EU 보안전문가들이 현재의 생체여권(전자여권)은 보안상의 결함이 많다며, 3년안에 폐기하고 새로 논의할 것을 권고했다고 합니다. 그런데 한국정부는 미국의 비자면제와 자유로운 미국방문을 위해 미국이 요구하는 최첨단 기술로 암호화한 생체여권(전자여권)을 도입하겠다고 드리대고 있습니다. 국민의 인권을 생각조차 않고 국가의 편의만을 위해 개인정보가 줄줄 새나가는 생체여권을 말입니다. 미국이 시키는대로 하라는대로 질질 끌려만 댕깁니다. 언론들도 생체여권(전자여권)의 문제들을 제대로 집어내지 못하고 있고요.
그래서 한국정부와 외교부가 뻘짓하지 못하게, 국내 인권사회단체들이 이에 대해 문제제기하고 관련된 대응활동을 하고 있습니다. 그 내용을 소개합니다.
p.s. 미국내에서 RFID 생체여권(전자여권)에 대한 정보유출과 정보 빼내기와 관련해 보도된 뉴스 영상을 보시면 한국정부가 도입하려는 생체여권(전자여권)이 전혀 안전하지 않다는 것을 눈치채실겁니다. 비자면제 그것 다 사탕발림에 불과합니다. 속지 마시길...
A:성명, 여권번호, 만료일 등의 여권정보와 얼굴, 지문으로부터 추출해낸 생체정보(biometrics)를 전자화하여 RFID 칩에 저장하여 내장한 여권을 말합니다. 겉 모양은 기존 사진전사식 여권과 똑같습니다.
Q:위변조 방지를 위해 생체여권(전자여권) 도입이 필요한 것이 아닌가요?
A:한국은 이미 2005년 9월 30일부로 위변조가 불가능한 최첨단의 사진전사식 여권을 도입한 바 있습니다. 또한 생체여권(전자여권)에 적용되는 기술들은 기존의 사진전사식 여권 부분에 대한 위변조는 전혀 방지하지 않습니다. 물론 사진전사식 여권에 대한 위변조 사례가 있었는지, 있었다면 어떻게 가능했었는지 외교통상부는 전혀 밝히지 않고 있습니다.
Q:생체여권(전자여권)에 담기는 정보들이 안전하게 보호되나요?
A:그렇지 않습니다. 생체여권(전자여권)에는 PKI 중 전자서명 기법만 사용됩니다. 이것은 인터넷뱅킹 공인인증서에 사용되는 방법으로 데이터의 암호화와는 상관없고, 위변조 방지와 발급자 확인만을 제공하는 기술입니다. 또한 RFID를 이용하기 때문에 원거리에서 여권소지자 몰래 정보를 빼내가는 것도 가능해집니다.
<EMBED pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash src=http://www.youtube.com/v/6DUmCQl4Pq8 width=425 height=350 type=application/x-shockwave-flash loop="true" menu="false" quality="high">[뉴스] RFID에서 정보 몰래 빼내기(skimming)
Q:한국에서 도입하려는 방식이 국제민간항공기구(ICAO) 표준이고, 세계적으로 도입된 방식이 아닌가요?
A:맞습니다. 그런데 국제민간항공기구(ICAO) 표준에 따라 도입된 세계 각 국의 여권은 차례로 해킹 당했습니다. EU의 공식 펀딩을 받는 보안전문가그룹인 FIDIS는 2006년 9월 부다페스트 선언을 통해, 현재 EU 각 국에서 도입한 ICAO 표준 생체여권(전자여권)이 그 목적과는 다르게 보안에 매우 취약하며, 늦어도 3년 안에 이 표준을 전면 폐기하고, 새로운 표준을 제정할 것을 권고하였습니다.
Q:생체여권(전자여권)을 통해 테러를 방지할 수 있나요?
