이 블랙박스들은 보안 기능을 소프트웨어 방식으로 구현하다보니 PC나 일부 프로그램을 통해 영상을 꾸며도 조작한 사실이 드러나지 않아 사실상 보안 기능이 무용지물인 것으로 나타났다.
특히 이들 블랙박스가 산업통상자원부 국가기술표준원의 '국가표준(KS)' 인증을 취득한 제품이라는 점에서 심각성이 크게 대두되고 있다.
15일 고려대학교 정보보호대학원에 따르면 최근 KS인증을 취득한 총 3곳의 차량용 블랙박스를 실험한 결과, "소프트웨어방식으로 보안기능을 구현한 제품은 위·변조 검증기능이 사실상 작동하지 않는 것으로 조사됐다"고 밝혔다.
고려대 관계자는 "하드웨어방식으로 구현한 제품과 달리 영상의 위·변조를 검증할 때 사용하는 중요한 정보인 검증키 관리가 취약해 사고 영상을 조작해도 조작 사실이 나타나지 않은 것"이라고 말했다.
A업체의 경우 사고영상을 PC에서 사고영상파일로 변환(자체파일시스템인 C파일에서 AVI영상파일로 변환)한 후 A업체에서 제공하는 위·변조 검증기능을 실행하면 위·변조가 됐음에도 여부를 알 수 없었다.
이는 PC에서 사고영상을 사고영상파일로 변환(자체파일시스템인 C파일에서 AVI영상파일로 변환)하게 되면 원본을 위·변조하더라도 검증 프로그램에서 변조되지 않은 것으로 나타난다.
이는 파일이 변환하는 시점에서 무결성 검증값을 생성하기 때문에 사고영상파일로 변환 전에 원본을 위·변조하더라도 검증프로그램에서는 위·변조된 사고영상파일을 원본으로 인식해 검증 자체가 무의미하게 되는 것이다.
B업체는 블랙박스 구동프로그램인 펌웨어를 수정해 블랙박스에 업데이트 한 결과, 블랙박스 내장메모리에 저장된 검증키를 삭제하거나 변경, 유출이 가능해졌다.
검증키가 삭제되면서 블랙박스에서 제공하는 위·변조 검증기능이 동작하지 않았다. 또 검증키가 유출되면 PC에서 조작한 영상의 무결성 검증값을 생성할 수 있어 조작이 안된 영상이라는 인증이 가능해졌다. 조작한 영상의 위·변조도 검증할 수 없다.
이들 제품은 국가가 지정한 KS표준에 위반됨에도 KS표준을 취득한 것이다.
이처럼 소프트웨어로 보안기능을 구현하는 제품이 외부 조작으로 인해 쉽게 영상 변조가 가능해짐에 따라 하드웨어적으로 조작이 불가능한 보안 기능을 탑재한 제품이 나와야 된다는 목소리도 나오고 있다.
한 보안업체 관계자는 "블랙박스가 차량 사고가 일어났을 때 시시비비를 가리기 위한 중요한 증거자료로 쓰이는데 위·변조가 가능하다면 사회적으로도 문제가 커질 것"이라면서 "하지만 위·변조가 가능함에도 국가가 KS인증을 준다면 소비자들의 혼란은 더욱 가중 될 것"이라고 말했다.
이어 "애초부터 조작이 불가능한 하드웨어 보안 기능을 탑재해 새로운 KS표준이 시행되기 전에 논란을 최소화 해야할 것"이라면서 "정부에서 좀 더 구체적으로 해당 제품에 대해 검증을 실시해봐야 할 것"이라고 덧붙였다.
앞서 차량용 블랙박스는 2011년 6월 30일 국가기술표준원에 의해 KS표준(KS C 5078)이 제정됐다. 제정한 이래 현재까지 총 3곳의 업체가 차량용 블랙박스 KS인증을 취득했다.
당시 KS표준에서는 차량용 블랙박스에서 촬영된 영상의 위·변조 여부만 확인하도록 판단하는 보안기능만 갖추도록 규정하고 있었다. 하지만 지난 2월 개정된 개정안에는 '파일삭제 여부 확인 기능'을 추가해 임의 조작을 방지토록 했다. 오는 8월부터 개정안이 시행된다.
한편 KS표준은 국가기술표준원에서 기준을 제정하고,한국표준협회에서 KS인증 접수를 받고 있다. 업체에서 한국표준협회에 KS인증 접수를 하면 한국표준협회는 KS인증 시험기관을 지정해 공장심사와 제품시험(신뢰성, 보안)을 진행한다.
현재까지 KS인증 제품시험은 한국산업기술시험원(KTL)에서 모두 수행했으며 보안시험은 KTL 소프트웨어인증센터에서 수행했다
- 기자명 이미영 기자
- 입력 2015.03.15 10:51
- 수정 2015.03.15 10:53
- 댓글 0