d라이브러리

작년 9월, 애플의 아이클라우드(iCloud) 해킹으로 제니퍼로렌스, 케이트업튼 등 내로라하는 할리우드 여배우의 누드 사진이 유출됐다. 애플은 이들이 아이디와 비밀번호를 허술하게 관리해서 계정을 해킹 당했다고 발표했다. 이런 일이 반복되자 각종 사이트들은 비밀번호를 강화하기 위해 대문자, 소문자, 숫자, 특수문자를 모두 포함한 8자리 이상의 비밀번호를 요구하기 시작했다.

비밀번호를 만드는 사람은 죽을 맛이다. 이렇다 보니 한 번 만든 비밀번호를 여기저기 계속 사용하는 경우가 많다. 미국 카네기멜론대 컴퓨터공학과 로리 패이스 크레너 교수가 같은 학교 교직원 및 학생 470명을 대상으로 설문 조사한 결과, 한 번 만든 비밀번호를 다시 사용하는 사람은 80%에 육박했다. 로리 교수는 TED 강연에서 "정작 사용하는 특수문자는 몇 개 없다"며 "특수문자 때문에 오히려 암호의 강도가 약해진다"고 주장했다. 특수문자를 써도 문제고, 안 써도 문제다. 어렵게 암호를 만들어도, 외우지를 못하면 무용지물이다. 아무래도 비밀번호는 우리의 소중한 정보를 완벽히 지켜주기엔 역부족이다.

비밀번호의 문제점을 해결하고자 나온 것이 '생체 기반 인증방식'이다. 지문, 홍채, 얼굴 등 사용자의 신체를 이용하거나 목소리 인식, 타이핑리듬 인식 등 사용자 행동 특징을 암호로 이용하는 것. 예를 들어, 홍채는 눈에 들어오는 빛의 양을 조절하는데, 이 때 쓰이는 근육인 조임근은 사람마다 다 다른 모양을 가지고 있다. 이것이 같을 확률은 10억 분의 1 밖에 되지 않는다.

생체 정보를 이용하면 암호를 따로 외울 필요도 없고 유출될 염려도 없어, 이를 암호로 사용하려는 시도는 예전부터 있었다. 우리나라에서는 2000년대 초 우리은행이 처음으로 ATM기기에 지문인식 기술을 도입했다. 하지만 단말기 보급이 부족하고 바이오인식 기술의 정확성이 떨어져서 널리 보급되지 못했다. 이후 기술이 발전하며 이 문제는 자연스레 해결됐다. 바이오인식 기술의 정확성은 본인거부율, 타인수락율로 평가한다. 두 수치가 작을수록 정확한 기술이다.

●본인거부율: 바이오인식시스템 오류로 개인을 식별하지 못하는 등 나를 거부할 확률.
●타인수락율: 타인의 바이오정보를 내 것으로 잘못 인식할 수 있는 확률.

 

 

   
마이크로소프트사는 올해 하반기에 출시될 윈도우10에 생체인식 기술을 도입할 예정이다.

 

가장 널리 쓰이는 지문인식은 평균적으로 본인 거부율이 0.1~0.5%, 타인수락율은 0.001~0.01%다. 이재득 금융결제원 금융결제연구소 연구원의 보고 서에 따르면, 가장 정확한 기술로 평가되는 홍채인식 기술은 본인 거부율이 0.0001~0.1%로, 약 100만 번 에 한 번 꼴로 오류가 발생한다. 여기에 더해 지난 3월 공인인증서 의무화 폐지 법안이 개정되면서 공인인 증서 대신 생체 인증수단을 사용하려는 국내 은행이 늘고 있다. 신한은행은 고객이 스스로 은행업무를 할 수 있는 ‘셀프뱅킹’ 시스템의 인증 수단으로 손바닥 정맥을 도입하기로 했다. 신한은행 관계자는 “시기를 정확히 말할 순 없지만, 빠른 시일 내에 손바닥 정맥 을 인식할 수 있는 장치가 부착된 ATM기기를 생산 할 예정”이라고 말했다. 

가장 손쉽게 볼 수 있는 생체 인증수단은 휴대전 화의 지문 인식 기능이다. 애플은 아이폰5S부터 지 문인식 기능을 추가했다. 삼성 역시 ‘갤럭시5’ 이후 모 델부터는 지문인식으로 휴대전화 잠금을 풀 수 있다. 올 여름 출시될 마이크로소프트사의 윈도우10도 생 체 인증 방식을 제공한다. 지문 인식 스캐너가 탑재된 PC에서는 지문으로 사용자 PC에 접근할 수 있고, 인 텔 리얼센스 3D 카메라가 포함된 PC에서는 홍채인 식까지 가능하다. 