A: 생체여권(전자여권)으로 테러리스트를 색출해내는 것은 불가능합니다. 이것이 가능하려면 세상의 모든 테러리스트들이 테러활동을 시작하기 전에 미 국토안보부(DHS)에 생체정보를 제출한 이 후에 테러활동을 시작하는 것이 전제되어야 합니다. 미 스탠포드 대학의 Lawrence Wein의 연구에 따르면 미국의 테러리스트 목록에 등록된 사람이 미 출입국심사대에서 색출된 확률은 53%에 불과했습니다. 물론, 등록되지 않은 사람의 경우 0%입니다.
A:감시하기 때문입니다. 생체여권(전자여권) 시스템에는 내 삶이 기록됩니다. 내가 누구라는 것만으로는, 내가 테러리스트인지 아닌지 알 수가 없기 때문입니다. 그것을 알기 위해선 그 동안 내가 어떤 삶을 살아왔는지 알아야 하기 때문입니다. 생체여권(전자여권)은 더 이상 자유로운 여행을 도와주기 위한 증명서가 아닙니다. 생체여권(전자여권)은 감시사회로 들어가는 입장권입니다.
또한 생체정보는 개인에게 내재되어 있는 민감한 정보로 개인에 대한 식별자로 사용이 가능합니다. 즉, 개인이 알지못하는 사이에 여기저기 흩어져있는 개인의 정보를 연결해서 개인에 대한 구체적인 묘사가 가능한 것입니다.
나아가 여권에 담긴 생체정보를 개인이 여행하는 각 국가에서 수집해가서 얼마나 저장할지, 어떻게 사용할지에 대한 정보도 통제권도 전혀 존재하지 않습니다. 나의 정보를 국가가 맘대로 거래하는 것은 프라이버시를 침해하는 것입니다.
Q:생체정보가 유출되면 어떻게 되나요?
A:생체정보가 신원확인의 목적으로 점차 사용되고 있는 이상, 생체정보가 한 번이라도 유출된다는 것은, 완벽한 신원위조(identity theft)가 가능해진다는 말입니다. 생체정보가 영원히 변하지 않는 다는 것은, 유출된 생체정보가 오남용될 수 있는 기간도 영구적이라는 의미입니다.
A:근거 없는 말입니다. 현재 전 세계적으로 출입국심사와 비자면제를 위해서 생체여권(전자여권)을 요구하는 나라는 미국밖에 없습니다.
Q:자동화된 출입국심사는 정말 가능한가요?
A:출입국심사대는 지하철 개찰구가 아닙니다. 자동화를 할 필요도 없고, 가능하지도 않습니다. 생체인식은 확률을 기반으로 하는 기술이기에 완벽할 수가 없습니다. EU에서는 생체여권(전자여권) 도입 이후에 출입국심사에 소요되는 시간이 약 1분 정도로 증가하였습니다.
Q:미국 비자면제 프로그램(VWP) 가입을 위해선 생체여권(전자여권) 도입이 필요한 거 아닌가요?
A:미국 비자면제로 생체여권(전자여권)을 도입한다는 것은, 미국비자 받을 때 지문 제출하던 것을, 미국을 위해 전 국민이 여권 만들 때 제출해 놓자는 발상입니다. 또한 비자면제 프로그램(VWP) 가입을 위해선 생체여권(전자여권) 도입 이외에도 전자여행허가제(ETA)와 여행자 정보공유 협정 등의 조건이 충족되어야 합니다. 전자여행허가제(ETA)는 이름만 다른 비자제도일 뿐입니다. 여행자 정보공유 협정은 국민 개개인의 사법기록 등을 국가 간에 거래를 통해서 공유하겠다는 협정입니다. 미국의 이러한 오만방자한 조건에 EU 등은 반대의 입장을 분명히 하고 있는데, 한국만이 비자면제에 눈이 멀어서 조건이 뭔지도 모르고 달려가고 있는 꼴입니다. 현재 이런 조건으로 미국의 비자면제 프로그램(VWP)에 가입되어 있는 나라는 없습니다. 한국이 최초입니다.
