|
RFID 무선접속 규격의 국제 표준화를 담당하고 있는 대표적인 표준화 그룹인 ISO/IEC JTC1 SC31 WG4 SG3(이하 SG3)에서는 지난 2004년에 각 주파수 대역별로 RFID 태그와 리더의 통신을 위한 물리계층 특성과 데이터링크 계층 명령어 포맷을 규정하였으며, 이후 각 주파수별 표준(ISO/IEC 18000-1, 2, 3, 4, 6, 7)에 센서 기능과 배터리 지원 기능을 포함시킨 규격으로 리비전을 추구하고 있는 상황이다. 특히 900MHz 수동형 RFID 규격의 제정과 상용화 추진에 앞장서고 있는 산업체 단체인 EPCglobal은 2004년에 작성한 Class1 Gen2 Version 1.0.9 규격을 ISO 국제표준화 하면서 SG3 그룹이 표준화 추진 중인 ISO/IEC 18000-6의 Amendment 문서에 포함시켰으며, SG3 그룹에 의해서 ISO/IEC 18000-6 Type C로 인정받게 된 것은 매우 잘 알려져 있는 사실이다.
RFID 보안기술의 국제표준화 논쟁이 급물살을 타게 된 시점은 2008년 8월에 미국 피츠버그에서 개최된 SG3 회의였다. 이 회의에서는 오스트리아 대표단이 RFID 파일관리 및 보안기술 표준화를 위한 신규작업화(NP: New Proposal) 내용을 소개하면서 RFID 보안기술의 표준화가 활발하게 논의되기 시작했다.
피츠버그 회의의 가장 큰 주요 이슈는 파일관리 및 보안기술 표준화를 제안한 오스트리아의 신규작업화 제안에 대하여 향후 어떤 형태로 표준화를 접근할 것인가에 대한 논의였다. 당시 RFID 보안을 위한 요구사항 및 기술 소개의 시간이 끝난 후 의장의 제안에 따라 브레인스토밍(brainstorming)이 진행되었는데, 주로 파일관리 및 보안기술을 하나의 문서에서 처리하는 것이 바람직한지 아니면 구분하는 것이 바람직한지에 관한 의견 교환이 많았다. 제안국인 오스트리아 대표단은 현재 투표가 진행 중인 신규작업화 제안서 내용대로 파일관리 및 보안기술 표준화를 하나의 문서로 진행하자는 주장을 폈고, 미국 대표단의 일부에서는 RFID 태그의 파일관리와 보안기술은 별도의 문서로 표준화를 처리하자는 주장을 보였다. 결론은 SG3 의장이 중재, RFID 보안기술 표준화 논의를 위하여 ISO/IEC JTC1 SC31 WG4(이하 WG4)의 주도하에 관련 표준화 그룹들(정확히는 WG4 SG1, WG4 SG3, WG4 SG5, WG5, WG6)이 참가하는 JWG(Joint Working Group)을 결성하여 본격적으로 논의해 보자는 것으로 매듭지어졌다. 또한, 파일관리 및 보안기술을 함께 논의하는 것에 대해서는 각 국가별로 현재 투표가 진행 중인 신규작업화 제안서에 투표할 때 각 국가의 의견을 제시해 줄 것을 권고하는 것으로 마무리 지었다.
RFID 보안기술 국제 표준화
피츠버그 회의 이후 2008년 10월에 오스트리아 대표단이 제안한 RFID 파일관리 및 보안기술 표준화 투표결과가 통과로 공지되었고, WG4에서는 RFID 보안기술을 표준화하기 위한 별도의 표준화 그룹을 구성할 것을 결정하였다. 그 결과 보안기술 논의를 전담하는 Ad hoc 그룹을 결성하였고, 그 최초 텔레컨퍼런스가 2008년 12월에 있었으며 한국에서는 ETRI가 참여하였다. RFID 보안기술 표준화에 대한 간략한 논의가 있었는데, 주요 내용은 RFID 보안기술 표준화 그룹을 어느 위상으로 할 것인가와 보안기술 및 파일관리를 하나의 문서에서 다룰 것인지 아니면 구분하여 다룰 것인지를 논의하는 것이었다. 그러나 텔레컨퍼런스에서는 결정하지 못했고 다음 회의로 안건이 넘어갔다.
