TTA 간행물 - ICT Standard Weekly

> 표준화 참여 > TTA간행물 > ICT Standard Weekly

기술표준이슈

다운로드 (2005-45호)
트위터 페이스북 미투데이

[정보보호] 전자봉인(eSeal) 데이터 보호 기술 표준화 논의 본격화

일본 나고야에서 개최된 제 18차 ISO TC104 SC4 WG2 회의(2005.10.18-10.21)에서는 화물 컨테이너를 안전하고 효율적으로 관리하기 위한 전자봉인(eSeal: Electronic Seal) 기술의 표준화 논의가 활발하게 전개되었다.

본 고에서는 화물 컨테이너 전자봉인의 표준화 현황 및 그 중요성을 살펴보고, 특히 전자봉인의 데이터 보호를 위해 이번 회의에서 본격적인 기술 설명이 시작된 ePP(eSeal Protection Protocol, 전자봉인 보안 프로토콜) 기술 논의를 바탕으로 전자봉인 데이터 보호 기술의 표준화 현황과 향후 전망을 논한다.

 

능동형 RFID 기술을 활용한 화물 컨테이너 전자봉인 기술의 표준화

전자봉인(eSeal) 장치는 433 MHz 주파수 대역을 사용하는 능동형 RFID(Radio Frequency Identification) 장치로써, 화물 컨테이너의 문에 설치되며 컨테이너에 대한 비정상적인 개폐의 시도를 감지하여 주변의 리더에게 알리고 그 이력을 유지하는 역할을 한다. 이러한 화물 컨테이너 관리용 전자봉인 장치는 ISO TC104 SC4 WG2(국제표준화기구의 화물 컨테이너 기술위원회 산하 자동장치 인식 작업그룹)에서 국제 표준화 작업을 진행하고 있으며, 표준문서 번호는 ISO 18185 규격번호를 가지고 있다. ISO 18185 규격은 세부적으로 ISO 18185-1부터 ISO 18185-7까지(ISO 18185-5는 없음) 6개의 파트로 구분되는데, ISO 18185-1 규격은 통신 프로토콜, ISO 18185-2 규격은 응용 요구사항, ISO 18185-3 규격은 동작 환경 특성, ISO 18185-4 규격은 데이터 보호, ISO 18185-6 규격은 리더와 호스트 컴퓨터의 메시지 형식 그리고 ISO 18185-7 규격은 물리 계층 특성을 정의하고 있다.

이번 회의에서 다시 한번 강조된 내용은 미국 국토안보부(DHS: Department of Homeland Security)의 입장인데, 미국 영토에 들어오는 화물 컨테이너에 장착될 전자봉인의 성능과 기능에 대한 요구사항을 수개월내에 ISO TC104 SC4에 제시할 예정임을 밝혔으며, 이에 따라 ISO TC104 SC4 WG2에서는 미국 국토안보부의 의견을 검토하여 향후 ISO 18185 표준문서 작성에 반영하기로 하였다. 2004년 American Shipper 자료에 따르면 우리나라의 연간 컨테이너 수송량은 45만 TEU(Twenty Feet Equivalent Unit)로 세계 6위를 기록하고 있으며, 이 중 약 55%인 25만 TEU는 미국과의 교역 물량으로 파악되고 있다. 따라서 국내에서 국제 표준을 따르는 전자봉인을 적시에 제품화할 수 있도록 ISO 18185 표준문서의 진행사항을 신속하고 정확하게 분석하는 것은 매우 중요한 일이다. 뿐만 아니라, 현재 진행 중인 표준화 논의에 적극적으로 참석하여 국내 기술이 반영될 수 있도록 노력하는 것은 더더욱 중요한 과제이다.

특히 ISO 18185-4 데이터 보호 규격은 향후 전자봉인이 비밀정보를 포함하는 형태로 발전할 경우에 반드시 요구되는 규격이면서도 현재 상황은 구체적인 기술적 논의가 미흡한 상태이므로 국내 기술력을 바탕으로 적극적인 기술 제안과 참여를 통해 국제 표준화를 선도할 수 좋은 아이템으로 판단된다.

 

1세대 전자봉인 데이터 보호 기술

ISO 18185-4 규격은 전자봉인의 데이터 보호와 장치 인증과 같은 보안 기술을 정의하는 것을 주요 목표로 삼고 있는 규격이다. 그러나 이러한 목표를 달성하기 위한 기술적인 내용을 정의해야 함에도 불구하고 일반적인 요구사항만을 나열하여 2005년 8월 31일에 “제 1세대 ISO/WD 18185-4(ISO/WD 18185-4 Gen 1)” 이란 이름으로 작업초안(WD: Working Draft)이 발표되었다. 이 문서는 전자봉인의 데이터 보호 또는 장치 인증과 관련된 기술적 내용을 전혀 담고 있지 않은 문서이다.