Q:생체정보가 있으면 본인인증(verification)이 잘 되는 것이 아닌가요?
A:생체인식시스템은 확률에 기반한 인식 시스템이고, 생체인식에는 항상 두 종류의 에러율이 존재합니다. 맞는 사람을 잘못 튕겨낼 오류율(FRR:False Rejection Rate)과 아닌 사람을 잘못 받아낼 오류율(FAR:False Acceptance Rate)이 그것입니다. 한계치를 설정하기에 따라 두 종류의 오류율은 반비례하는 관계입니다. 생체인식시스템이 완벽해지는 것은 불가능한 일입니다. 외교통상부에서는 지문인증실패율이 0.004%라고 발표하고 있습니다. 외교통상부는 엉뚱하게도 한 종류의 오류율만을 발표하고 있습니다. 이것을 FRR이라고 생각했을 때, 한국인 여권소지자 1,300만 명이 평균 10회의 인증을 할 경우 5,200번의 잘못된 인증실패가 발생하는 것으로 계산됩니다. 물론 이것은 FAR은 계산도 하지 않은 수치입니다.
생체정보 줄줄 새는 "생체여권(전자여권)"이란?
생체정보 줄줄 새는 '생체여권(전자여권)'이란?
출처 :biopass, 생체여권 대응팀(02-7744-551) http://biopass.jinbo.net/
EU 보안전문가들이 현재의 생체여권(전자여권)은 보안상의 결함이 많다며, 3년안에 폐기하고 새로 논의할 것을 권고했다고 합니다. 그런데 한국정부는 미국의 비자면제와 자유로운 미국방문을 위해 미국이 요구하는 최첨단 기술로 암호화한 생체여권(전자여권)을 도입하겠다고 드리대고 있습니다. 국민의 인권을 생각조차 않고 국가의 편의만을 위해 개인정보가 줄줄 새나가는 생체여권을 말입니다. 미국이 시키는대로 하라는대로 질질 끌려만 댕깁니다. 언론들도 생체여권(전자여권)의 문제들을 제대로 집어내지 못하고 있고요.
그래서 한국정부와 외교부가 뻘짓하지 못하게, 국내 인권사회단체들이 이에 대해 문제제기하고 관련된 대응활동을 하고 있습니다. 그 내용을 소개합니다.
p.s. 미국내에서 RFID 생체여권(전자여권)에 대한 정보유출과 정보 빼내기와 관련해 보도된 뉴스 영상을 보시면 한국정부가 도입하려는 생체여권(전자여권)이 전혀 안전하지 않다는 것을 눈치채실겁니다. 비자면제 그것 다 사탕발림에 불과합니다. 속지 마시길...
* 집중기획 : 생체여권의 모든것
- 미국의 내정간섭
- 미국 비자면제는 기만
- RFID, 생체정보, 여권. 어울리지 않는 삼중주
* 활동의 기록
- 외교통상부 공개질의서
- [동영상]생체정보가 유출된다면
- [플래쉬]간편한 생체정보 유출
- 여권법 개정안에 대한 의견
* 취약한 보안
- 생체여권(전자여권) 해킹 by 가디언(영국)
- 유리로 만든 보안
- [동영상]RFID 생체여권(전자여권)에 대한 해킹, 정보유출, 테러
Q:생체여권(전자여권)이란 무엇입니까?
A:성명, 여권번호, 만료일 등의 여권정보와 얼굴, 지문으로부터 추출해낸 생체정보(biometrics)를 전자화하여 RFID 칩에 저장하여 내장한 여권을 말합니다. 겉 모양은 기존 사진전사식 여권과 똑같습니다.
Q:위변조 방지를 위해 생체여권(전자여권) 도입이 필요한 것이 아닌가요?
