFID 정보보호 문제는 반드시 해결되어야 하며 네트워크 가용성(availability)을 훼손하는 일이 없이 안정적인 망 구축이 되어야 할 것이다.
RFID 환경에서는 사물단위의 정보화가 이루어져 보다 신뢰성 있는 정보 전달이 가능해 질것으로 예상되나 현재의 RFID 기술은 보안 기능이 매우 취약하여 태그의 변조, 위장 리더, 서비스 거부 공격 등 수많은 위협에 노출된 상태다. 특히 개인 프라이버시 문제가 가장 심각한 위협으로 지적되고 있다.
RFID 환경의 정보보호 필요성에 대해서는 다양한 견해가 존재할 수 있다. 저가의 물품에 부착된 RFID 태그 정보의 도청을 심각한 위협으로 여기지 않을 수도 있으며 RFID 태그의 전파 전달거리가 매우 작아서 도청 시도 자체가 근접거리에서만 가능할 것이므로 쉽게 알아낼 수 있을 거라는 의견도 있다.
그러나 RFID의 활용이 저가의 물품에만 한정된 것이 아니고 개인의 사생활 영역에 깊숙하게 파고 들것이며 기업 및 공공기관에서의 활용범위도 커져 갈 것이다. 따라서 RFID 정보보호 문제는 반드시 해결되어야 하며 또한 네트워크 가용성(availability)을 훼손하는 일없이 안정적인 망 구축이 되어야 할 것이다.
RFID와 개인정보보호
RFID 태그가 모든 사물에 부착되어 보편화될 경우, 개인정보 침해 및 유출에 따른 보안 문제가 중요한 사회적 이슈로 대두될 것이 확실시된다. 사전에 법, 제도적, 기술적 대응책을 함께 마련함으로써 RFID 확산 장애요인을 최소화해야 한다.
RFID는 단순히 유통망의 효율성을 향상시키는 수단으로서 뿐만 아니라, 개별 상품이나 서비스 단위에 적용되거나 일반적인 상거래 행위와는 달리 특별한 보안 등의 목적으로 이용될 때에는 경우에 따라 개인에 대한 추적을 비롯하여 개인정보 침해의 가능성이 있기 때문에 이를 적절하게 통제해야 한다.
RFID의 기술특징이 정보의 고도유통성을 전제로 한다는 점에서, 대체로 개인정보관리주체에 대한 규제를 주된 내용으로 하는 기존 개인정보보호 법제의 체제로는 RFID 기술로 우려되는 침해유형을 감당하기 어렵고 기술특성에도 적합하지 못하여 규제의 실효성을 확보하기 힘들다고 보이기 때문이다. 오히려 당해 정보의 당사자간에 공정한 서비스계약 체결과 그 준수를 조력하는 데에 규제정책의 무게가 실려야 할 것이다.
 따라서 RFID 기술에 대한 충분한 인식이 있는 상황에서 개인정보와 관련되는 서비스 수준 계약(Service Level Agreement)의 모델을 활용할 필요가 있으며 그 전제조건으로 정보주체는 자기정보통제권을 정보관리주체는 정당한 정보수집 권한을 인정받아야 할 것이다. 즉, 양자의 대등한 구도를 상정하는 규제책의 마련이 필요한 것이다.
RFID의 사용이 유용한 면도 있겠지만 RFID 기술의 일부 특징은 프라이버시와 시민의 자유를 침해하는 방향으로 도입될 수 있다. 표 1은 EPC에서 RFID 프라이버시 위험요인을 분석한 표로서 RFID 기술의 위험요인을 정리한 것이다.
RFID 주요 보안 취약점과 프라이버시 위협 요인
일반적으로 많이 알려진 RFID 환경에서의 보안 취약점을 살펴보면 다음과 같다.
■ 정보 유출(데이터 보안 문제)
RFID 태그 내부에 저장된 사용자의 비밀정보가 공개되어 프라이버시 침해가 발생될 수 있다.
■ 추적 가능성 (위치 프라이버시 문제)
RFID 태그에 저장된 정보의 내용이 노출되지 않는 경우라도 RFID 태그가 가지는 고유한 값을 통한 사용자의 위치추적이 문제될 수 있다.
■ 전방향 프라이버시 (Forward Privacy) 문제
일시적으로 공격자에게 태그의 비밀 정보가 노출되었다고 하더라도 그로 인하여 그 태그와 관련된 사용자에 대한 이전의 모든 행적이 다 노출될 수 있다. RFID 네트워크 환경에서 RFID 기술 도입에 따른 주요 프라이버시 위협사항은 다음 표 2와 같다.
