소프트웨어 방식으로 보안 기능이 구현되는 국내 제조 차량용 블랙박스가 KS 인증을 취득한 제품임에도 영상의 위·변조 사실이 드러나지 않는 문제가 발견됐다.
15일 고려대학교 정보보호대학원에 따르면 최근 산업통상자원부 국가기술표준원의 ‘국가표준(KS)’ 인증을 취득한 차량용 블랙박스 3종을 실험한 결과, 소프트웨어방식으로 보안기능을 구현한 제품은 위·변조 검증기능이 작동하지 않는 것으로 확인됐다.
차량용 블랙박스의 KS 표준 ‘KS C 5078’은 2011년 6월 30일 국가기술표준원에 의해 제정됐다. KS인증지원시스템에 따르면 제정 이래 현재까지 KS인증을 취득한 블랙박스 업체는 ㈜아이전자(미동전자통신), ㈜지넷시스템(티벳시스템), ㈜에스티엠아이(제이엠다이나믹) 세 곳이다.
다만 이번 실험은 KS인증을 받은 세 업체의 제품만을 대상으로 한 것이다. 현재 블랙박스 제품에서 KS인증 자체가 강제 규격이 아니고 KS인증을 받지 않은 채 테스트 기준을 통과했다는 사실로 홍보하는 업체들도 많은 상황이기 때문에, 소비자들은 KS인증을 받지 않은 블랙박스 제품이라도 보안 기능 구동 방식이 소프트웨어인지 하드웨어인지를 각각 체크해야 할 것으로 전망된다.
KS인증은 규격 테스트 외에도 지속적으로 제품을 생산할 수 있는 자체 공장이 없으면 인증을 부여하지 않는 등 조건이 까다로워 현재까지 공식적으로 인증을 취득한 업체는 위 세 곳에 불과하다.
◆소프트웨어 방식 두 제품, 위·변조 확인 문제 드러나
실험 결과에 따르면 이 제품들 중 소프트웨어방식으로 보안 기능이 구현된 제품은 영상의 위·변조 검증에 사용되는 검증키 관리가 취약해 PC나 기타 프로그램으로 사고 영상을 조작해도 조작 사실을 구분할 수 없었다.
한 제품은 자체 파일시스템으로 제작된 사고영상을 PC에서 AVI영상 파일로 변환한 후 해당 업체의 위·변조 검조 기능을 실행하면 변조 여부가 확인되지 않았다. 이는 파일이 변환될 때 무결성 검증값이 생성되기 때문인 것으로 조사됐다.
다른 업체의 제품은 블랙박스 펌웨어를 임의 수정해 업데이트하면 내장 메모리의 검증키의 삭제·변경·유출이 가능한 것으로 드러났다. 검증키가 삭제거나 유출되면 검증 기능이 동작하지 않거나 조작 영상의 위·변조를 검증할 수 없다.
최근 들어 블랙박스가 널리 보급됨에 따라 사고의 시비를 가리는 데 유용하게 사용되고 있는 점을 감안해 보면 이처럼 소프트웨어로 보안 기능을 구현하는 블랙박스 모델의 경우 신뢰도가 크게 하락하거나 악용될 가능성이 높다. 더군다나 이들 제품이 KS표준을 취득했다는 사실은 애꿎은 피해자를 양산할 우려를 야기할 것으로 보인다.
한 보안업체 관계자는 “블랙박스가 차량 사고가 일어났을 때 시시비비를 가리기 위한 중요한 증거자료로 쓰이는데 위·변조가 가능하다면 사회적으로도 문제가 커질 것”이라면서 또한 “위·변조가 가능함에도 국가가 KS인증을 준다면 소비자들의 혼란은 더욱 가중 될 것”이라고 덧붙였다.
소프트에어로 보안기능을 구현하는 제품의 문제가 발견됨에 따라 애초부터 조작이 불가능한 하드웨어 보안 기능을 탑재한 제품만이 KS인증을 취득해야 한다는 목소리도 나온다.
이 관계자는 “애초부터 조작이 불가능한 하드웨어 보안 기능을 탑재해 새로운 KS표준이 시행되기 전에 논란을 최소화 해야할 것”이라며 “정부에서 좀 더 구체적으로 해당 제품에 대해 검증을 실시해야 한다”고 덧붙였다.
한편 2011년 제정된 KS표준에서는 차량용 블랙박스에서 촬영된 영상의 위·변조 여부만 확인하도록 판단하는 보안기능만 갖추도록 규정하고 있었다. 오는 8월 시행될 예정인 개정안에는 ‘파일 삭제 여부 확인 기능’이 추가됐다. [ 시사포커스 / 김종백 기자 ]
