[김기영] 유비쿼터스와 RFID 보안

많은 사람들이 이미 유비쿼터스에 대한 개념을 파악하고 있을 것이다.

이를 감안, 이번에는 일반적으로 얘기되는 것보다는 다른 각도에서 유비쿼터스 개념을 정리해 보고자 한다.

유비쿼터스를 이해하려면 유비쿼터스 프로젝트중 'Oxygen'이나 'Calm Technology'등을 보면 도움이 될 것이다.

유비쿼터스를 관통하는 키워드는 바로 자동화다.

2~3년 전부터 우리나라에는 웹서비스가 대대적으로 소개됐으며, 올해부터는 본격적으로 정부주도로 실제 서비스에 도입되고 있다.

그러나 다수 사람들이 웹서비스의 다양한 요소와 기법을 소개하면서도 궁극적으로 무엇을 하려는 것인지에 대해서 잘 모르고 있다. 이에 대한 해답이 바로 자동화다.

물론 반대 의견도 있겠지만, 데이터의 재활용, 막힘없는 서비스, 서비스 지향 아키텍처(SOA) 등의 용어로 아무리 포장된다고 해도 필자는 단호하게 웹서비스의 궁극적인 기술적 목표는 자동화라고 말하겠다.

많은 기술들이 처음에는 사람의 수고를 덜기 위해 나왔다. 그 다음 단계로 그것들 간의 관계에 관심을 갖기 시작했다.

이에 대한 증거는 공장에서 쉽게 찾아 볼 수 있는데 이러한 과정을 통해 각 단계가 매끄럽게 연결되고 마침내 전 라인이 자동으로 돌아가게 된다.

이를 감안하면 유비쿼터스라는 것은 자동화의 총아라고 해도 지나치지 않다. 사용되는 기술들은 유비쿼터스를 구현하기 위한 도구들이다.

이에 개별 기술을 통해 유비쿼터스를 이해하는 것보다는 인간 중심의 자동화라는 큰틀에서 바라보는게 바람직할 듯 하다.

유비쿼터스에서는 네트워크가 자동으로 연결된다. 각종 기기와 사물들도 자동으로 인식된다. 출입은 물론 교통까지도 자동화된다. 혹시 아직 자동화가 필요한 곳에 적용되지 않았다면 그곳이 바로 유비쿼터스가 적용될 곳이고, 돈을 벌 수 있는 곳이다.

유비쿼터스에서 추구하는 자동화를 이루기 위해서는 사람이 환경을 인식하는 것처럼 시스템이 사람과 환경을 인식하고 의사소통 하는 것을 필요로 한다.

이는 단순히 광학적이거나 감각적인 것만을 의미하는 것이 아니다. 보다 지능적인 것들도 포함한다. 동일한 현상도 전체적인 흐름(Context) 속에서 파악해 적절한 서비스와 동작(Process)을 제공하는 것도 필요하다.

이를 감안하면 앞서 설명한 개념은 일반적인 프로그램에서 순서도(Flow Chart)를 그리는 것과 비슷하다고 볼 수 있다. 그러나 이것을 사람의 생활 속에서 기기와 맞물려 돌아가게 하는 것은 프로그램에서의 그것보다는 매우 어려울 것이다.

사람의 반응은 컴퓨터 연산과 달리 동일한 입력에 대해 다양한 결과를 보여준다. 이 때문에 자동화는 힘들 수 밖에 없고 그 결과를 파악하는 기술을 필요로 하게 된다.

이제 자동화의 총아인 유비쿼터스에 기반이 되는 주요 기술들을 간단히 살펴보자.

먼저 사물이나 사람을 식별해 필요로 하는 서비스를 자동화 하는 전자태그(RFID) 기술을 들 수 있다.

현재 RFID가 적용되고 있는 분야는 물류다. 창고 관리에서부터 우편물까지 다양하게 적용되고 있다.

유비쿼터스는 수많은 기기와 통신을 해야 한다. 그리고 수많은 IP주소를 할당 해야 한다. 그러나 이미 IP주소는 고갈 상태다.

이 때문에 주소 용량을 키운 IPv6가 필수적인 기반 기술이 된다. 쉽게 설명하면 IPv6는 지나가는 개미들에게도 주소를 하나씩 부여할 수 있는 기술이라고 할 수 있다.

수많은 기기와 통신을 하고 그 기기들간 의사 소통을 제어하기 위해서는 미들웨어 기술도 필요하다. 이미 이와 관련된 UPnP, Jini, Havi 같은 기술들이 실용화돼 있고 본 연재의 2편에서도 간단하게 소개한 바 있다.

