① 전자여권에서 개인정보 유출할 수 있다.
② 그러나 그 정보로 복제/위변조는 해봤자 출입국심사 과정에서 걸리게 되어있다.
③ 종이에 쓰여진 개인정보로 전자화된 개인정보를 유출할 수 있다.
④ 지문만은 확실히 보호하지만 다른 건 유출할 수 있다.
외교통상부 보도자료 4번에 보면 "복잡한 암호화 통신을 통해서만 판독이 가능하도록 하였습니다"라고 되어 있다. 복잡한 암호화 통신을 사용하는 것은 맞는데, 이 암호화 통신에 사용되는 암호가 여권번호, 생년월일, 여권 유효기관 등 여권에 이미 프린트되어 있는 정보로 구성되는 것이다. 외교통상부 보도자료 2번에서 "성명, 여권번호, 생년월일, 여권 유효기간을 이용하여 전자칩에 내장되어 있는 자신의 성명, 여권 번호, 생년월일, 여권 유효기간을 다른 전자칩에 복사한 것입니다"라고 표현하고 있는 것이 이것에 대한 설명이다.
보안전문가들은 이것을 두고 '신용카드 뒷면에 비밀번호를 적어놓는 꼴'이라며 문제점을 지적하고 있다. 참고로 외교통상부가 국회에 제출한 자료에 따르면 2006년 한 해 한국여권은 66,798개가 분실되었고, 2007년엔 8월까지 51,511개가 분실되었다. 이렇게 분실된 여권은 모두 비밀번호와 함께 분실된 셈이다.
물론 꼭 분실된 여권만 개인정보 유출의 위험에 시달리는 것은 아니다. 왜냐하면 여권의 개인정보를 유출하기 위해 여권에서 읽어야 하는 개인정보들을 다른 곳에서도 쉽게 구할 수 있기 때문이다. 우리는 이미 과도하게 개인정보를 수집하고 유출하는 악순환의 사회에서 살고 있다. 영국의 데일리메일지는 2007년 4월 우편봉투에 들어있는 전자여권에서 봉투를 뜯어보지도 않은 채 개인정보를 유출하는데 성공했다.1)
여권에서도 비밀번호는 얼마든지 엿볼 수 있다. 여권은 여행 중 수시로 제출하는 신분증이다. 호텔, 카렌탈, 환전소 등에서 수시로 제출해야 된다. 따라서 비밀번호도 수시로 노출되고 있다고 할 수 있다. 누구든지 악의를 품고 있다면 쉽게 접근할 수 있는 것이다.
외교통상부는 '기존에 알고 있는 개인정보를 이용하여 같은 개인정보를 유출했을 뿐'이라며 의미축소를 하고 있지만 ① 기존에 알고 있는 정보보다 더 많은 정보를 유출할 수 있으며(예: 얼굴사진, 주민등록번호, 국적 등) ② 기존에 알고 있는 정보는 종이에 적혀 있는 정보고 새롭게 유출한 정보는 전자화된 정보라는 점에서 큰 차이가 있다. 전자화된 정보는 순간적으로 유출이 가능한 것은 물론, 인터넷 상으로 무한복제/유출이 가능하여 개인에게 돌아오는 피해의 그 수준이 훨씬 더 심각하다. 이 때문에 전자화된 개인정보와 종이에 적혀있는 개인정보는 프라이버시 문제를 논의할 때 차원이 다른 문제로 논의되고 있고, UN도 개인정보전산화 가이드라인을 마련해놓고 있다. (1990년 12월 14일 총회에서 채택)
위의 사진은 현재 한국이 도입하려는 국제민간항공기구(ICAO) 표준 전자여권에서 유출되어 인터넷에 게시되어 있는 개인정보와 사진이다. 이것은 영국의 아담 로리(Adam Laurie)가 NO2ID(영국 사회단체)의 필 부스(Phil Booth)의 여권에서 빼낸 정보이다. 물론, 본인의 허락하에 인터넷에 게시되어있다.2)
외교통상부가 인정한대로 이제 이런 식으로 전자여권에서 개인정보를 유출하여 인터넷에 범람하게 될 수 있다는 말이다. 외교통상부가 강력한 보안이라고 말하는 것은 그렇게 유출한 정보로 다시 복제/위변조여권을 만들어봤자 출입국심사대에서 색출해낼 수 있을 거라는 얘기에 불과하다. 출입국심사대에 도착하기 전에 여기저기서 유출되는 개인정보는 외교통상부의 관심이 아니다.
