[한국정보공학기술사 보안을 論하다-10] 모바일 신분증, 편리함과 보안의 이중 과제

모바일 신분증에서 발생 가능한 보안 위협, 사용자 관점 및 기술적 관점에서 분석
모바일 신분증, 민간 앱 개방 따라 위협 커져...보안체계 강화 및 보안 인식 상향 필요

<보안뉴스>에서는 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재의 마지막으로 소개되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]

[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안

[이미지=gettyimagesbank]

[보안뉴스= 이제원 기술사/차세대수치예보모델개발사업단] 4차 산업혁명은 우리 일상의 대부분을 바꿔 놓았다. 스마트폰, AI, 블록체인 등의 기술이 확산하면서 개인 증명 수단도 이에 발맞춰 변화하고 있다. 모바일 신분증은 대표적인 개인 증명 대체 수단으로 디지털플랫폼정부 실현계획의 핵심과제다.

정부는 2021년 모바일 공무원증을 시작으로 2022년 모바일 운전면허증, 2023년 국가보훈등록증까지 확대해 올해 2월까지 총 222만여 건의 모바일 신분증을 발급했다. 여기에 정부는 2025년부터 모바일에 주민등록증을 담기 위한 주민등록법(법률 제19841호) 개정안이 국회 본회의를 통과했다고 발표하며, 모바일 신분증 사용을 가속화하기 위한 본격적인 절차에 들어갔음을 알린 바 있다.

이렇듯 모바일 신분증은 정부의 지원과 편리함을 무기로 빠른 속도로 일상생활에 스며들고 있다. 하지만 모바일 신분증은 실물 신분증과 동일한 효력을 가진 만큼 편의성과 함께 보안 위협 우려의 목소리 역시 커지고 있다. 이 글에서는 모바일 신분증에서 발생 가능한 보안 위협과 대응 방안을 사용자 관점과 기술적 관점으로 나눠 살펴보고자 한다.

먼저 ‘사용자 관점’에서의 보안 위협은 화면 캡처, 스마트폰 분실, 사회공학적 공격이 대표적이다. 그중에서 화면 캡처로 인한 신분증 도용은 가장 간단하면서도 강력한 보안 위협이다. 주류나 담배를 구매하려는 청소년들이 모바일 신분증을 캡처한 후 이미지 편집 프로그램을 사용해 성인인 것처럼 합성, 위·변조해 악용하는 사례가 대표적이다.

스마트폰 분실에 따른 보안 위협 또한 존재한다. 스마트폰 분실은 폰에 저장되어 있는 모바일 신분증을 포함해 다양한 개인정보가 유출될 수 있으며 이를 이용한 신분 도용, 금융 사기, 피싱 등 2차 피해가 가능하다.

사회공학적 공격도 보안 위협 요소다. 피싱(Phishing), 소셜 엔지니어링(Social Engineering), 프리텍스팅(Pretexting), 숄더스니핑(Shoulder Sniffing) 등 사용자의 보안 인식 허점을 이용한 공격으로 보안 기술을 무력화할 수 있다.

이처럼 다양한 보안 위협이 존재하지만 이에 대한 대응방안 또한 존재한다. 대표적인 대응방안으로는 화면 캡처 방지 기술이 있다. 사용자가 모바일 신분증 화면 캡처를 시도해도 사진과 QR코드 등 개인정보가 담긴 항목이 저장되는 것을 방지한다. 이를 통해 신분증 도용 및 위조를 방지하는 것이 가능하다.

스마트폰 분실에 대한 대응방안도 있다. 지문, 얼굴, 인식, 패턴 등 다양한 화면 잠금 기술을 사용해 무단 접근을 방지할 수 있다. 또한 스마트폰 원격 제어를 통해 기기를 원격으로 제어하거나 데이터를 삭제해 2차 피해의 최소화가 가능하다.

지속적인 사용자 교육도 효과적인 예방 방법 중 하나다. 안전한 비밀번호 및 인증 사용, 인터넷 사용 습관, 모바일 신분증 공유 금지, 사회공학적 공격 인식 등의 교육을 통해 보안 사고를 예방할 수 있다.

다음은 ‘기술적 관점’에서 발생 가능한 보안 위협과 대응방안에 대해 알아보고자 한다. 기술적 관점의 보안 위협으로는 스마트폰 취약점, 응용 프로그램 인터페이스(API) 위협, 애플리케이션 보안 취약점 등이 존재한다.

스마트폰 운영체제(OS)의 보안 업데이트가 되지 않거나, 보안 취약점을 포함하고 있을 경우 악성코드나 악의적인 공격을 통해 신분증 데이터에 불법적인 접근이 가능하다. 특히 안드로이드폰의 루팅 또는 애플 iOS의 탈옥된 기기는 보안 위협에 쉽게 노출될 수 있다.