이후 2009년 2월에 미국 플로리다 보카라톤에서 개최된 보안 Ad hoc 그룹에서는 기술적인 논의가 있었던 것은 아니지만 중요한 결정 사항들이 있었다. 첫째는 보안 그룹이 처리할 범위가 SC 31 산하의 무선 기술로 확장되어 RFID, RTLS, MIIM을 모두 고려한 보안기술 표준화로 커진 것이다. 이에 따라 SC31 산하의 WG7으로 결성하기로 결정하였고 SC31에게 그 승인을 요청하였다. 둘째는 ISO/IEC 29167 문서를 하나로 유지하고 여기서 파일 관리와 보안기술을 동시에 정의한다는 것이며, 이 문서의 에디터 권한을 오스트리아 제안자와 한국의 ETRI에서 함께 맡기로 하였다.
파일 관리와 보안기술이 함께 처리되다 보니 SG3 멤버들과 SG1 멤버들 모두 보안 Ad hoc 그룹의 논의에 관심을 크게 가졌다. 향후에도 고용량 메모리 태그의 응용을 고려하는 곳에서는 보안 기술 그룹의 논의에 큰 관심을 가질 것으로 예상된다. RFID 무선접속 규격 외에 네트워크 연동을 고려한 RFID 네트워크 표준화는 주로 ITU-T에서 추진되고 있는데, 2006년 9월에 캐나다 오타와에서 개최된 ITU-T SG17 Q.9 임시(Interim) 회의에서 한국이 제안한 Networked RFID 보안을 위한 프라이버시 보호 프레임워크와 프라이버시 보호 가이드라인의 표준화 추진이 결정됐다. 또한 프라이버시 보호 가이드라인은 2005년 10월에 제안되어 연구주제로 선정되었으며 프레임워크는 2006년 4월 회의에 제안되어 오타와 회의에서 연구주제로 선정됐다.
RFID를 이용한 정보 시스템은 자동화된 정보의 수집과 서버에 수집된 정보의 분석을 통하여 RFID 태그를 부착한 사용자의 위치나 전자 거래의 특성을 추적할 수 있기 때문에 이 응용에 대한 프라이버시 문제가 제기되어 왔다. 또한 이를 법제도적으로 예방하기 위한 프라이보호 가이드라인이 우리나라를 포함하여 일본, 미국 등에서 개발되어 적용되고 있다.
그러나 이 프라이버시 보호 가이드라인은 나라마다 독자적으로 개발되어 범세계적 차원의 가이드라인 개발이 요구됐다. 이러한 문제를 해결하기 위한 국제표준이 Networked RFID 프라이버시 보호 프레임워크와 프라이버시 보호 가이드라인에 대한 표준이다. Networked RFID 프라이버시 보호 프레임워크에서는 기존의 RFID 시스템이 갖는 프라이버시 침해 측면의 보안 위협을 분석하고, 이를 방지하기 위한 기술적 차원의 프라이버시 보호 프레임워크와 관련 프로토콜 표준이다. 또한 프라이버시 보호 가이드라인에서는 각 나라에서 개발된 독자적인 가이드라인을 기준으로 ITU-T 차원의 통합된 하나의 프라이버시 보호 가이드라인 표준 개발을 목표로 하고 있다.
프라이버시 보호 프레임워크를 위한 표준의 주요 내용은 프라이버시 침해가 예상되는 위협 분석, 프라이버시 보호를 위한 기본 요구사항, 그리고 사용자 프로파일 기반의 프레임워크가 포함된다. 주요 프라이버시 침해 요인은 태그에 대한 위치 추적, 태그 정보의 누설, 수집된 이력 정보의 누설 등을 포함한다.
프라이버시 보안 요구사항은 보안 태그 ID의 추적 불가성, 소유자에 대한 정보 추출 제어, 정보 소스에 대한 접근제어, 정보 수집에 대한 동의, 성인 정보 접근통제 등을 포함된다. 또한, 프라이버시 보호 가이드라인은 용어 정의, 개인 정보의 기록 금지, 개인 정보의 수집 금지, 개인 정보의 연계 금지 등의 요구사항, RFID 태그의 활성화 및 비활성 표시 등에 대한 요구사항, 수집 표시 및 비활성화 표시 등의 요구사항, 태그의 생체 이식 금지, 태그 리더기의 존재 여부, 태그 정보 보호를 위한 관리 및 기술적 대책, 그리고 사용자 인식 제고 프로그램의 운영 등을 포함된다. X.nidsec-1 드래프트로 시작된 프라이버시 보호 프레임워크 표준은 문서번호 X.1171 표준이 되었으며 프라이버시 보호 가이드라인은 X.rfpg 드래프트가 작성 중이다.