유비쿼터스에 있어 대수롭지 않게 여겨질 수 있지만 가장 중요한 기술은 바로 HCI (Human Computer Interface)다.

HCI는 사용자가 시스템과 대화 하기 위해서 반드시 필요한 부분이다. 좀더 구체적으로 설명하면 제한된 창과 입력장치를 통해 사용자가 가장 사용하기 쉬운 형태의 인터페이스가 개발돼야 한다는 것을 의미한다.

홈 네트워크와 함께 유비쿼터스 서비스에서 한축을 담당할 것으로 보이는 분야로 텔레메틱스가 있다. 지금은 GPS, 정보제공 콜센터 운영 정도이지만, 보다 다양하고 빠른 통신 방법이 제공된다면 자동차에서도 다양한 서비스가 적용될 수 있을 것이다.

이외에도 유비쿼터스에는 사물이나 사람의 움직임 감지 또는 식별을 목적으로 한 센서 기술도 요구된다. 센서 기술은 새로운 분야라고 하기 보다는 이전에 있었던 분야가 유비쿼터스에서 구현하고자 하는 자동화를 위해 도입됐다고 보는게 적절할 듯 하다.

유비쿼터스를 받쳐주는 기반 기술은 이정도일까? 아니다. 또 하나의 중요한 기술이 남아 있다. 바로 보안이다.

유비쿼터스에서 보안은 일반 인터넷보다 구현하기가 어렵다. 시스템에 사용되는 기기가 현재 우리가 사용하고 있는 PC보다 성능이 한참 떨어지기 때문이다.

이에 제품을 만들 때 강력하지만 쉽고 편한 보안을 만들고, 적용하는 것이 중요하다.

그러나 현실은 그렇지 않다. 만들기 어렵다는 이유로, 비용이 많이 든다는 이유로 이미 만들어져 있는 보안을 적용하기는 커녕 그 존재자체도 무시하기 일쑤다.

아직 대부분 시험단계여서 좀더 지켜봐야 하겠지만, 해커들은 인터넷을 통해 갈고 닦은 해킹 기술을 새로운 영역에서 마음껏 펼칠 수 있기만을 기다리고 있다.

그러니 지금 대비하지 않으면 유비쿼터스 서비스를 열기도 전에 접어야만 하는 비극이 생길 수도 있다.

◆ RFID 보안

대형 할인매장에 갔다. 이것 저것 잔뜩 사가지고 계산대에 올려 놓으니 바코드를 읽지도 않았는데도 전체 물품 목록과 가격이 벌써 계산돼 나왔다. 사람이 많아 오래 기다려야 할 줄 알았는데 순식간에 끝난 것이다.

집에 도착하니 자동으로 차고문이 열린다. 현관 앞에 눈을 가져다 대니 현관문이 바로 열렸다.

문이 열리자 개 '알루'가 달려온다. 낮 동안 집안에서 움직일 수 있는 유일한 놈이다. '알루'를 제외한 움직이는 모든 물체는 보안 시스템에 감지돼 비상벨을 울림과 동시에 경찰과 보안업체에 연락된다.

매운탕 재료포장에 붙은 태그를 오븐에 인식 시킨 뒤 냄비에 담아 오븐에 넣자 20분이라는 시간이 찍힌다.

기다리는 동안 냉장고에서는 우유가 유효기간이 얼마 남지 않았다는 소리가 들려온다.

식사 후 너무 많이 먹은 것 같아 체중계에 올라가 보니 역시나 몸무게가 조금 늘었다. 정보를 서버에 전송할지를 묻지만, No를 선택한다. 내일 아침 운동 후에 보내면 된다.

어제 읽다가만 소설책을 마저 읽다가 잠을 자려고 침대에서 책을 폈다. 아마 내가 잠이 들면 자동으로 불이 꺼지면서 수면 모드로 온도 조절이 될 것이다.

이보다 훨씬 많은 일들이 현실에서 조만간 일어날 것이다. 위의 가상 사례 대부분은 RFID를 기반으로 일어난 것이다.

1888년 H.헤르쯔가 초단파를 포착한 이후로 전파는 눈부하게 발전 하고, 수많은 분야에 사용되고 있다. RFID도 그러한 분야중 하나다.

그러나 RFID는 다른 분야와는 좀 다른게 있다.

보통의 경우 전파를 통해 데이터를 전송하는 반면 RFID는 전원까지도 전달하기 때문이다. 이 때문에 얇은 카드와 비닐포장에도 표시나지 않게 장착할 수 있는 것이다.