데이터 송·수신 과정의 응용 프로그램 인터페이스(API) 보안 위협 또한 존재한다. 신분증 진위 확인을 위한 서버와 클라이언트 간 응용 프로그램 인터페이스(API) 전송 과정에서 중간자 공격, 인증 정보 탈취, 응용 프로그램 인터페이스(API) 남용과 같은 보안 위협이 발생 가능하다.

다음은 ‘애플리케이션 보안 취약점’이다. 스마트폰에 악성코드가 설치되거나 충분한 인증 및 권한 검증 과정 없이 모바일 신분증이 실행되는 경우 데이터에 불법 접근이 가능하다. 이에 대응하기 위한 기술로 TEE(Trusted Execution Environment, 신뢰실행환경), DID(Decentralized Identity, 탈중앙화 신원증명), 응용 프로그램 인터페이스(API) 보안, 다중 인증 등을 활용한다.

TEE는 안전한 데이터 보관을 위한 기술이다. 애플리케이션 프로세서(AP) 칩셋 내 보안 공간(Trustzone)에서 데이터를 처리해 외부의 침입이나 악성 프로그램 등 악의적인 위협을 원천적으로 차단한다. 최근 삼성전자는 TEE 기반의 하드웨어 보안 솔루션이 탑재된 모바일 신분증을 갤럭시 스마트폰에 적용했다고 발표했다.

블록체인 기반의 DID는 공개키, 탈중앙화, 분산 DB 기술을 이용해 데이터의 신뢰성과 보안을 향상한다. 정부는 모바일 신분증에 DID 기술을 적용해 보안을 강화하고 사용자의 자기주권신원(Self-Sovereign Identity)을 구현하고 있다.

응용 프로그램 인터페이스(API) 보안도 중요한 요소다. 응용 프로그램 인터페이스(API)를 통해 전송되는 모든 데이터는 암호화하고, 오오스(Oauth), JWT(JSON Web Token) 등과 같은 표준을 사용해 사용자 인증을 강화해야 한다. 또한, 응용 프로그램 인터페이스(API) 호출 빈도를 제한하고 지속적인 모니터링으로 의심스러운 활동을 감지해 API 보안 위협을 최소화할 수 있다.

다음은 다중인증(두 가지 이상의 서로 다른 인증 요소 요구) 보안 기술이다. 지문 및 얼굴 인식, OTP(One-Time Password), SMS 인증을 다중으로 적용해 신분 도용, 스니핑, 무단 접근 등의 보안 위협에 효과적으로 대응할 수 있다.

▲이제원 기술사[사진=이제원 기술사]

지금까지 소개한 대응방안을 통해 보안 위협을 상당 부분 해소할 수 있다. 그럼에도 불구하고 보안 위협은 앞으로 더욱 증가할 것으로 예상된다. 모바일 신분증을 민간 앱으로 개방하면서 활용 분야가 넓어졌으며, 이제 막 상용화 단계에 들어가 새로운 보안 취약점이 발견될 수 있기 때문이다. 이에 대응하기 위해 정부, 기업, 사용자 모두가 협력해 보안체계를 강화하고 보안 인식을 높이기 위한 노력이 필요한 시점이다.

정부는 보안 캠페인, 공동 대응 계획 수립, 보안 표준화, 위협 정보 공유 등 정책 측면에서 지원하고, 민간은 버그 바운티 프로그램, 기술 혁신, 시장 경쟁 및 파트너십, 보안 커뮤니티 참여 등 유연하고 신속한 기술 대응으로 함께 보안 위협에 대응해야 한다.

하지만 무엇보다 중요한 것은 사용자의 보안 인식이 아닐까 생각한다. 아무리 좋은 정책과 기술이 있다고 해도 사용자의 부주의로 인한 보안 위협이 가장 위험하기 때문이다. 이 글을 읽는 독자 여러분은 모바일 신분증의 보안 위협을 인지하고, 안전한 사용 습관을 통해 소중한 내 개인정보가 유출되지 않도록 주의하길 바란다.
[글_ 이제원 기술사/차세대수치예보모델개발사업단]

필자 소개_
-과학기술정보통신부 부가통신사업자 재난점검위원 및 ICT 멘토
-한국정보보호산업협회 정보보안 및 개인정보보호 전문강사
-한국방송통신전파진흥원 국가기술자격 제도발전위원
-한국정보통신기술협회 중소기업 정보화 자문위원

-정보보안 및 개인정보보호 담당자로 최신 정보보안 트렌드를 꾸준히 접하고 있다. 보안 위협은 지금 이 순간에도 계속해서 진화하고 있기 때문에 이에 대응할 수 있는 담당자의 전문성과 노력이 필요한 시점이다. 이를 위해 보안 서적과 뉴스를 통해 최신 보안 이슈를 파악하며, 이를 기관에 선제적으로 적용하는데 관심이 많다.

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)