‘8자리 이상의 알파벳 대소문자, 숫자, 특수문자로 이뤄진 비밀번호’.
요즘 웬만한 온라인 사이트는 모두 이렇게 복잡한 조건의 비밀번호를 요구한다. 이런 비밀번호는 만들기도 어렵지만, 외우는 건 더 어렵다. ‘패스워드 증후군’이라는 말까지 생겼다. 하지만 내 정보를 안전하게 보호할 수 있다는 생각에 이 번거로움을 모두 감수하며 비밀번호를 만들 수밖에 없는 게 현실이다.
그런데 2017년 8월 이런 방식의 비밀번호 구성을 제안한 빌 버 전(前) 미국 국립표준기술연구소(NIST) 연구원이 월스트리트저널과의 인터뷰에서 “이 가이드라인은 실질적으로 보안에 큰 도움이 안된다”며 “내가 한 일 중 가장 후회하는 일”이라고 밝혔다. 새로운 비밀번호가 필요해졌다.
장관 지문 뚫고, 갤럭시 S8 홍채 인증도 뚫려
통일된 가이드라인에 따라 만든 비밀번호가 아니라 내게 꼭 맞는, 나만이 가지고 있는 개인 맞춤형 비밀번호. 바로 생체인증이다. 우리가 매일 가지고 다니는 휴대전화에도(지문 인증으로 잠금 해제), 종종 애용하는 인터넷 결제에도(결제 전 지문 인증으로 본인 확인) 생체인증이 사용된다. 하지만 현재 생체인증 방식은 의외로 ‘구멍’이 많다.
독일 해커그룹인 카오스컴퓨터클럽(CCC)은 2014년 우리줄라 폰데어라이엔 독일 국방부장관의 지문을 복제해 공개적으로 시연했다. 이들은 공식석상에서 찍힌 폰데어라이엔 장관의 손가락 사진에서 ‘베리핑거(verifinger)’라는 소프트웨어를 이용해 지문을 복제했다.
2016년 5월에는 가짜 눈으로 삼성전자의 ‘갤럭시 S8’의 홍채 보안 인증을 보기 좋게 통과하는 영상을 공개하기도 했다. 이들은 표적이 된 사람의 눈을 야간 촬영 모드로 찍어 출력한 뒤 콘택트렌즈를 붙인 가짜 눈으로 홍채 인증을 뚫었다. 적외선을 이용해 홍채를 인식하는 홍채 인식 시스템의 허점을 노린 것이다(위 QR 코드).
이를 보완하고자 최근에는 다중생체인식 시스템이 각광을 받고 있다. 주로 사용하는 생체인식기술인 얼굴, 지문, 손 구조, 손등정맥, 홍채, 망막, 서명, 음성 등의 생체인식기술 중 2~3개를 모두 통과해야 인증이 완료되는 시스템이다. 2017년 7월 미국 라스베이거스에서 열린 제20회 ‘블랙햇(Black Hat) 콘퍼런스’에서 해커 250명을 대상으로 설문조사를 진행한 결과 ‘가장 뚫기 힘든 보안 형태’에 대한 질문에 38%에 해당하는 해커 95명이 ‘다중요소 인증’이라고 답했다.
지문+홍채+서명, 합쳐서 강하게
다중생체인식 시스템의 구조는 크게 두 가지로 나뉜다. 지문, 홍채, 서명 등 3개 정보를 사용한다고 가정할 때, 각 생체인식 시스템을 독립적으로 운영한 뒤 가장 마지막 단계에서 이 결과를 합치는 방법이다. 사용자의 얼굴 영상에서 특징을 추출하고 이를 등록된 얼굴 특징과 비교해 유사도를 측정한다. 홍채와 서명도 각각 유사도를 측정한다. 마지막으로 이들 결과를 합쳐 최종적으로 판단하는 방식이다. 이를 ‘판단융합 다중생체인식’이라고 한다.
반면 독립적인 생체 특징을 추출한 뒤 이를 하나의 정보로 융합하는 방법도 있다. 이 방법을 선택하는 경우 지문, 홍채, 서명 등 다양한 인증을 거치면서 사용자를 대표하는 단일한 특징이 만들어진다. 이를 ‘특징융합 다중생체인식’이라고 한다.
이런 융합 방식은 다중생체인식 시스템을 안전하게 만들기 위한 중요한 요소다. 단일 생체인증의 치명적인 단점이 정보가 유출될 경우 생체 정보를 다시는 활용할 수 없다는 점이다. 비밀번호가 해킹으로 노출됐다면 다시 만들면 그만이지만, 내 홍채 정보가 유출됐다고 해서 홍채를 다시 만들 순 없는 노릇 아닌가.