다음은 RFID 시스템의 구성요소에서 침해를 유발하는 공격 기법 및 보안 취약점에 대해 살펴본다. 일반적으로 많이 알려진 RFID에 대한 일반적인 공격기법을 살펴보면 다음과 같다.
■ 도청 공격
RFID 시스템은 바코드 시스템과 달리, 효율성을 높이기 위해 수 미터 범위 내에서 도 리더와 태그 간에 통신이 가능하도록 되어있는 라디오방식이기 때문에 누구든지 태그에 접근하여 태그의 출력 값을 얻을 수 있어, 인가되지 않은 리더가 적절한 접근제어기능이 없는 태그에 접근하여 프라이버시를 침해하는 보안의 문제점을 갖는다.
도청공격의 형태로는 공격자가 리더를 갖고 태그를 스캐닝(scanning)하는 적극적 공격과 리더와 태그 간 통신을 무선으로 수신하는 수동적 공격이 있다.
■ 트래픽 분석
리더와 태그 간 통신 중 트래픽 분석을 통한 위협이 존재한다. 공격자가 어떤 특정 지역 내지 특정 태그에서 리더와 태그간의 트래픽 분석에 의한 통계 기반의 식별정보를 추적할 수 있다면 공격자는 그 지역에서 어느 정도의 트래픽이 존재하는지, 어느 정도의 물품이 존재하고 빠져나가는지에 대해서 알 수 있다.
■ 재전송 공격 (Replay Attack)
RFID 시스템은 공격자가 도청으로 획득한 정보를 이용하여 정당한 태그로 가장하여 공격할 수 있다.
■ 스니핑(Sniffing), 스캐닝(Scanning), 스푸핑(Spoofing) 공격
네트워크상에서는 데이터 패킷들이 전송될 때 TCP/IP 프로토콜 특성상 정확히 한 호스트를 향해서만 전송되지 않고 동일한 서브네트워크에 속해는 호스트들에게 모두 전송이 된다. 이때 각 호스트들은 패킷들이 자신을 목적지로 전달된 것인지 확인을 하고 만약 자신을 목적지로 된 패킷이라면 이 패킷을 받아들이게 된다. 그러나 다른 호스트를 목적지로 전달된 패킷도 네트워크 장치에서 볼 수가 있다. 이렇게 네트워크상에서 전달되는 모든 패킷들을 감시하는 것을 스니핑(Sniffing)이라고 부른다.
스캐닝(Scanning)은 상대방의 네트워크에 어떤 종류의 컴퓨터들이 있고 OS의 버전과 네트워크 데몬들의 목록을 알아내는 것이다. 이는 보통 침입을 위한 전단계로 볼 수 있다.
공격자가 정당한 리더로 가장하여 태그에 질의함으로써 태그로부터 인증정보를 획득할 수 있거나 공격자가 상품의 태그를 이용하여 유인 태그를 만든 후 실제 제품과 바꾸는 태그 스푸핑(Spoofing) 공격이 발생할 수 있다.
■ 태그 복제
공격자는 도청한 데이터의 해독, 부채널 공격(Side channel Attack) 등을 통해 태그의 정보를 복제할 수 있다.
■ 메시지 유실
공격자에 의한 서비스 거부나 무선 통신에 방해가 되는 잡음 등의 문제로 인해 전송되는 데이터가 훼손, 유실될 수 있다.
■ 서비스 거부(DoS, Denial of Service) 공격
서비스 거부(DoS) 공격이란 공격자가 여러 대의 장비 또는 시스템을 이용해 표적 시스템이 처리하지 못할 정도의 엄청난 데이터를 집중적으로 전송함으로써 표적 시스템의 정상적인 기능을 방해하는 것을 말한다. 공격자는 태그의 수를 급격히 늘리거나 전파방해 등을 통해 서비스 거부 공격을 시도할 수 있다.
■ 물리적인 공격 방법
단순 전력분석(SPA, Simple Power Analysis) 및 차분전력분석(DPA, Differential Power Analysis), 칩 내부 공격(Chip rewriting attack), 메모리 잔류정보 분석 공격(Memory remanence attack) 등이 있다.
RFID 보안 및 안전성 요구사항
표 3은 RFID 시스템에서 제공하고자 하는 보안 서비스 및 보안 서비스별 주요 정보보호 요구사항을 정의하고 있다. 이러한 서비스에 대한 요구사항에 맞추기 위해 가변 보안이 사용된다.
RFID 보안을 위한 주요 기술방안
■ 태그 기능정지 방안
● Kill 명령어 기법
EPC를 위한 저가형 태그에 프라이버시 문제를 보완하기 위해 사용자가 제품을 구매하는 순간 리더의 ‘Kill (무효화)’ 명령을 통하여 제품에 부착된 태그가 더 이상 동작하기 않도록 하는 방안이다.