A:한국은 이미 2005년 9월 30일부로 위변조가 불가능한 최첨단의 사진전사식 여권을 도입한 바 있습니다. 또한 생체여권(전자여권)에 적용되는 기술들은 기존의 사진전사식 여권 부분에 대한 위변조는 전혀 방지하지 않습니다. 물론 사진전사식 여권에 대한 위변조 사례가 있었는지, 있었다면 어떻게 가능했었는지 외교통상부는 전혀 밝히지 않고 있습니다.
Q:생체여권(전자여권)에 담기는 정보들이 안전하게 보호되나요?
A:그렇지 않습니다. 생체여권(전자여권)에는 PKI 중 전자서명 기법만 사용됩니다. 이것은 인터넷뱅킹 공인인증서에 사용되는 방법으로 데이터의 암호화와는 상관없고, 위변조 방지와 발급자 확인만을 제공하는 기술입니다. 또한 RFID를 이용하기 때문에 원거리에서 여권소지자 몰래 정보를 빼내가는 것도 가능해집니다.
<EMBED pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash src=http://www.youtube.com/v/6DUmCQl4Pq8 width=425 height=350 type=application/x-shockwave-flash loop="true" menu="false" quality="high">[뉴스] RFID에서 정보 몰래 빼내기(skimming)
Q:한국에서 도입하려는 방식이 국제민간항공기구(ICAO) 표준이고, 세계적으로 도입된 방식이 아닌가요?
A:맞습니다. 그런데 국제민간항공기구(ICAO) 표준에 따라 도입된 세계 각 국의 여권은 차례로 해킹 당했습니다. EU의 공식 펀딩을 받는 보안전문가그룹인 FIDIS는 2006년 9월 부다페스트 선언을 통해, 현재 EU 각 국에서 도입한 ICAO 표준 생체여권(전자여권)이 그 목적과는 다르게 보안에 매우 취약하며, 늦어도 3년 안에 이 표준을 전면 폐기하고, 새로운 표준을 제정할 것을 권고하였습니다.
Q:생체여권(전자여권)을 통해 테러를 방지할 수 있나요?
A: 생체여권(전자여권)으로 테러리스트를 색출해내는 것은 불가능합니다. 이것이 가능하려면 세상의 모든 테러리스트들이 테러활동을 시작하기 전에 미 국토안보부(DHS)에 생체정보를 제출한 이 후에 테러활동을 시작하는 것이 전제되어야 합니다. 미 스탠포드 대학의 Lawrence Wein의 연구에 따르면 미국의 테러리스트 목록에 등록된 사람이 미 출입국심사대에서 색출된 확률은 53%에 불과했습니다. 물론, 등록되지 않은 사람의 경우 0%입니다.
<EMBED pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash src=http://www.youtube.com/v/-XXaqraF7pI width=425 height=350 type=application/x-shockwave-flash loop="true" menu="false" quality="high">
[실험]RFID 생체여권(전자여권)으로 국적식별 테러를
Q:생체여권(전자여권)이 왜 인권침해인가요?
A:감시하기 때문입니다. 생체여권(전자여권) 시스템에는 내 삶이 기록됩니다. 내가 누구라는 것만으로는, 내가 테러리스트인지 아닌지 알 수가 없기 때문입니다. 그것을 알기 위해선 그 동안 내가 어떤 삶을 살아왔는지 알아야 하기 때문입니다. 생체여권(전자여권)은 더 이상 자유로운 여행을 도와주기 위한 증명서가 아닙니다. 생체여권(전자여권)은 감시사회로 들어가는 입장권입니다.
또한 생체정보는 개인에게 내재되어 있는 민감한 정보로 개인에 대한 식별자로 사용이 가능합니다. 즉, 개인이 알지못하는 사이에 여기저기 흩어져있는 개인의 정보를 연결해서 개인에 대한 구체적인 묘사가 가능한 것입니다.