RFID 보안기술 국내 표준화
RFID 보안기술의 국내 표준화는 TTA(한국정보통신기술협회)에서 추진되고 있다. TTA에서의 기술 표준화를 실질적으로 담당하는 곳은 기술위원회로서 2009년 현재 7개 기술위원회가 활동 중이다. RFID 보안기술의 표준화는 정보보호 기술위원회 산하의 PG504(응용보안 및 평가인증 프로젝트그룹)에서 추진되고 있다. PG504에 제출한 표준안의 명칭은 “수동형 RFID 보안태그와 리더의 인증 및 데이터 보호 프로토콜(Authentication and Data Protection Protocol of Passive RFID Security Tag and Reader)”이며 최종적으로는 2008년 12월 19일에 TTAI.KO-12.0091로 표준공고가 완료됐다.
최초 2008년 5월 15일에 과제제안이 되었으며 TTA 과제번호 2008-756으로 PG504에서 논의됐다. 제출된 표준안은 PG504에서의 논의를 거쳐 2008년 11월에 기술위원회를 통과 및 12월에 운영위원회를 통과한 후 최종적으로 12월 19일에 표준총회에서 표준공고를 하였다. 본 표준은 TTA 임시표준으로 확정되었는데, 이는 운영위원회에서 TTA 단체표준으로 진행하기에는 보안 취약점이 존재한다는 의견이 제기되었기 때문이다.
보안 취약점의 근본적인 원인은 수동형 RFID 태그의 하드웨어 제약에 따른 연산 능력이 미약하여 요구되는 응답시간 내에 회신이 가능한 형태의 프로토콜 정의에 기인한다. 그러나 향후 하드웨어 기술의 발전 및 태그 응답시간 조절 등을 고려하면 보다 개선된 수동형 RFID 보안 프로토콜 정의가 필요할 것이다. 따라서 PG504에서는 TTAI.KO-12.0091 표준의 개정안을 마련하려기위해 준비 중에 있다.
USN 보안기술 국내 표준화
PG504에 제출한 USN 보안기술 표준안의 명칭은 “USN에서의 센서 노드 간 인증 및 키 분배 프로토콜(USN Sensor Node Authentication and Key Distribution Protocol)”이다. 최종적으로는 2008년 12월 19일에 TTAK.KO-12.0092의 표준번호로 공고가 완료됐다.
최초 2008년 5월 15일에 과제제안이 되었으며 TTA 과제번호 2008-757로 PG504 응용보안 및 평가인증 프로젝트그룹에서 논의됐다. 제출된 표준안은 PG504에서의 논의를 거쳐 2008년 11월에 기술위원회를 통과하고 12월에 운영위원회를 통과한 후 최종적으로 12월 19일에 표준총회에서 표준공고를 했다.
USN 보안기술 표준에서는 USN에서 노드 간 보안 통신을 위하여 필요한 노드 간 상호 인증 및 암호키 분배를 위한 프로토콜 규격을 정의하고 있다. USN에서 노드 간 보안 통신을 위해 각 노드는 이웃한 노드들에 대하여 통신 접속 권한을 판정하고 통신 데이터를 암호화하기 위한 암호키를 생성할 필요가 있다. 또한 다양한 USN 응용 특성과 다양한 디바이스 특성으로 인하여 각 환경에 적합하도록 필요한 기능에 따라 보안 프로토콜은 선택적으로 적용될 수 있어야 한다.
