• 生體 認證 技術이 注目받는다. 指紋 얼굴 虹彩 靜脈 等 ‘身體 特徵’을 利用한 技術이 있으며, 音聲 걸음걸이 署名 等 ‘行動 特徵’을 活用한 認證도 있다. 生體 認證은 神奇한 技術이지만 旣存 文字 入力 方式보다 保安에 脆弱하다는 事實을 모르는 사람이 많다.

筆者는 7年 全 生體 認證 技術을 처음으로 接했다. 指紋 認證이 그것이다. 重要한 技術 데이터를 가진 硏究所에 勤務하다 보니 保安이 森嚴했다. 祕密番號 入力 後 地文으로 또 한 番 認證받는 過程을 거쳐야 컴퓨터에 接續할 수 있었다. 祕密番號 入力 後 簡便하게 마우스에 손만 갖다 대면 됐기에 不便한 것은 없었다. 처음 接한 技術이어서 新奇했을 뿐이다. 

只今은 生體 認證에 놀라는 사람이 別로 없다. 여러 分野에서 이 技術을 使用하기 때문이다. 特히 스마트폰에서 生體 認證을 活潑하게 活用한다. 指紋 認證 方式은 2013年부터 스마트폰에 適用됐고, 虹彩 얼굴 音聲 等 다양한 認證 方式이 現在 使用된다.

生體 認證 技術 活用 分野는 더욱 늘어날 展望이다. 올해 1月 國內 認證 會社 케이사인은 指紋認證 假想貨幣 紙匣 ‘터치엑스월렛(TouchxWallet)’을 開發 中이라고 밝혔다. 10月 17日 이 紙匣이 正式 販賣될 豫定이다. 게임에도 生體 認證이 適用될 展望이다. 엔씨소프트는 게임 計定 해킹 防止를 위해 生體 認證 技術인 ‘NC 引證機’를 導入했다. 

金融圈에서도 生體 認證이 流行처럼 번진다. 公認認證書 代身 指紋 認證을 活用할 뿐만 아니라 使用者 本人 確認 手段으로 靜脈 認證을 活用하려는 움직임도 나타났다. 카카오뱅크는 GS25 便宜店 1700餘 곳에 손바닥 靜脈으로 使用者를 認證하는 現金自動入出金機(ATM)를 設置했다. 國民銀行은 50餘 個 支店에서 窓口 業務 때 顧客이 손바닥 靜脈을 認證 手段으로 使用할 수 있다. 올해 末까지 靜脈 認證을 750餘 個 支店으로 擴大하는 게 국민은행의 目標다. 우리은행도 支店 48곳에 손바닥 靜脈으로 認證할 수 있는 키오스크를 設置했다.

生體 引證 全盛時代

生體 認證 技術 適用이 늘어나면서 關聯 市場 規模도 擴大될 展望이다. 市場調査 專門 機關 마켓스앤드마켓스(Markets & Markets)에 따르면 2018年 世界 바이오 認證 市場 規模는 168億 달러(韓國 돈 20兆1000億 원)에 達할 展望이다. 바이오 認證 市場은 2023年까지 年平均 19.99%의 빠른 成長勢를 보이면서 2023年 418億 달러의 市場 規模를 形成하리라는 게 이 機關의 豫測이다. 



그렇다면 生體 認證 技術은 어떤 게 있을까. 生體 認證 技術은 크게 ‘身體 方式’과 ‘行動 方式’으로 나눌 수 있다. 身體 方式은 말 그대로 身體를 利用해 認證하는 것이다. 指紋 얼굴 虹彩 靜脈을 利用한 認證 方式이 그것이다. 

指紋 認證은 地文의 디지털 映像을 獲得해 本人임을 認證하는 方式으로 現在 韓國에서 가장 많이 活用되는 生體 認證 方式이다. 指紋 認證은 ‘光學式 指紋 認證’과 ‘비(非)光學式 指紋 認證’으로 나뉘는데, 前者를 使用하는 境遇가 많다. 光學式 指紋 認證은 指紋에 빛을 쏘아 反射된 指紋 映像을 確認하는 方式이다. 비狂學識 指紋 認證은 電氣 容量의 差異로 區分하거나 超音波 센서로 指紋 映像을 獲得해 使用者를 引證한다. 

指紋 認證은 正確度가 높다는 게 長點이다. 誤謬가 일어나는 比率이 0.5% 以內로 알려져 있다. 그런데 이러한 誤探率은 指紋이 損傷되지 않았을 境遇로만 限定된다. 다시 말해 指紋이 損傷됐을 때는 識別이 어렵다는 限界를 가진 것이다. 

얼굴 認證은 생김새의 特性을 把握해 使用者를 識別해 認證하는 技術이다. 사람도 얼굴을 통해 相對를 認識하므로 拒否感이 적으나 認識率이 指紋 認證보다 相對的으로 낮다. 各道, 照明 等에 따라 얼굴 모습이 달라지기 때문이다. 