ISO TC104 SC4 WG2에서는 전자봉인의 데이터 보호를 위한 표준화 작업의 일환으로 보안 취약점에 대한 분석을 선행하였고 그 결과 도청, 위변조, 서비스 거부 공격에 취약하다고 판단하여 이를 극복하는 방향으로 표준화를 진행하고자 했었다. 그러나 2005년 8월 31일에 발표된 제 1세대 ISO 18185-4 규격은 전자봉인이 비밀정보를 가지지 않는다는 전제조건을 제시하면서 어떠한 보호 기술도 명시하지 않았다. 이러한 가정에서는 전자봉인이 지닌 모든 데이터가 어차피 공개되는 정보이기 때문에 도청 공격은 무시할 수 있지만 데이터 위변조와 서비스 거부 공격에는 여전히 취약할 수 밖에 없다.

 

차세대 전자봉인 데이터 보호 기술

차세대 전자봉인 데이터 보호 규격은 반드시 기존에 분석된 보안 취약점을 극복할 수 있는 기술적 내용을 담아야 한다. 뿐만 아니라, 저장되어 있는 비밀정보에 대한 부인 방지를 위하여 비밀정보 쓰기 동작을 수행하는 기관의 전자서명(Digital Signature)을 포함해야 하며, 공격자가 정상적인 패킷을 구한 후에 이를 재전송하여 시스템의 반응을 이끌어 내고자 하는 재전송 공격도 방어해야 한다.

국내 한국전자통신연구원의 연구진은 차세대 전자봉인 데이터 보호 기술이 요구하는 보안 서비스 제공이 가능한 기술을 개발하고, 이를 바탕으로 ISO 18185-4 표준화에 기술적 기여를 하기 위하여 ePP(eSeal Protection Protocol)라는 명칭으로 전자봉인 보안 프로토콜을 설계하고 이의 표준화를 추진하였다. 그 결과 이번 회의에 ePP 기술을 소개하는 시간을 갖게 되었는데, 둘째 날(2005.10.19) 오전 세션에 대략 30여분 동안 ePP 발표와 질의/응답을 진행함으로써 차세대 전자봉인 데이터 보호 기술에 대한 기술적 논의를 촉진시키는 계기가 되었다.

ePP 기술은 ISO 18185-7 표준문서가 정의하고 있는 물리 계층 특성과 ISO 18185-1 표준문서가 정의하는 통신 프로토콜에 호환성을 유지하며 동작된다. 또한 상용화 수준의 하드웨어 사양에서 소프트웨어 구현이 가능하기 때문에 향후 물리 계층 기술과 통신 프로토콜이 변화하고 하드웨어 업그레이드가 진행된다 하더라도 유연하게 적용될 수 있는 장점을 가지고 있다.

 

향후 전망과 국내 대응전략

이번 회의에서 논의되었던 내용을 통해 파악한 바로는 현재의 전자봉인 규격의 물리 계층 기술과 통신 프로토콜이 전면적으로 변경되지는 않을 것으로 예견된다. 물론 향후에 기술의 진보에 따라 업그레이드 버전이 나올 가능성은 높지만 시장의 요구에 맞게 시기 적절한 제품의 생산을 위해서는 일단은 현재의 규격이 다듬어지는 방향으로 진행될 것으로 보인다.

따라서 국내 한국전자통신연구원의 연구진에 의해 명명되고 설계된 ePP 기술은 전자봉인에 소프트웨어로 탑재되어 구동될 수 있으므로, ISO 18185 규격과의 호환성 유지, 보안 서비스 제공 및 부가적인 비용 상승이 없는 신속한 구현이 가능함을 제시함으로써 ePP 기술이 ISO 18185-4의 차기 버전에서 핵심적인 기술로 포함될 수 있도록 노력해야 할 것으로 판단된다.

더불어 국내의 RFID 개발 업체와 전자봉인 보안 기술을 개발하고 있는 한국전자통신연구원은 ISO 18185 규격에 대한 풍부한 이해와 개발력을 바탕으로 ISO TC104 SC4 WG2 표준화 논의에 적극적으로 참여하고 세계 주요 업체들에 늦지 않게 표준규격을 만족하는 제품을 출시함으로써 국제 시장 확보와 국내 시장 보호에 힘써야 할 것이다.

강유성 (한국전자통신연구원 사이버보안연구본부 선임연구원, youskang@etri.re.kr)

* 본 글은 저자의 의견일 뿐 TTA 기관의 입장과는 무관합니다.