이 표준은 USN 시스템에 사용되는 센서 노드 간 상호 인증 및 키 분배를 통하여 보안 세션을 수립하는 프로토콜을 정의하는 것이다. 한 노드가 이웃한 노드를 인지하고 보안 통신 접속을 위한 과정을 시작하면 공개키를 사용한 방식, 사전 대칭키 지정 방식 등의 다양한 방법으로 두 노드가 공유하는 마스터키를 생성한 후, 마스터키로부터 통신 데이터 암호화에 사용될 세션키를 생성하도록 규정하고 있다. USN 기술은 사용되는 하드웨어 플랫폼이 다양할 뿐만 아니라 응용에 따른 요구 사항들도 다양하기 때문에 USN 기술에 대하여 적용될 수 있는 표준들이 아직 충분하지 못한 것이 현실이다. 특히 USN 보안기술은 다양한 방법들이 제안되어 왔으나 실제 산업계에는 초보적인 보안 기술들만이 적용되고 있다. TTA에서 제정한 USN 보안기술 표준은 다양한 USN 플랫폼에 선택적으로 적용이 가능한 USN 노드 간 인증 및 키 분배 표준을 제시하여 다양한 보안 요구사항들을 충족시켜 주도록 하고 있다. 따라서 USN 개발 초기에 발생할 수 있는 혼란을 최소화하고 다양한 응용 서비스를 활성화할 뿐만 아니라 향후 국제시장에서도 관련 분야를 선도하는데 기여할 수 있을 것이다.
USN 보안기술 국제 표준화
USN 기술의 표준화는 이제 시작단계라 할 수 있다. 해외의 USN 표준화 접근 방향이 기존의 기술로부터 USN으로의 기술을 접근하고 있다면 국내의 경우 USN 기반 기술을 시범사업으로 활용하면서 기술과 응용서비스 모델의 표준화를 맞춰가고 있다.
USN이 여러 기술의 결합인 만큼 각각의 기술들이 적용되는 비즈니스 모델에 따라 요구하는 프로토콜이 모두 달라 개별적으로 표준을 갖춰가고 있다. USN과 관련된 주요 국제표준화 기구는 ITU-T, ISO/IEC JTC 1/SC 6, IETF, IEEE, 지그비 얼라이언스 등이 있으며, 각각의 전문 분야에 대한 표준화를 추진하고 있다. 국제 표준화기구인 ITU-T에서의 동향을 살펴보면 2007년 12월에 ITU-T SG17 WP2 제네바 미팅에서 USN 키관리에 대한 제안을 논의하였고 2008년 4월 ITU-T SG17 제네바 회의에서 X.usnsec-1을 ISO/IEC JTC1/SC6와 common text로 진행하기로 SC6와 합의하여 2008년 4월 ITU-T SG17 제네바 회의에서 USN 보안 표준화에 대한 로드맵이 검토되어 신속한 표준화 주제로 USN 라우팅 보안과 USN middleware 보안을 결정했다. 이에 따라 2008년 1월 ITU-T Q.2/13, Q.3/13, Q.21/16, Q.22/16 서울 협력 회의에서 Q.2/13은 NGN 환경에서 USN 응용을 지원하기 위한 요구사항(X.USN-reqts) 표준화를 시작하기로 하였고, 2008년 9월 ITU-T SG17 제네바 회의에서 한국은 USN 라우팅 보안과 USN middleware 보안에 대한 표준 개발을 제안하여 과제로 채택했다. 현재 X.usnsec-2에 대한 표준안은 KISA와 ETRI가 공동으로 진행하고 있다.
모바일 RFID 보안기술 국제·국내 표준화
우리나라는 모바일 RFID 포럼과 TTA에서의 표준화를 바탕으로 표준의 국제화와 시장 확대를 도모하고 있는데, 그 노력의 일환으로 ETRI를 중심으로 한 한국 대표단은 ITU-T 표준화 회의에서 모바일 RFID 기술의 비전을 설명하고 표준화 필요성을 주장하면서 표준화를 위한 작업 공간 확보를 시도했다. 그 결과 ITU-T의 표준화 추진 전략을 수립하는 작업반을 만들어 의장과 보고서 작성자 지위를 확보하게 되었고 또한 ITU-T SG13, SG17에서 표준 권고안 작성에 대한 승인도 얻게 됐다.
이렇듯 ITU-T에서의 모바일 RFID 표준화 작업은 우리나라에서 주도권을 쥐고 있는 상황이며 휴대전화에서의 B2C 서비스에 관심을 가지고 있는 일부 국가에서 적극적으로 참여하고 있다. 2006년 7월의 ITU-T TSAG(표준화 자문 그룹) 회의에서는 RFID 표준화를 위한 공식적인 협력 그룹으로서 JCA(Joint Coordination Activity) 그룹이 만들어졌으며 모바일 RFID 기술은 JCA 활동을 통해 지속적으로 표준화 활동이 견인될 예정이다.