물론 그렇다고 해서 모든 RFID가 배터리 내장을 하지 않는다는 것은 아니다. 내부에서 사용하는 메모리 읽기/쓰기 작업 등 부수적인 작업을 위해 배터리를 쓰는 경우도 종종 있다.

RFID는 비접촉으로 인해 생기는 다양한 편리함으로 인해 그 용도가 점차 다양해지고 있고 이미 우리 생활에도 스며든 상황이다.

교통카드도 그중 하나다. 폐쇄적인 시스템이 아닌 개방형 환경에서 교통카드나 전자화폐가 사용되는 경우 보안 문제가 매우 중대하게 대두된다. 특히 금전적인 문제와 관련된 경우 더욱 그러하다. 따라서 적절한 암호/인증의 적용이 필수적이라 하겠다.

지금부터 RFID를 한번 공격해 보기로 한다.

현재 RFID가 가장 많이 적용된 물류의 경우를 보자.

위의 상상에서처럼 RFID가 붙은 물건을 고르고 그 중 몇 개를 돈안내고 구입 하려고 한다면 가장 쉬운 방법은 RFID를 불능으로 만드는 것이다.

물론 사전에 이에 대한 대응 장치가 마련돼 있을수 있다.

그러나 우리가 물건도난 방지용으로 사용하는 태그에서는 팔린 물건들에 붙은 태그를 무력화 시키기 위해 사용하는 방법과 유사하게 RFID를 무력화하거나 물리적으로 파괴할 수 있다. 다른 물건에 있는 것을 오려 붙이는 것도 가능하다. 다시 말하면 이전에 구입한 물건에서 떼어내 사용할 수 있다는 것이다.

RFID는 바코드처럼 사람이 일일이 처리하지 않게 하기 위해서 도입한 것이다. 그런데도 사람이 일일이 확인해야만 하게 된다면 굳이 시스템을 바꿀 필요가 없게 되는 상황이 올수 있다.

다음은 집안에서 사용되는 RFID의 경우다. 위의 가상 시나리오에서 보면 자동차를 자동으로 인식해 문이 저절로 열리는 대목이 있다.

그런데 누군가 내 차의 RFID를 위조한다면 어떻게 될까. 인터넷 뱅킹의 경우 인증서의 비밀번호를 입력하는 과정을 거치게 된다.

RFID는 그런 과정이 없고 거의 동일한 패턴의 데이터를 주고받기 때문에 자동차에 도청장치를 달고 오고가는 정보를 수집한다면 해킹하는 것이 그리 어렵지만은 않을 것이다.

따라서 적용되는 분야마다 다르겠지만, 모든 분야에 사용되는 RFID는 상호 인증 기능이 탑재되고 데이터 암호화도 기본적으로 갖추고 있어야 한다.

이미 그와 관련된 표준은 제정되어 있기 때문에 구현상의 문제는 없다. 물론 그렇다고 해도 안전을 장담 하기는 힘들다. 최소한의 조치로서 그와 같은게 필요하다고 말할 뿐이다.

그리고 무선랜 등과 마찬가지로 RFID에서도 전파 자체가 원하는 수신기가 아닌 다른 수신장치에 전달 되는 것을 막아야 한다.

버스카드의 경우 수신기에 다른 장치가 붙어있지 않나 확인하는 것이 기본적으로 필요하다. RFID가 전자화폐로 사용된다면 수신기 외에 다른 어떤 물체도 근처에 오지 않도록 하는 것은 반드시 선행돼야 한다.

인터넷에서 사용되는 보안들은 지키려는 대상에 따라 보안 강도를 조절한다. 해킹비용을 계산해볼 때 조금을 얻기 위해 많은 것을 희생할 가능성은 낮기 때문이다.

그러나 만약 단순한 RFID라고 해서 보안을 적용하지 않았다고 가정해 보자. 단순한 RFID는 고스란히 그 정보를 노출시키게 되는데, 기본적으로 사생활이 노출 될 것이다. 만일 이것이 출입 카드라면, 그 피해의 정도는 굳이 설명할 필요가 없을 것이다.

그리고 정말 단순한 RFID를 사용해 비용을 절감하고자 한다면 적어도 담겨있는 데이터 만이라도 암호화 하기를 바란다. 지키려는 대상이 별게 아니더라도 잃고 난 후에 후회하느니 미리 보안을 적용해 대비하는게 낫기 때문이다.

지금까지 홈 네트워크 기술들과 거기에 적용되는 보안 기술들에 대하여 간략하나마 검검해 보았다. 필자의 설명이 다소 부족했다 하더라도 보안의 중요성에 대해서는 의심을 갖지 말길 바란다. 다름아닌 자기 자신을 보호하는 것이기 때문이다.