[IT동아 남시현 기자] SK텔레콤 유심 교체가 6월 7일 기준으로 659만 명을 달성했습니다. 이는 가입자 중 70%에 해당하며, 293만 명이 교체를 기다리고 있습니다. 이번 사태로 인해 많은 사용자들이 원하지 않더라도 유심을 교체해야 했으며, 일반 유심(USIM)보다 두 배 가량 비싼 NFC(근거리 통신) 사용자는 일반 사용자보다 더 불편함을 감수해야 합니다. NFC 유심이란 일반 유심에 NFC 기능을 추가한 유심으로, 교통카드 및 도어록, 차량 키 등으로도 사용할 수 있습니다.

그런데 이번에 NFC 유심 교체 이후 NFC 보안에 대해 우려를 나타내는 분들이 있습니다. MATOOOOO님께서도 “그간 NFC 유심을 도어록 카드키 기능으로 활용해 왔습니다. 그런데 이번에 저와 배우자 스마트폰의 NFC 유심을 모두 교체했는데 등록하지 않은 배우자 스마트폰으로도 도어록이 열립니다. 같이 생산된 NFC 유심을 같이 사용해서 문제가 됐거나, 도어록이 좀 지난 모델이라 그런게 아닌가 싶은데 어떻게 해야할까요?”라는 메일을 보내주셨습니다. 사실 NFC 유심의 도어록 보안 문제는 예전부터 있었는데, 자세히 말씀드리겠습니다.

NFC 유심 카드키, 도어록 보안 취약점과 관련

안녕하세요, IT동아입니다. NFC 유심은 티머니 교통카드 기능, 도어록의 카드키 기능, 차량의 디지털 키 용도로 주로 활용됩니다. 최근에는 삼성페이가 자체적으로 무선 교통카드 기능을 지원하므로 쓸 일이 많지는 않습니다. 아이폰은 제3자 NFC를 지원하지 않으므로 NFC 유심을 쓰는 것 자체가 의미가 없고요. 즉 MATOOOOO님처럼 카드키 기능으로 쓰는 것이 대표적인 활용 방안입니다.

MATOOOOO님께서 우려하시는 부분은 ‘NFC 유심을 동시에 교체했는데, 등록하지 않은 NFC 카드키로도 도어록이 열린다’는 것 같습니다. 사실 이는 구형 도어록에서 널리 알려진 보안 취약점이며, NFC 유심뿐만 아니라 스마트워치로도 열립니다. 이 문제로 2012년 국가기술표준원이 도어록 110만 대와 현관개폐기 15만 개를 리콜한 전례가 있습니다. 당시 도어록을 그대로 쓰고 계시거나, 국내 인증이 없는 중국산 제품 등을 활용하고 계신다면 지금도 발생할 수 있는 문제입니다.

NFC 유심은 제조 과정에서 고유하고 고정된 식별 번호(UID)를 부여받습니다. 이는 주민등록번호처럼 각 NFC 칩을 구분하는 데 쓰입니다. 도어록의 NFC 리더에 NFC 유심칩을 가져다 대면 이 UID가 카드키 목록의 UID와 맞는지 확인하고 문을 열어줍니다. 다만 구형 시스템이나 저렴한 RFID 시스템은 별도의 이중 보안이나 암호화 없이 UID가 맞는지만 확인합니다.문제는 NFC 교통카드용 유심의 UID는 한 개의 UID로 대량생산됩니다. 그래서 다른 기기로 열릴 수 있는거죠.

프롭테크 전문 기업이자 국내 주요 도어록 제조사인 직방(舊 삼성SDS 홈 IoT 사업부)에 문의한 결과, 최근 SKT NFC 유심을 교체한 스마트폰 세 대와 직방 도어록으로 시험한 결과에서는 NFC 카드키로 도어록을 개방할 수 없다는 답변을 받았습니다. 애초에 직방 도어록은 NFC 차단 소프트웨어를 적용해 등록 자체가 안되며, 스마트폰 카드키는 직방 스마트홈 앱과 와이파이로 연동되는 방식을 사용합니다. 즉 NFC 유심의 보안 취약점을 인지해 NFC 유심 자체를 지원하지 않습니다. 다른 브랜드들 역시 최신 제품은 비슷할 것으로 예상됩니다.

NFC 유심으로 도어록이 열리는 문제는 결국 SKT NFC 유심을 사용했다기보다는 구형 도어록이 이중 보안 없이 UID만으로 열리게끔 설계됐기 때문입니다. 따라서 도어록을 최신 제품으로 교체하는 것을 추천드리며, 카드키 기능은 도어록과 함께 제공되는 카드키를 사용하시기 바랍니다. 도어록에 제공되는 카드키는 각각 별개의 UID를 가지므로 안전합니다. 또 NFC 유심을 활용한 카드키는 도어록뿐만 아니라 보안 시설, 자동차 등 다른 곳에도 쓰지 않는 것을 권고합니다.

다만 NFC 유심이 아니라 스마트폰 자체 NFC 기능을 지원하는 조건은 괜찮습니다. 스마트폰의 NFC는 UID를 주기적으로 변경하기 때문에 고정된 UID로 인해 발생하는 보안 문제 등이 거의 발생하지 않습니다.

'IT애정남'은 IT제품이나 서비스의 선택, 혹은 이용 과정에서 고민을 하고 있는 독자님들에게 직접적인 도움이 되고자 합니다. PC, 스마트폰, 카메라, AV기기, 액세서리, 애플리케이션 등 어떤 분야라도 '애정'을 가지고 맞춤형 상담을 제공함과 동시에 이를 기사화하여 모든 독자들과 노하우를 공유할 예정입니다. 도움을 원하시는 분은 IT동아 앞으로 메일(pengo@itdonga.com)을 주시길 바랍니다. 사연이 채택되면 답장을 드리도록 하겠습니다.

IT동아 남시현 기자 (sh@itdonga.com)