구독상품안내
‘카카오 페이’, ‘네이버 페이’, ‘삼성 페이’ 등 기업들이 간단한 인증만으로 돈을 낼 수 있는 서비스를 앞다퉈 내놓으면서 ‘페이’ 경쟁이 벌어지고 있다. 그런데 아무리 간편하더라도 보안이 보장되지 않으면 소용이 없다. 그래서 신체의 고유한 특성으로 본인을 인증하는 생체인증이 점점 중요해지고 있다. 지문은 물론 홍채, 목소리, 손가락 정맥, 얼굴 등으로 본인을 확인하는 방법도 곧 적용될 예정이다. 이런 생체인증은 수학에 그 기초를 두고 있다. 수학이 여는 생체인증 시대를 미리 엿본다.
보이그룹 블락비의 래퍼 지코가 TV에 나와 길거리 상점 앞에서 “사는 게 니나노~” 노래를 부른다. 음악앨범 홍보인 줄 알았는데, 알고 봤더니 모바일 간편결제 서비스 중 하나인 ‘페이코’의 광고였다. 사는 게(생활) 신나는 게 아니라, 사는 게(구매) 너무 간편해서 콧노래가 나온다는 뜻이다. 모바일 간편결제는 간단한 인증만으로 결제를 할 수 있는 서비스다. 사전에 카드 정보를 등록해 놓고 결제할 땐 본인 인증만 하면 된다.
간편함에 안전함을 더해 줄 생체인증
이전까지는 모바일 기기에서 결제나 송금을 하려면 과정이 복잡했다. 비밀번호 누르고, 결제 버튼 누르고, 휴대폰 인증 받고, 공인인증서 비밀번호 누르고, 보안카드 번호 누르고…. 이렇게 복잡한 절차를 거쳐야 했던 이유는 단 하나, ‘보안’이다. 돈이 오가는 문제에서 보안만큼 중요한 것은 없다. 이는 간편함을 내세운 모바일 간편결제에서도 마찬가지다.
그래서 최근 모바일 간편결제와 함께 생체인증이 다시 주목을 받고 있다. 지문 같은 생체정보는 간단하면서도, 다른 사람이 흉내를 내거나 똑같이 만들 수 없기 때문이다. 신체의 특징은 각 사람마다 고유할 뿐만 아니라, 평생 동안 거의 변하지 않는다. 이미 ‘애플 페이’는 기존의 지문인식 기술을 활용해 모바일 간편결제 서비스를 제공하고 있고, 이밖에도 많은 모바일 간편결제 서비스가 생체인증 도입을 앞두고 있다.
우리나라에 금융(Finance)과 정보통신기술(Technique)을 결합한 ‘핀테크(FinTech)’ 열풍이 불면서 생체인증 기술은 이제 지문을 넘어 홍채, 혈관 구조, 얼굴, 목소리, 심박수, 뇌파 등 더욱 다양해지고 있는 추세다. 캐나다의 바이오님이 개발한 스마트 팔찌 ‘님미 밴드’는 결제를 할 때 손목에서 심장박동을 측정해 본인인지 확인한다.
우리나라에서도 이미 다양한 생체인증 기술이 개발된 상태다. 전문가들은 2020년이면 스마트폰과 태블릿PC, 웨어러블 기기 등 모든 스마트 모바일 기기에 생체인식 장치가 들어갈 것으로 예측하고 있다.
수학으로 인식하는 생체정보
생체인증은 크게 두 과정으로 나뉜다. 사용자의 생체정보를 등록하는 과정과 사용자 자신이 자신임을 확인받는 인증 과정이다. 생체인증 시스템은 저장된 생체정보와 센서로 읽은 생체정보를 1:1로 비교해 일정 수준 이상으로 비슷하면 본인으로 인증한다. 수집하는 생체정보에 따라 사용하는 알고리즘은 서로 다르지만, 어떤 생체인식 기술이든 그 기본 원리는 같다.
정수론으로 생체정보 암호화
신체의 특징을 파악하고 정보를 암호화, 저장, 검증하는 모든 과정은 수학을 통해 이뤄진다. 지문을 눈으로 비교한다면, 정확히 얼마나 비슷하고 얼마나 다른지 알 수 없다. 우리 눈에는 다르게 보이지만 같은 지문일 수도 있고, 반대로 매우 비슷해 보이지만 전혀 다른 지문일 수도 있다. 또 사람마다 ‘같다’고 느끼는 정도가 매우 다양해서 일정한 기준을 세워 본인 여부를 판단하기도 어렵다.
하지만 수학을 활용하면 정확하고 일관되게 비슷한 정도를 측정할 수 있다. 먼저 도형의 성질을 다루는 기하학으로 지문의 생김새를 정확하게 나타낼 수 있다. 그러면 두 지문이 얼마나 비슷한지 확률 분포를 구해서 정확한 판단을 내릴 수 있다. 예를 들면, ‘99% 이상 일치할 때’ 두 지문이 같은 사람의 것이라고 판단하도록 하는 것처럼 일정한 기준을 만들 수도 있다.
또한 신체의 중요한 특징과 패턴을 수열로 나타내면 지문을 암호화할 수도 있다. 이때는 정수의 성질을 다루는 수학의 한 분야인 정수론을 활용한다. 홍채나 얼굴 등 다른 생체정보의 경우에도 마찬가지다.