모바일 RFID 기술 중 ITU-T 산하의 표준화 그룹에서 표준화 대상으로 삼는 기술적 영역은 태그-리더 사이의 무선 통신 영역을 제외한 모바일 RFID 네트워크 영역 및 응용 서비스 영역이다. 관련 표준 권고안에는 ‘NGN에서의 모바일 RFID의 서비스 요구사항’, ‘RFID 응용을 위한 OID(Object Identifier) 할당 및 관리’, ‘RFID 서비스에 대한 프라이버시 보호 가이드라인’, ‘RFID 서비스를 위한 X.500 디렉토리 서비스 확장’, ‘Networked RFID 프라이버시 보호 프레임워크’ 등이 있다.
모바일 RFID 보안기술 관련한 ITU-T에서의 표준화 활동은 X.1171 권고안에 대한 최종 확정의 결실을 맺었다. X.1171 권고안의 표준문서 명칭은 “Threats and Requirements for Protection of Personally Identifiable Information in Applications using Tag-based Identification”이며 지난 2009년 2월 제네바 회의에서 최종적인 승인을 얻었다.
ISO/IEC JTC1 산하 표준화 그룹에서 모바일 RFID 표준화 논의가 본격적으로 시작된 것은 2007년 1월 SG3 시드니 회의에서 ETRI 연구진이 모바일 RFID 기술 소개 및 리더 칩이 내장된 휴대폰을 공개하면서 본격화 되었다. 이후 2007년 3월 워싱턴 WG4 정기 회의에서 모바일 RFID 서비스를 포함한 시연 동영상과 리더 칩을 내장한 휴대폰을 다시 보여주며 모바일 RFID 표준화 추진을 제안하였다.
그러나 WG4 의장과 일부 유럽 국가에서 NFC의 경쟁상대로 인식한 탓에 비우호적인 태도를 보였고 신규 제안서 제출 분위기가 조성되지 못한 채 모바일 RFID Ad hoc 그룹을 결성하여 2007년 6월 남아공 프리토리아 SC31 정기회의 전까지 좀 더 논의해 보자는 것으로 마무리되었다.
WG4 산하에 결성된 모바일 RFID Ad hoc 그룹은 3차례의 텔레컨퍼런스를 통해 논의한 결과, 최종적으로 2개안을 제시하였다. 첫 번째 안은 WG4 산하에 SG6를 결성하여 모바일 RFID 관련 내용만을 표준화하는 것이고, 두 번째 안은 SC31 산하에 “Mobile Item Identification and Management”를 표준화하는 WG6를 별도로 만들고 WG6 산하에 4개의 SG를 결성하여 모바일 RFID, 모바일 ORM(Optical Readable Media), USN(Ubiquitous Sensor Network) 등을 아우르는 표준화를 진행하자는 방안이다. 그러나 남아공 프리토리아 회의에서는 신규 그룹의 생성에 대해서는 어떠한 결정도 내리지 못했고 2008년 SC31 정기 회의까지 SC31 산하에 “Mobile item identification and management in support of consumer applications”라는 Ad hoc 그룹을 결성하여 신규 표준화 그룹 생성에 관한 타당성을 논의한다는 것으로 결론을 내었다.
비록 SG3에서는 상위 그룹인 WG4로 넘기고 WG4에서는 다시 상위 그룹인 SC31로 책임을 전가시키는 양상이 되었지만 사실상의 모바일 RFID 표준화 로드맵은 Ad hoc 그룹에서 도출할 수 있고 Ad hoc 그룹의 간사를 한국대표단의 일원인 ETRI에서 맡아 첫 번째 Ad hoc 그룹 회의를 2007년 10월에 한국에서 개최하기로 결정하였기 때문에 한국이 모바일 RFID 국제 표준화에 있어서 명실상부한 주도권을 쥘 수 있게 되었다.