나아가 여권에 담긴 생체정보를 개인이 여행하는 각 국가에서 수집해가서 얼마나 저장할지, 어떻게 사용할지에 대한 정보도 통제권도 전혀 존재하지 않습니다. 나의 정보를 국가가 맘대로 거래하는 것은 프라이버시를 침해하는 것입니다.
Q:생체정보가 유출되면 어떻게 되나요?
A:생체정보가 신원확인의 목적으로 점차 사용되고 있는 이상, 생체정보가 한 번이라도 유출된다는 것은, 완벽한 신원위조(identity theft)가 가능해진다는 말입니다. 생체정보가 영원히 변하지 않는 다는 것은, 유출된 생체정보가 오남용될 수 있는 기간도 영구적이라는 의미입니다.
<EMBED pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash src=http://www.youtube.com/v/IVOHbi3WTss width=425 height=350 type=application/x-shockwave-flash loop="true" menu="false" quality="high">
[뉴스]미국 생체여권(전자여권) 취약하다
Q:생체여권(전자여권) 도입으로 국민편익이 증대된다던데..?
A:근거 없는 말입니다. 현재 전 세계적으로 출입국심사와 비자면제를 위해서 생체여권(전자여권)을 요구하는 나라는 미국밖에 없습니다.
Q:자동화된 출입국심사는 정말 가능한가요?
A:출입국심사대는 지하철 개찰구가 아닙니다. 자동화를 할 필요도 없고, 가능하지도 않습니다. 생체인식은 확률을 기반으로 하는 기술이기에 완벽할 수가 없습니다. EU에서는 생체여권(전자여권) 도입 이후에 출입국심사에 소요되는 시간이 약 1분 정도로 증가하였습니다.
Q:미국 비자면제 프로그램(VWP) 가입을 위해선 생체여권(전자여권) 도입이 필요한 거 아닌가요?
A:미국 비자면제로 생체여권(전자여권)을 도입한다는 것은, 미국비자 받을 때 지문 제출하던 것을, 미국을 위해 전 국민이 여권 만들 때 제출해 놓자는 발상입니다. 또한 비자면제 프로그램(VWP) 가입을 위해선 생체여권(전자여권) 도입 이외에도 전자여행허가제(ETA)와 여행자 정보공유 협정 등의 조건이 충족되어야 합니다. 전자여행허가제(ETA)는 이름만 다른 비자제도일 뿐입니다. 여행자 정보공유 협정은 국민 개개인의 사법기록 등을 국가 간에 거래를 통해서 공유하겠다는 협정입니다. 미국의 이러한 오만방자한 조건에 EU 등은 반대의 입장을 분명히 하고 있는데, 한국만이 비자면제에 눈이 멀어서 조건이 뭔지도 모르고 달려가고 있는 꼴입니다. 현재 이런 조건으로 미국의 비자면제 프로그램(VWP)에 가입되어 있는 나라는 없습니다. 한국이 최초입니다.
Q:생체정보가 있으면 본인인증(verification)이 잘 되는 것이 아닌가요?
A:생체인식시스템은 확률에 기반한 인식 시스템이고, 생체인식에는 항상 두 종류의 에러율이 존재합니다. 맞는 사람을 잘못 튕겨낼 오류율(FRR:False Rejection Rate)과 아닌 사람을 잘못 받아낼 오류율(FAR:False Acceptance Rate)이 그것입니다. 한계치를 설정하기에 따라 두 종류의 오류율은 반비례하는 관계입니다. 생체인식시스템이 완벽해지는 것은 불가능한 일입니다. 외교통상부에서는 지문인증실패율이 0.004%라고 발표하고 있습니다. 외교통상부는 엉뚱하게도 한 종류의 오류율만을 발표하고 있습니다. 이것을 FRR이라고 생각했을 때, 한국인 여권소지자 1,300만 명이 평균 10회의 인증을 할 경우 5,200번의 잘못된 인증실패가 발생하는 것으로 계산됩니다. 물론 이것은 FAR은 계산도 하지 않은 수치입니다.