최근 연이은 보안 사고로 국민들이 개인정보보호에 대해 민감한 가운데, 외교통상부가 개인정보유출 우려가 높은 전자여권 도입을 밀어부치고 있어서 걱정입니다.
관련 뉴스 : http://www.kukinews.com/news/article/view.asp?page=1&gCode=kmi&arcid=0920885271&cp=nv
외교통상부 관계자는 "전자여권 내장 칩의 정보는 10㎝ 이내 근거리에서 특수 판독 장비를 통해서만 읽어낼 수 있다" 라고 말했습니다만,
1. 사람이 붐비는 공항에서 다른 이의 10cm 이내로 접근하는 것은 쉬운 일임.
2. 특수 판독 장비가 아니라, 용산 전자 상가에서 누구나 구매 가능한 RFID 리더기와 인터넷에 공개되어 누구나 다운로드 받을 수 있는 RFIDiot 이라는 프로그램만 있으면 타인의 여권을 손쉽게 읽거나, 위조/변조할 수 있음.
실제로는 위와 같은 상황입니다.
RFIDiot 이라는 프로그램에 대해서는 RFID 전자여권 복제하기 (http://swbae.egloos.com/1535917)라는 글에서 이미 말씀드린 바 있죠.
마침 진보넷에서 전자여권 해킹을 다루는 해외 다큐멘터리에 친절히 한글 자막을 입혀주셨네요.
전자여권 정보를 위조/변조하는 과정을 동영상과 함께 보시면 보다 피부에 와닿을 듯 하네요.
전자여권 해킹은 위의 동영상으로 보시듯이, 누구나 손쉽게 할 수 있는 것입니다.
개인정보유출 우려가 높은 상황임에도 외교통상부에서 강하게 전자여권을 밀어부치고 있는 것은 아쉬운 일입니다. 기존의 종이 여권을 원하는 사람들을 위해 종이 여권을 발급받을 수 있도록 선택의 여지를 주는 것도 하나의 방법이 될텐데요.
관심있는 분들은 진보넷의 '자유를 위한 여권 재발급 받기 운동'에 참여하는 것도 좋을 듯 합니다.
자유를 위한 재발급 운동 : http://savenature.tistory.com/1464
p.s.: 진보넷에서 제 블로그에 트랙백으로 일종의 낛시질을 원하시는 것 같아서, 아예 글을 하나 크게 올려드렸습니다. 만족하시죠? (윤종신 어투로 읽어주세요~)
이글루스 가든 - professional secur...
관련 뉴스 : http://www.kukinews.com/news/article/view.asp?page=1&gCode=kmi&arcid=0920885271&cp=nv
외교통상부 관계자는 "전자여권 내장 칩의 정보는 10㎝ 이내 근거리에서 특수 판독 장비를 통해서만 읽어낼 수 있다" 라고 말했습니다만,
1. 사람이 붐비는 공항에서 다른 이의 10cm 이내로 접근하는 것은 쉬운 일임.
2. 특수 판독 장비가 아니라, 용산 전자 상가에서 누구나 구매 가능한 RFID 리더기와 인터넷에 공개되어 누구나 다운로드 받을 수 있는 RFIDiot 이라는 프로그램만 있으면 타인의 여권을 손쉽게 읽거나, 위조/변조할 수 있음.
실제로는 위와 같은 상황입니다.
RFIDiot 이라는 프로그램에 대해서는 RFID 전자여권 복제하기 (http://swbae.egloos.com/1535917)라는 글에서 이미 말씀드린 바 있죠.
마침 진보넷에서 전자여권 해킹을 다루는 해외 다큐멘터리에 친절히 한글 자막을 입혀주셨네요.
전자여권 정보를 위조/변조하는 과정을 동영상과 함께 보시면 보다 피부에 와닿을 듯 하네요.
전자여권 해킹은 위의 동영상으로 보시듯이, 누구나 손쉽게 할 수 있는 것입니다.
개인정보유출 우려가 높은 상황임에도 외교통상부에서 강하게 전자여권을 밀어부치고 있는 것은 아쉬운 일입니다. 기존의 종이 여권을 원하는 사람들을 위해 종이 여권을 발급받을 수 있도록 선택의 여지를 주는 것도 하나의 방법이 될텐데요.
관심있는 분들은 진보넷의 '자유를 위한 여권 재발급 받기 운동'에 참여하는 것도 좋을 듯 합니다.
자유를 위한 재발급 운동 : http://savenature.tistory.com/1464
p.s.: 진보넷에서 제 블로그에 트랙백으로 일종의 낛시질을 원하시는 것 같아서, 아예 글을 하나 크게 올려드렸습니다. 만족하시죠? (윤종신 어투로 읽어주세요~)
이글루스 가든 - professional secur...
덧글
진보넷 2008/04/24 10:28 # 삭제 답글
핫핫 :) RFIDiot도 이미 소개해주신 적이 있었었네요. 전에 올려주신 독일 CCC의 내무장관 지문공개도 큰 도움이 되었어요. 그 사건 이 후로 영국에서는 단체들이 총리지문을 지명수배했다고 하네요. 서부풍의 Wanted 포스터로, 호프집과 지하철역등을 도배! 했다고..
oO천랑Oo 2008/04/24 17:33 # 답글
보안을 무시하는 맹신으로 보이는데요.역시 무식하면 용감한가..라는 생각도 드네요.
우리나라는 소잃고 외양간 고치는 병 언제 고칠까요?
ww0jeff 2008/04/26 03:08 # 삭제 답글
전자여권은 확실히 막아야 합니다.동영상보면서 흥미있는 점이 2가지네요.
- 인증서 발급자(인증기관)의 공개키가 왜 검증단말에 없고, 여권에 포함되어 있는지 이해할 수가 없군요. 어이가 없습니다.
- 테러에 악용될 수 있는 걸 리얼시연으로 보여주는군요 폭탄 ..
그나저나 민감한 게시물 지우셨네요. 가슴이 아픕니다. 이번사고 곧바로 언론에 뜰거 같은데요.
지금시간보니 서버를 완전히 내렸네요. 야밤에 누군가 지원해주고 있는거 아닌가 모르겠네요. ^^a
그나저나 공격한 놈들 운영체제 가리지 않고 닥치는대로 다녀가네요.
- 최근에 약간 변형된 sqli 공격건도 같이 언급이 되면 좋겠네요
25일자로 22만 페이지가 감염되었는데 UK정부는 물론이고 우리나라 정부도 몇군데 감염당했습니다.
http://securitylabs.websense.com/content/Alerts/3070.aspx)
http://isc.sans.org/diary.html?storyid=4331
구글링: "http://www.nihaorr1.com/1.js" site:go.kr
행안부에 신고하는거보단 ncsc로 직접 통보하는게 나을 듯 싶네요.
어차피 관제업체에서 중국IP 하고 botnet 컨트롤서버 ip도 다 막았을거 같은데
그래도 웹사이트는 감염된 상태이긴 하니까.. 뒷북일지는 모르겠지만 통보는 해보겠습니다~
주말 잘 보내시구요~
miri 2008/08/11 12:39 # 삭제 답글
검색엔진을 통해서 우연히 들어와서 이 게시물을 보게 됐습니다. 제 여권이 구여권이라 연장해서 전사식을 발급 받아야하는데 이왕 새로 받는거 기다렸다가 아예 전자식을 발급받을까 싶어서 검색을 시작한 거였는데 뭔가 영 꺼림칙하네요.이런 치명적 약점이 있는데도 정부가 전자식을 밀어붙이는 이유가 무엇일지 궁금해지네요
아무튼 게시물 잘 봤습니다.