 

 

그렇다면 스마트폰 생체 인증이 결제까지 이어질 순 없을까. 실제로 애플페이나 삼성페이는 스마트 폰 지문 인식을 이용해 결제가 가능하다. 하지만 문 제는 애플페이는 아이폰에서만, 삼성페이는 삼성전 자 모델에서만 가능하다는 점이다. 이 둘의 기술규격 이 다르기 때문이다. 그래서 구글, 비자&마스터카드, 페이팔, 마이크로소프트 등 여러 기업들은 힘을 합 쳐 2012년 7월, '파이도 얼라이언스(FIDO Alliance)' 라는 협의회를 설립했다. 파이도 얼라이언스는 생 체 인증 수단에 대한 기술규격인 파이도(FIDO : Fast Dentity Online)를 정했다. 이 기술규격엔 단말기기 의 시스템, 프로토콜 등이 포함된다. 파이도 인증을 받은 생체 인증 기술은 파이도 규격에 맞는 모든 단말 기를 지원할 수 있다. 아직 생체 인증에 대한 국제 기 술 규격이 정해지진 않았지만, 많은 고객을 보유하고 있는 기업들이 가입해 사용하고 있는 파이도가 시장 에서 선택되지 않겠냐는 목소리가 크다. 파이도 기술 규격에 최신 보안 기술이 많이 적용됐다는 것도 또 다 른 이유다.

파이도 규격에 맞는 휴대전화로 스마트 결제를 하 는 과정을 알아보자(그림 참고). 결제를 할 '과동카드' 는 파이도를 적용한 생체 인증 기술을 사용한다고 가 정해 보자. 먼저 과동카드 앱을 켜, 사용자 등록을 하겠다는 메시지를 보낸다. 그럼 파이도 서버는 등록 요청과 함께 접근하는 단말기, 즉 나의 휴대전화가 파이도 규격에 맞는 것인지 확인한다. 이를 통과하면 지문을 등록하라는 메시지가 뜬다. 홈버튼을 누르면 내 지문이 데이터화되고, 동시에 공개키와 비밀키를 만든다(64쪽 랜섬웨어 기사 참고). 지문과 비밀키는 내 휴대전화에 저장되고, 휴대전화 정보와 공개키는 파이도 서버 및 과동카드 서버로 전송된다.

 

 

제대로 등록이 됐는지 확인해 보자. 다시 한 번 앱을 켜고 인증 시작을 알린다. 파이도 서버는 인증을 요청하고 단말기를 확인한다. '꾹'. 지문을 홈버튼에 찍으면 내 휴대전화에 저장돼 있는 비밀키 접근 권한이 주어진다. 이 과정을 통과하면 비밀키로 서명된 전자서명이 파이도 서버에 보내지고 파이도 서버는 저장된 공개키로 전자서명을 검증한다.

정리해보면 이렇다. 비밀키와 내 지문정보는 내 휴 대전화에만 저장되기 때문에 서버가 해킹 당해도 유 출될 염려가 없다. 휴대전화를 잃어버린다면? 그래도 내 개인 정보는 안전하다. 내 지문이 없이는 비밀키의 접근 권한이 없기 때문이다. 즉, 내 지문과 휴대전화가 모두 있어야 개인 정보를 얻을 수 있다. 

국내에서는 삼성SDS의 생체 인증 솔루션이 파 이도 표준 규격의 적합성을 검증하는 파이도 레디 (Ready) 인증을 받아 4월 20일 출시됐다. 전자결제 기 업 KG이니시스는 삼성SDS의 솔루션을 도입해 5월 중으로 간편결제 ‘케이페이’에 지문 인증 서비스를 추 가할 예정이다. KG이니시스를 필두로 다른 전자결제 기업들도 생체 인증 수단 도입을 검토 중이다.

바야흐로 새로운 비밀번호의 시대가 다가오고 있 다. 어려운 비밀번호를 고민하던 날들이여, 안녕. 임시 비밀번호를 외우던 날들이여, 안녕. 이제는 ‘내’가 비 밀번호가 될 시간이다.