나를 구별해 주는 특징벡터
생체인증에서 가장 중요한 것은 어떤 특징을 사용할 것인지 결정하는 일이다. 일부 특징을 가지고 본인 여부를 정확하게 파악할 수 있어야 하기 때문이다. 얼굴 인식을 예로 들면 눈·코·입의 상대적 크기와 이들 간의 거리, 얼굴을 여러 구역으로 나눴을 때 각 구역 안에 있는 점의 위치 등을 생각해 볼 수 있다. 이런 신체의 특징은 ‘특징벡터’로 나타낸다. 벡터는 방향과 크기에 관한 정보를 모두 담고 있다.
목소리도 특징벡터로 나타내 인증에 쓸 수 있다. 목소리에서 높이, 어조, 리듬, 강세 같은 습관적 특징뿐만 아니라 폐활량, 성대의 길이와 모양 같은 신체의 특징까지 추출한다. 이렇게 목소리를 대표하는 100개 이상의 특징을 특징벡터로 나타내고 여기서 얻은 목소리 그래프를 ‘인증 템플릿’으로 등록해 사용한다. 기존에는 사전에 등록된 문장을 말하는 것으로 인증했지만, 최근에는 정해진 문장 없이 목소리를 2초 이상 내기만 해도 분석이 가능하다. 소리가 아닌 특징벡터를 비교하기 때문이다.
본인 인증을 위해 화자인식 시스템은 다음의 세 가지 특징벡터를 서로 비교한다. ①사전에 등록한 목소리의 특징벡터, ②목소리를 새로 입력해 얻은 특징벡터, ③다른 사람들 목소리를 표현하는 특징벡터다. 간단히 예를 들면, 두 벡터 사이의 각도나 거리를 구해 비슷한 정도를 측정한다. ②가 ①에 가까우면 본인으로 인증하고, ③에 가까우면 인증을 거부한다. 한편 일단 만든 목소리 그래프는 완전히 수학적인 표현으로, 다시 원본 목소리로 복원할 수 없다.
생체인증, 이중 보안이 필요하다
생체정보는 평생 동안 거의 변하지 않는 각 사람의 고유한 특징이다. 개인을 정확히 인증할 수 있도록 해 준다는 점에서 보면 생체정보의 가장 큰 장점이지만, 거꾸로 외부에 생체정보가 유출되거나 도난당할 경우에는 심각한 문제가 되기도 한다. 비밀번호는 유출되면 번호를 바꿀 수 있지만, 생체인식 정보는 그럴 수 없기 때문이다.
생체정보 보호하는 해싱 알고리즘
그래서 생체인식 시스템은 생체정보를 이미지나 소리 그대로 저장하지 않고, 암호화된 템플릿 형태로 저장한다. 홍채를 스캔하면 홍채 템플릿이 생긴다. 이 템플릿은 홍채의 일부를 수학적으로 표현한 것으로 스캔한 이미지와 다르다.
또한 등록된 템플릿은 수학적 알고리즘을 통해 암호화된다. 따라서 최종적으로 저장되는 템플릿으로는 원본 템플릿이나 원본 생체정보를 알아내기 매우 어렵다. 암호화를 수행하는 알고리즘은 혼자만 알고 있으면서 수시로 변경 가능한 퍼즐을 조합하는 방식, 생체정보를 마치 쓸모없는 정보처럼 보이도록 위장해서 중요한 부분을 알아내기 어렵게 숨기는 방식, ‘해싱’을 해서 저장하는 방식 등 여러 가지가 있다.
그 중 해싱은 일반적인 비밀번호에도 많이 쓰이는 방법이다. 특정 값을 역변환이 불가능한 다른 값으로 바꾸는 것이다. 여기에는 정수의 다양한 성질이 쓰인다. 간단한 예로, 보호하고자 하는 숫자를 특정 값으로 나눈 나머지를 저장하는 방법이있다. 보호하고자 하는 수가 125라면, 이를 100으로 나눈 나머지 25로 변환해 저장한다. 이렇게 저장되는 값을 ‘해시’라고 한다.
실제로는 100처럼 단순한 수가 아니라 128자리, 256자리, 512자리 등 훨씬 더 큰 수를 사용한다. 여기서 나누는 수를 정해놓지 않고 무작위로 만든 값을 사용하면 훨씬 더 복잡한 암호화가 가능하다. 그래서 사용자가 생체정보를 스캔할 때마다 시스템은 매번 같은 알고리즘을 수행하고, 그 결과를 저장된 해시와 비교한다.
두 개 이상의 조합이 안전
두 가지 이상의 생체정보를 이용해서 사용자를 인증하는 방식도 개발되고 있다. 다중 생체인증은 단일 인증 방식보다 복제나 위조, 도용이 더 어렵다. 하지만 센서를 따로따로 설치해야 하고, 사용자도 두 번씩 인증해야 하기 때문에 불편하다. 그래서 최근에는 홍채와 얼굴처럼 센서 하나로 동시에 두 가지 이상의 생체정보를 인식하거나 생체정보와 다른 정보를 조합해 인증하는 기술에 대한 연구가 활발히 이뤄지고 있다.
그 중 하나가 ‘지속 인증’이다. 사용자가 눈치 채지 못하는 사이 사용자 인증과 관련된 여러 정보(생체정보, 위치, 시간 등)를 지속적으로 분석하고 조합해서 사용자를 인증하는 방법이다. 대표적으로 얼굴과 목소리가 쓰일 수 있다. 김건우 한국전자통신연구원 사이버보안연구본부 휴먼인식기술연구실장은 “생체인증은 보안이 확실할 경우에만 편리한 기술”이라며 “생체정보의 보안은 수학 없이는 불가능하다”고 말했다.