이러한 결정에 따라 2007년 10월 30일부터 31일까지 이틀에 걸쳐 서울에서 MIIM(Mobile Item Identification and Management) Ad hoc 그룹의 제 1차 회의가 개최되었는데 9개국 44명의 표준화 위원 및 참관자들이 참석해 열띤 논의를 펼쳤다. 모바일 RFID 기술과 관련된 표준화 추진 의지는 주로 한국 대표단에 의해 주도되었고 일본 대표단은 모바일 ORM(Optically Readable Media)의 표준화에 관심을 가졌으며 미국 대표단에서는 IEEE 1451과 관련된 센서/액추에이터 인터페이스 표준화를 주장했다.
또한 MIIM Ad hoc 그룹은 2008년 3월에 WG6로 승인되었으며 2008년 4월 비엔나 회의에서 한국 대표단의 모바일 RFID 표준화 추진 내용이 공개되었다. 이후 한국대표단은 2008년 7월에 총 8건의 모바일 RFID 관련 기술의 신규작업화 제안서를 제출했으며, 모바일 RFID 보안기술도 그 중 하나로 포함되었다.
ISO/IEC 29167 문서에서 정의되고 있는 RFID 보안기술과는 별도로 모바일 RFID 보안기술은 2008년 11월에 신규제안서가 통과되면서 ISO/IEC 29176 표준번호를 부여받아 새롭게 정의되기 시작하였으며, 이 문서에 대한 에디터 권한을 한국의 ETRI에서 확보했다.
ISO/IEC 29176 표준은 ISO/IEC 29167 RFID 보안기술 표준과의 내용상 충돌을 피하기 위하여 에어 인터페이스의 추가·변경을 추구하기 보다는 모바일 RFID 서비스 사용자의 프라이버시 보호를 위한 프로토콜 정의를 목표로 하고 있으며, 기존의 ISO/IEC 18000-6C 표준과의 호환성을 유지하고 있다.
ISO/IEC 29176 문서는 2009년 2월에 작업초안이 완성되어 관련 회원국들에게 회람되고 있다. 표준 작성을 직접 책임지는 에디터 권한을 확보하고 있기 때문에 한국의 ITU-T 성과인 X.1171과의 연동 및 업그레이드된 기술과의 연동 등을 고려한 보다 융통성 있는 표준안 작성이 가능할 것으로 보인다.
한편, 모바일 RFID 기술 표준화를 위한 국내 활동은 모바일 RFID 포럼과 TTA를 중심으로 매우 활발하게 전개되고 있다. 2005년 2월 창립총회를 개최하며 출범한 모바일 RFID 포럼은 창립 1년이 채 안된 2005년 12월에 자체 제정한 포럼 표준을 TTA 표준으로 제안하여 ‘모바일 RFID 응용 데이터 형식’ 등 7건의 단체표준과 ‘모바일 RFID 서비스 메시지 전송 프로토콜’ 등 9건의 기술보고서를 승인 받았다. 또한 2006년에는 ‘모바일 RFID 리더 제어 프로토콜’ 등 15건의 포럼 표준을 TTA 표준으로 제안하여 승인받기도 하였다.
국내 규격이 국제 논의의 중심
모바일 RFID 기술과 관련된 TTA 단체표준 중에는 보안 기술 표준으로서 2건의 단체표준과 1건의 기술보고서가 포함되어 있다. TTAS.KO-06.0120 문서번호의 ‘모바일 RFID 서비스 보안 요구사항’과 TTAS.KO-06.0146 문서번호의 ‘모바일 RFID 프라이버시 보호 프레임워크’는 TTA 단체표준으로 채택되어 있으며 TTAR-06.0014 문서번호의 ‘모바일 RFID 프라이버시 보호 가이드라인’은 기술보고서로 채택되어 있다.
이미 국내 TTA 표준으로 제정되어 있는 모바일 RFID 기술 규격들은 국제 표준화 추진 시에 참조될 수 있으며 국제 표준화 논의에서 기술 주도권을 행사하는 든든한 버팀목이 되고 있다. 모바일 RFID 보안 기술의 국제 표준화 추진 역시 TTA의 모바일 RFID 보안 기술 표준의 내용을 포함시켜 추진되고 있다.
<글 : 강유성 한국전자통신연구원 RFID/USN보안연구팀 선임연구원(youskang@etri.re.kr), 최두호 한국전자통신연구원 RFID/USN보안연구팀장(dhchoi@etri.re.kr), 박남제 미국 UCLA대학교 WINMEC 연구원(namjepark@ucla.edu)> | 
