전자여권을 위변조 하는 방법(엘비스 프레슬리의 전자여권)

전자여권은 기존 여권이 위변조에 취약해서 위변조가 불가능한 최첨단의 여권이라며 도입되었다. 물론, 2005년 9월에 도입된 사진전사식 여권도 같은 이유로 도입되었었고, 당시의 공지는 아래와 같다.

“우리 부는 여권의 품질개선과 위.변조 방지를 위해 개발한 사진전사식 신여권의 전국 발급을 지난 9월 30일부터 개시” (2005년 10월 17일 외교통상부 보도자료)

2005년 도입된 최신 사진전사식 여권이 얼마나 위변조가 되었는지, 어떻게 위변조가 가능했는지에 대한 아무런 연구나 보고도 없이 2006년부터 전자여권은 추진되어 결국 2008년 발급이 되고 있는 상태이다. 모든 것은 똑같다. 다만 칩이 하나 추가되었을 뿐이다.

그런데 외교통상부는 “전자칩이 망가져도 출입국을 할 수 있나요?”라는 인권단체들의 질의에 “출입국이 가능하다”는 답변을 내놓고 있다. 답변을 보자.

“출입국이 가능합니다. 설령 전자칩이 작동하지 않는다 하더라도 출입국 심사자의 육안심사 및 기계판독을 통하여 출입국이 가능하기 때문입니다. 한편, 전자여권의 국제표준을 정하는 정부 간 국제기구인 국제민간항공기구(ICAO)는 전자여권의 칩이 판독되지 않는 경우에도 다른 특별한 문제가 없는 경우에는 출입국을 허용하도록 권고하고 있으며, 출입국 심사 시 전자여권 판독을 실시하는 국가들은 동 권고를 준수하고 있는 것으로 파악되고 있습니다.” (2008년 9월 17일, 인권단체 질의에 대한 외교통상부 답변)

전자칩이 없으면 나머지는 사진전사식 여권이랑 똑같다. 외교통상부의 주장대로 사진전사식 여권이 위변조 가능했다면(이것은 주장만 되었을 뿐이다), 칩은 망가뜨리고 똑같은 방법으로 위변조가 가능하다. 여권을 위변조하는 사람은, 전자칩을 추가로 위변조하기 위해 비용과 시간을 들이기보다는 기존에 하던 대로 할 수 있다면 그것을 선호할 것이다. 위변조 방지가 목적이었던 전자여권이 도입되었고 전자칩이 추가되었는데, 그게 사실 옵션이었다는 고백! 그렇다면 위변조방지는 하나도 안되는 게 아닌가? 사실 현재는 칩을 망가뜨릴 필요도 없는데, 왜냐하면 미국을 제외한 대부분의 나라들이 전자여권은 도입했지만 정작 출입국심사 시스템은 변경하지 않기 때문이다. 한국도 마찬가지.

불필요할지 모르지만, 전자칩을 위변조하는 방법도 살펴보자. 전자신문에 이에 대한 설명이 자세히 나와 있어, 그대로 인용해보고자 한다.

“이 전자서명은 DS인증서라는 인증서를 통해 위변조 여부를 검증하는데, DS인증서가 전자여권 내에 저장돼 마치 자물쇠와 열쇠가 같이 있는 격이라는 주장이다. DS 인증서 자체는 각국이 저장하고 있는 CSCA라는 인증서를 통해 다시 한 번 인증과정을 거치게 되지만 모든 나라에서 반드시 인증절차를 거치고 있는 것이 아니라는 것이다. CSCA인증서를 보호하기 위한 공개키디렉토리(PKD) 코드 시스템을 도입한 나라는 전자여권 도입 40여 개국 중 5개 나라밖에 되지 않는다.” (전자신문 2008/9/30 “전자여권 위변조 가능성 제기...”)

전자여권에는 개인정보의 위변조 여부를 가늠해주는 인증서가 하나 들어있는데, 그 인증서를 열어보는 키(비밀번호)도 여권에 같이 들어가 있다. 기사에 나온 대로 자물쇠와 열쇠가 함께 들어가 있는 셈. 그리하여 개인정보를 변경하면서, 키도 변경하면 되고, 인증서는 새로 생성하면 된다. 이것을 막기 위해 공개키디렉토리(PKD) 있긴 하지만, 제대로 운영이 안 되고 있다고 한다. 이 문제에 대한 외교통상부의 답변은 다음과 같다.

“CSCA 인증서 문제의 경우 인증을 도입하고 있는 나라가 많지 않다는 문제이지, 전자여권 자체의 문제는 아니다. 하나 둘 많은 나라들이 도입을 진행 중이어서 이 문제는 조만간 해결될 것” (전자신문 위의 기사)

즉, 문제가 있긴 한데, 전자여권의 문제는 아니고 시스템의 문제라는 설명이다. 전자여권과 시스템이 별개인가? 그리하여 몇일전에는 유럽에서 엘비스 프레슬리로 위조된 전자여권 이 공항에서 잘만 작동한다는 소식이 전해왔다. 실제 동영상과 함께! 전자여권 리더기 화면에 나오는 엘비스의 얼굴을 감상해보시라!