이러한 방법은 태그 재사용이 불가하므로 그 응용성이 상당히 제한되므로 실생활에 유익하고 편리한 서비스를 제공할 수 없다.
● Sleep 명령과 Wake 명령어 기법
‘Kill’ 명령의 단점을 보완하기 위해 사용자의 태그의 기능을 잠시 동안 정지하였다가 안전한 장소에서 다시 동작하도록 하는 명령이다. 이 기능은 사용자가 키 관리를 비롯하여 각 태그의 동작을 일일이 관리해야하는 불편함이 있다.
■ 물리적 해결방안
 태그의 기능을 유지하면서 사용자가 원하지 않는 리더기와 자신의 태그 사이의 통신을 막는 주용 물리적 해결방안은 다음과 같다. 이러한 방법은 특정 응용 분야에서 적은 비용으로 구현되어 유용하게 사용될 수 있다.
● 태그 차폐(Shield the tag)
RFID 태그가 사용하는 특정 주파수가 통과할 수 없도록 하는 패러데이 케이지(Faraday Cage) 등의 전파차단막으로 태그를 감추어 임의의 리더기가 태그에 접근하는 것을 막는 방법이다. 일반적인 차단막으로 감추기 어려운 물건에 부착된 태그들이 많으며 도난 물건을 감추는 일 등의 악용될 수 있는 단점이 있다.
● 능동형 전파 방해(Active Jamming)
지속적으로 의미없는 전파신호를 발생시켜 주변의 리더기가 정상적으로 통신을 하지 못하도록 방해함으로써 사용자의 프라이버시를 보호할 수 있다. 하지만 이를 통해 RFID 시스템에 대한 공격이나 전파 공해 등의 문제가 야기될 수 있다.
● 블로커 태그(Blocker tag)
임의의 리더기가 사용자의 태그로부터 정보를 얻지 못하도록 막는 방법으로 RFID 시스템의 통신 계층에서 수행되는 개별화 프로토콜 단계에서 모든 개별화 ID를 흉내냄으로써 리더기가 주변에 어떠한 태그도 구별할 수 없도록 하는 블로킹 방식이다.
● 프락싱(Proxying) 접근
일반 장소에 설치되어 있는 RFID 리더를 통한 정보의 보호를 대신하여 소비자들이 직접 자신만의 RFID 시스템 하의 프라이버시 보호를 위한 장비를 가지고 다니는 것을 의미한다. 실제로 일부 휴대전화는 이러한 기능을 가지고 있다. 이런 장비들은 프라이버시 보호를 위한 다양한 도움을 줄 수 있다.
■ 논리적 해결방안
리더기와 통신 프로토콜에 대하여 저가형 태그 내에 구현할 수 있는 소프트웨어적인 방법을 제공하기 위한 RFID 보안의 주요 논리적인 해결방안은 다음과 같다.
● 배타적 논리합(XOR), 익명(Pseudonym) 등의 저연산 기법
RFID 태그의 기본 보안 기준을 제시하고 XOR 연산만을 사용하는 일회용 난수표(One-Time Pad) 방식으로 인증을 수행하여 적당한 수준에서 태그 사용자의 프라이버시를 보장할 수 있도록 한다.
● 해시 기반 및 난수 등을 이용한 기법
해시함수를 사용하여 특정 키를 갖는 인가(authorization)된 리더만이 태그를 식별할 수 있도록 하는 저가 태그용 접근제어 프로토콜이다.
● 암호화 알고리즘을 이용한 기법
의사 난수 생성 함수를 이용하여 태그와 시스템이 상호 인증할 수 있는 방법 및 암호체계를 이용하여 태그의 공개키를 알지 못하여도 재암호화(Re-encryption)가 가능하도록 하는 방법 등이 있다.
앞에서 기술한 물리적인 해결방법들은 태그와 리더간의 통신을 막는 기법들이기 때문에 보안 및 프라이버시 침해 위협을 원천적으로 방지할 수 있지만 합법적인 서비스를 방해한다거나 태그 재사용의 문제점 등이 있다.
그리고 논리적인 보안 방법들은 태그의 자원이 부족하기 때문에 강력한 보안과 프라이버시 보호 기능을 제공하기 어렵다. 그러므로 실용화가 되기 위해서는 법적, 정책적 방안과 함께 해결하여야 한다.
<글 : 한국전자통신연구원 RFID/USN보안연구팀 최두호 팀장, 박남제 선임, 강유성 선임, 김태성 선임, 김주한 선임>
[월간 정보보호21c 통권 제100호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지> |