이명박 대통령이 지난 4월 부시 미국 대통령과의 정상회담을 위해 방미 시 '1호'로 발급받았던 전자여권이 보안상 치명적인 문제가 있는 것으로 확인됐다. 이 대통령이 사용한 전자여권은 지난 8월부터 전 국민을 대상으로 전면 발급되고 있다.

전자여권은 이전 사진전사식 여권과 외관은 동일하고, 여권 뒷면에 ISO 14443(13.56Mhz) 표준의 RFID 칩이 내장되어 있다. 이 칩에는 여권번호, 성명, 주민번호, 만료일, 국적 등의 정보가 담겨있고, 오는 2010년도부터 지문정보도 기록될 예정이다.

"전자여권, 보안의 기본조차 지키지 않아"

진보네트워크센터, 천주교인권위원회 등 인권사회단체들은 29일 오전 서울 명동 천주교인권위원회 사무실에서 전자여권 해킹 시연회를 열었다.

RFID 카드 리더기에 전자여권을 대고, 몇 가지 명령어를 입력하자 순식간에 전자여권 주인의 사진, 이름, 생년월일 등이 담긴 화면이 표시됐다. 단체들이 이날 시연에 이용한 RFID 리더기는 시중에서 판매되는 10만 원대 제품을 구입했고, 인터넷에서 누구나 다운 받을 수 있는 프로그램을 이용했다.

이날 시연에서는 생년월일, 여권번호, 여권 만료일 등의 정보를 미리 알고, 그 값을 토대로 전자여권을 읽어냈다. 전자여권은 생년월일, 여권번호, 여권 만료일을 일종의 접근 암호로 사용하고 있다. 그러나 김승욱 진보네트워크센터 활동가는 "몇 가지 기술이 뒷받침되면, 생년월일과 여권 번호 중 일부만 알더라도 전자여권을 읽어낼 수 있다"고 말했다.

그는 또 "위변조가 불가능하고, 안전하다고 정부가 장담했던 전자여권은 보안의 가장 기본조차 지키지 않고 있다"며 "접근 암호를 이미 공개되어 있는 여권 만료일, 여권번호 등으로 쓰고 있다는 게 가장 큰 예"라고 말했다.

또 김승욱 활동가는 버스카드 및 고속도로 통행카드 등에서 사용되고 있는 RFID 기술의 특성상 이론상으로는 리더기에 직접 갖다 대지 않더라도, 원거리에서 전자여권에 게재된 정보를 읽어낼 수 있다고 말했다. 이미 영국에서는 단체들에 의해 이 같은 원거리에서의 해킹이 시연된 적이 있다.

"한국 여행자들, 앞으로 세계 어디서나 지문날인 대상"

이 같은 전자여권의 보안상 취약점은 지속적으로 제기되어왔다. 유럽연합의 공식 펀딩을 받고 있는 보안전문가 그룹 FIDIS는 지난 2006년 9월 '부다페스트 선언'을 통해 "기존 신분증과는 반대로, 생체여권에 담기는 정보들은 최대 10m 밖에서도 비접촉식으로 몰래 그리고 일방적으로 읽히거나, 도청당하는 것이 가능하다"며 "빠른 시일 안에 현 표준을 폐기하라"고 권고한 바 있다.

특히 FIDIS는 전자여권에 지문과 얼굴 등 생체정보가 기록되는 것에 대해 강력한 우려를 제기하고 있다. 이들은 "생체(전자)여권에 담기는 생체정보는 폐기될 수 없으며, 얼굴이나 지문 같은 생체정보가 바뀔 수 없으므로, 한번 도둑맞은 생체정보는 오랜 기간 동안 남용될 수 있다"고 지적했다.

한국에서 2010년부터 시행될 지문정보 기록 계획에 대해 김승욱 활동가는 "앞으로 한국 여행자들은 세계를 여행하면서 특별히 지문날인검사를 받아야 되는 상황에 처하게 됐다"고 지적했다.

이어 그는 "전 세계에서 전 국민의 지문정보를 가지고 있는 국가는 한국밖에 없는데, 이제 한국 여행자들은 전 세계 어디를 가더라도 조금만 의심만 있으면, 지문날인을 하는 처지가 됐다"고 전자여권을 도입한 정부를 비판했다.

한편, 현재 여권에 지문을 수록하고 있는 나라는 독일, 싱가폴, 말레이시아, 태국 등 4개국이다. 내년부터 유럽연합 국가들이 지문 수록을 계획하고 있지만, 현재 국경이 통합되어 출입국 심사 자체가 없는 유럽연합의 경우 지문이 수록되더라도 일상적으로 지문날인이 시행되지는 않는다. 또 유럽연합은 여권에 수록되는 지문정부를 외부의 국가에서 읽어보지 못하도록 법적.기술적 장치들을 마련해 놓고 있다.

인권단체들은 이날 시연 내용을 근거로 30일 외교통상부 앞에서 전자여권 도입을 규탄하는 기자회견을 진행할 예정이다.