<엘비스 프레슬리의 것으로 위조된 전자여권, 공항에서 문제없이 통과되었다>

위변조가 불가능하다고? 어떻게? “여기가 로두스섬이다. 여기에서 뛰어라!”

전자여권은 왜 도입했는가?

정리하자! 전자여권의 성능을 개인정보 유출과 위변조 방지 두 측면으로 나누어서 고찰할 수 있다. 우선 개인정보 유출의 측면에서, 온갖 장난이 가능해졌다. 개인정보들은 전에 없던 방법으로 유출되고 있다. 외교통상부이 위험을 모두 은폐한 탓에, 국민들은 눈으로 보면서도 개인정보 소매치기를 당할 수 있게 된 셈이다. 우리는 전자여권이 도입되면서 더 쉬운 방법으로, 즉 비접촉식으로, 더 다양한 정보가, 즉 “주민번호+디지털사진+이름”의 3종세트로, 더 치명적인 형태로, 즉 전자적인 형태로, 더 은밀하게, 보면서 소매치기 당하는 꼴로 개인정보 유출이 가능해졌다고 이해한다. 여기에 외통부 주장을 더해보자. 예전이랑 다를 바 없다고 한다. 종합하면, “나쁘거나 그대로이거나”

두 번째, 위변조 방지의 측면에서! 전자칩이 망가져도 상관없다는 답변과 전자칩으로 위변조를 방지할 수 있다는 주장은 완벽한 모순의 하모니를 만들어내고 있다. 또, 전자칩 자체를 위변조하거나, 복제하거나, 대체하거나 하는 다른 가능성들은 끊임없이 제기되고 있고, 외교통상부도 문제가 있다고 답변하고 있다. 시스템이 아직 덜 됐다고. 그래서 유럽에서는 엘비스 프레슬리의 전자여권이 공항을 돌아다닌다. 어쨌든, 결과적으로 “위변조 방지 측면에서 개선되는 거 전혀없음”

이런 전자여권이 도입되기 위해서 지출된 예산은 다음과 같다. 2007년 전자여권 통합 정보관리 시스템 구축 사업에 155억원, 같은 해 전자여권 e커버 사업 320억원. 2007년 전자여권 사업 예산배정은 10억원이었는데, 어쨌든 어떤 마법을 부렸는지 지출된 액수는 위와 같다. 올해는 전자여권 예산이 작년에 비해 1,470.6% 증가한 157억원으로 편성되었다. 이 금액을 포함하여 여권업무 선진화에만 764억원이 배정되었는데, 이는 외교통상부 소관 세출 예산의 6.6%를 차지하는 액수이다. 한편, 올해 전자여권 제작에 투입된 비용 중 44%가 외국 기업에 지급되었으며, 앞으로도 217억원 정도가 원천기술을 보유하고 있는 독일, 네덜란드 등의 외국기업에 지불될 전망이라고 한다. 한 마디로 낭비 아닌가? “나쁘거나 그대로이거나, 효과없거나”인 사업에 들이붙는 돈들이다.

외교통상부는 개인정보가 유출되지 않게 하기 위해서 “여권의 신원정보면을 없애야 한다”는 비합리적 결론에 도달한다고 항변하고 있다. “합리”의 기준에서 답변하자면, 전자칩으로 인한 개인정보 유출의 위험과 그 치명성은 더 커지는 반면에, 위변조 방지의 측면에서 효과가 전혀 없다면, 애초부터 전자칩을 삽입하지 않고, 위에 나열된 예산들을 다른 곳에 사용하는 것이야말로 합리적인 결론 아닌가?

전자칩에 저장되건 신원정보면에 출력되건 간에, 세계에서 유일하게 여권에 주민등록번호를 수록함으로서 그것을 여권을 열어보는 누구나 확인해볼 수 있다면, 정부가 좋아하는 글로벌 스탠다드에 맞게 주민등록번호는 애초부터 담지 않는 것이 합리적인 결론 아닌가? 그것은 지문에 대해서도 마찬가지이다.

외교통상부의 주장대로 전자칩에 대한 위변조가 이미 불가능하다면, 2010년부터는 여권의 보안성을 위해 지문까지 추가하도록 한 결정은 비합리적인 것이 아닌가? 이미 전자칩에 저장되어 있는 얼굴, 성명, 주민번호, 여권번호, 국적 등의 정보를 위변조하는 행위가 출입국심사대에 걸러진다면, 현재의 전자여권은 그 자체로 완벽한 것이고, 굳이 지문을 추가해서 “한국 여행자 특별 지문날인 검사”를 전 세계에 요청할 필요가 어디에 있는가? 혹은 위변조가 가능하다면 전자칩에서 얼굴사진을 위변조하는 방법으로 지문도 바꿀 수 있을텐데, 새롭게 지문을 추가해도 소용없는 것 아닌가? 외교통상부에게는 모순이 합리인건가?

이상으로 외교통상부의 합리적인 사고방식에 부합하는 적절한 답변이 되었기를 기대하며 글을 마친다.