다중생체인식 시스템은 홍채와 지문 등 여러 생체 정보가 합쳐진 형태로 저장되기 때문에 정보가 유출된다고 하더라도 융합되기 전 상태로 복원하기가 어렵다. 홍채와 지문 같은 개별 생체정보가 유출되기 어렵다는 뜻이다. 그만큼 보안에 유리하다. 특히 생체인증을 하는 초기 단계에서 정보를 융합할수록 복원은 더욱 어려워지고 그만큼 보안은 강화된다.
신용카드에 지문 인식칩 달아
생체인증을 가장 먼저, 그리고 활발하게 도입한 곳은 보안이 생명인 금융권이다. 일본 스루가 은행 시즈오카 지점은 손바닥의 정맥 패턴을 이용해 사용자를 인증한다. 덕분에 현금카드나 신용카드 없이 현금자동입출금기(ATM)에서 출금이 가능하다. 국내에서도 2015년부터 삼성페이, 시럽페이 등 여러 핀테크 산업에서 지문 인식을 사용하기 시작했고, 은행까지 확대되고 있는 추세다.
마스터카드는 조만간 지문 인식 장치를 내장한 신용카드를 전 세계에 출시할 계획이다. 남아프리카공화국에서 시험적으로 사용되고 있는 이 카드의 오른쪽 상단에는 작은 센서가 부착돼 있고, 지문으로 사용자의 신원이 확인돼야만 카드를 사용할 수 있다. 만약 사용자가 카드의 소유주와 다르면 결제를 할 수 없다.
발 빠른 금융권은 이미 단일 생체인증의 도입을 마무리 짓고, 다중생체인식 시스템으로 전환을 꾀하고 있다. 금융보안원은 2017년 1월 발표한 ‘전자금융과 금융보안’ 보고서에서 “핀테크 활성화 및 편의성이 뛰어난 모바일 중심의 금융서비스로 규제 환경이 변화함에 따라 바이오 인식 기술의 도입이 적극적으로 논의되고 있지만 바이오 정보 위조 및 유출 등의 보안 위협이 존재한다”며 “바이오 정보의 위조 판별, 다중 바이오 인식 등에 대한 고려가 필요하다”고 밝혔다.
일본 미쓰이스미토모은행은 2017년 4월 모바일 다중생체인식 시스템 애플리케이션(앱)을 개발해 현재 출시를 준비하고 있다. 이 앱은 지문과 얼굴, 그리고 음성 등의 생체 정보를 이용해 사용자를 인증한다. 독일의 도이체방크(Deutsche Bank)와 폴란드의 폴란드은행(PKO BP) 역시 암호 시스템을 대체할 다중생체인식 시스템 개발을 진행하고 있다.
◀손목피부인증원리 전자부품연구원이개발중인손목피부인증기술.웨어러블 기기에서빛이방출되면(➊)피부층마다구조가달라(➋) 광학패턴이다르게나타난다는사실을이용했다(➌).빛의 파장이짧고빛을쪼이는부분이탐지기로부터가까울수록 얕은피부층을통과한다.
손목 피부의 광학패턴으로 개인 인증
국내에서는 다중생체인증시스템 관련 기술이 개발되고 있다. 조영창 전자부품연구원(KETI) 수석연구원이 이끄는 연구팀은 손목 심전도와 손목 피부의 광학패턴을 읽어내는 다중 생체인증시스템을 개발했다. 사람의 피부 조직은 표피, 진피, 피하지방으로 나눠지는데, 층마다 주름이나 혈관 분포가 다르다.
연구팀은 웨어러블 기기를 통해 얻은 생체정보로 손목의 피부 조직을 구성하는 요소들의 분포를 패턴화하는 데 성공했다. 파장이 짧은 빛을 쏘면 상대적으로 피부 표면과 가까운 층
에 머물게 되고, 파장이 길어지면 피부 표면에서 먼 층까지 도달하는 원리를 이용했다.
이 시스템은 타인수락율(FAR·타인의 생체정보를 내 것으로 잘못 인식할 확률)이 0.01%, 본인거부율(FRR·생체인식시스템의 오류로 개인을 식별하지 못하는 등 나를 거부할 확률)은 2% 내외로 기존의 지문 인식과 비슷한 수준으로 인증 오류가 낮다. 특히 지문이나 홍채, 얼굴 등의 생체정보와 달리 위조나 변조가 불가능하다는 장점이 있다.
조 수석연구원은 “향후 다중생체인증 시스템이 상용화되기 위해서는 현재 사용하고 있는 지문, 얼굴, 홍채 인식 등과 더불어 위조나 변조가 불가능한 새로운 생체정보가 하나 이상 추가돼야 할 것”이라며 “현재 나와있는 생체인증 중에는 지정맥(손가락 정맥) 인증이 가장 유력해 보인다”고 말했다.
▼관련기사를 계속 보시려면?