미 국무부 여권 서비스 담당 부차관보인 프랭크 모스(Frank Moss)도 비슷한 말을 한 적이 있다. 계속되는 전자여권 해킹에 대해 “전자여권을 고안한 사람들도 오래 전부터 칩 복제가 가능하다는 사실을 익히 알고 있었으며, (데이터 페이지에 여권 소지자의 디지털 사진을 넣는 등의) 다른 보안 장치들을 통해서 위조되거나 개조된 여권으로 미국을 포함한 다른 나라로 입국하는 것을 막을 수 있다”라고 말한 바 있다.3) 역시 개인정보 유출은 인정하고 있다. 전자여권 도입 전 미국의 여권발급기관이 미국 국민들에게 물은 결과, 98% 이상의 국민들이 전자여권 도입에 대해 부정적으로 생각하고 있었다.4)
또한 위와 같은 개인정보 유출이 비접촉식 방법으로 가능한 것도 문제다. 이는 불특정 다수의 군중으로부터 특정 개인정보를 가진, 즉 특정국적을 가진 사람을 색출해낼 수 있다는 의미다. 이에 따라 특정국적의 여행자가 다가오면 폭발하는 폭발물 같은 테러도 가능한 것으로 보고되고 있다.5) 즉, 'RFID=기폭장치'로 인식되고 있다. 그래서 전자여권 도입이 된 지금은 개인정보보호를 위해 또 안전을 위해 RFID 불능화 운동 등이 진행되고 있는 실정이다. (예: 전자레인지에 돌리기, 해머로 두드리기)6) 영국에서는 전자여권 리콜운동이 진행 중이다.7)
전자여권의 이러한 문제점은 국제민간항공기구(ICAO)가 정해놓고 있는 전자여권 표준이 애초부터 잘못 설계되었기 때문이다. 잘못 설계된 프레임 안에서 한국정부가 아무리 보안을 높이려고 노력해봤자 헛수고. ICAO 표준대로 도입된 세계 각 국의 여권(독일, 영국, 네덜란드, 벨기에 등)은 차례로 해킹되었다.
유럽연합(EU)의 공식후원을 받는 보안전문가 네트워크 FIDIS는 2006년 9월 부다페스트 선언을 통해, ICAO 표준 전자여권에 대해 목적과는 다르게 보안을 후퇴시키고 있고, 신원위조/명의도용(identity theft)의 가능성만 높이고 있다며, 현재의 ICAO 표준은 빠른 시일안에 폐기하고, RFID와 생체정보를 사용하지 않는 방향으로 새로운 여권표준을 제정할 것을 권고한 바 있다.
현재 외교통상부가 ICAO 표준안에 따라 전자여권을 도입해봤자 몇 년 안에 폐기될지도 모르는 상황인 것이다. 외교통상부는 이미 2년 전에 사진전사식 여권을 여권대란과 함께 도입한 적이 있다. 외교통상부가 주기적으로 여권대란을 발생시키는 부처인가? 개인정보와 인권이 어떠한 관련이 있는지 모르고 있는가? 현재 논의되고 있는 전자여권 사업은 전면 중단해야 한다.
1) DailyMail “'Safest ever' passport is not fit for purpose"
2) http://www.rfidiot.org
3) 아이뉴스24 “해커들, 전자여권을 복제하다” 기사 中
4) CSMONITOR "New 'e-passports' raise security issues" 中
5) http://biopass.jinbo.net 사이트 관련 동영상 참조
6) WIRED 'How To: Disable Your Passport's RFID Chip'
7) Guardian 'Recall demand after cloning of new biometric passports'
- 덧붙이는 말
-
김승욱 님은 진보네트워크 활동가이며, 인권단체연석회의 생체여권팀에서 활동하고 있다.