虹彩 認證은 눈의 검은자, 흰자 사이에 存在하는 도넛 模樣의 虹彩를 利用해 使用者를 引證한다. 赤外線 카메라를 눈에 비춰 虹彩를 찾아낸 다음 固有 패턴을 抽出하는 方式이다. 虹彩 또한 照度의 影響을 받기에 探知率이 指紋 認識보다 떨어진다. 

靜脈 認證은 맨눈으로 보기 힘든 靜脈을 赤外線을 利用해 撮影한 後 패턴을 認識하는 技術이다. 손등, 손바닥, 손가락 靜脈을 主로 利用한다. 지난해 5月 세븐일레븐이 서울 송파구 롯데월드타워에 無人 便宜店을 開場했는데, 決濟 方式으로 購買者의 靜脈을 利用한다고 해 注目받은 바 있다. 

生體 引證 가운데 行動 方式 認證은 어떤 方法으로 使用者를 가려내는 것일까. 예컨대 걸음걸이 認識은 말 그대로 使用者의 걸음 特性을 認知해 認證하는 方式이다. 引證 誤探率이 높다는 短點이 있는데, 이는 狀況에 따라 걸음걸이가 달라질 수 있기 때문이다. 

署名 認證 方式은 두 가지로 나눌 수 있다. 첫 番째는 署名된 文字를 對照해 使用者를 認證하는 方式이다. 署名 眞僞를 가리는 大棗 시스템을 떠올리면 된다. 두 番째는 使用者가 文字를 入力하는 方式을 分析해 認證하는 方式이다. 구글에서 進行하는 ‘아바쿠스(Abacus) 프로젝트’가 代表 事例다. 구글은 使用者가 스마트폰에 文字를 入力하는 行爲를 보고 認證하는 시스템을 開發하고 있다고 2016年 밝힌 바 있다. 

陰性 認證은 목소리를 認識해 引證한다. 短點은 雙둥이처럼 비슷한 목소리를 區分하지 못한다는 點이다. 아울러 周邊에 雜音이 있을 때도 제대로 認知하지 못하는 問題가 있다.

決코 더 安全하지 않다

이처럼 다양한 方式으로 生體 認證 技術이 開發되는 까닭은 뭘까. 讀者는 ‘保安性’을 주된 理由로 꼽을 것이다. 生體 認證 技術을 廣告할 때도 保安性이 向上된다고 말하는 境遇가 많다. 

하지만 이는 事實이 아니다. 文字列을 入力하는 旣存 祕密番號 方式보다 生體 認證의 保安性이 오히려 더 낮을 수 있다. 

生體 認證이 ‘無差別 大入 攻擊(Brute Force)’으로부터 安全하다고 主張하는 境遇가 있다. 無差別 大入 攻擊은 無作爲로 끊임없이 값을 入力해 使用者의 祕密番號를 해킹하는 手法이다. 無差別 大入 攻擊과 關聯해 生體 情報 값을 키보드 入力으로 흉내 낼 수 없다고 誤解해서는 안 된다. 指紋 入力 시스템에 키보드 入力 過程이 없기에 이런 誤解를 할 수 있으나 實際로는 生體 情報 또한 시스템에 登錄될 때는 源泉的으로 ‘特定 값’으로 登錄된다. 2007年 매튜 레위스가 ‘바이오路거 : 生體 키 自動 入力機(Biologger: Biometric Keylogger)’ 報告書를 통해 指紋이 特定 값으로 登錄됨을 밝힌 바 있다. 따라서 指紋 入力 시스템을 해킹한 後 無差別 大入 攻擊을 加할 수 있다. 

生體 入力 시스템을 해킹夏至 않고 假짜를 만들어내는 方式으로도 해킹이 可能하다. 올해 2月 사쿠마 준 日本 쓰쿠바대 人工知能科學센터 敎授는 얼굴 認證 시스템을 해킹하는 人工知能(AI)을 선보였다. 該當 해킹 AI는 畫像 映像에 無作爲로 얼굴을 만들어내면서 얼굴 認證 시스템을 속였다. 

生體 引證 해킹 試演은 過去에도 있었다. 2013年 화이트해커 그룹 ‘카오스 컴퓨터 클럽(CCC·Chaos Computer Club)’은 아이폰 5S에 裝着된 指紋 認證 시스템을 해킹하는 場面을 公開했다. 화이트해커는 실리콘 고무를 利用해 使用者의 指紋을 獲得한 後 아이폰 5S를 해킹했다. 2017年에는 三星電子와 애플이 出市한 最新 스마트폰의 生體 認證 技術을 해킹하는 映像이 公開됐다. CCC는 디지털카메라로 찍은 高畫質 虹彩 寫眞으로 三星電子 갤럭시 S8의 잠금裝置가 解除되는 場面을 試演했다. 애플의 境遇에는 아이폰 X의 얼굴 認識 機能 ‘페이스 ID’가 3D프린트를 利用한 해킹 技術에 뚫리는 場面이 映像으로 公開돼 論難이 일었다. 베트남 사이버 保安 會社 非카브(Bkav)가 아이폰 X 使用者 얼굴을 3D 프린터로 出力해 잠금裝置를 풀어버린 것이다. 

生體 認證 技術 또한 文字列 入力 方式의 祕密番號처럼 해킹될 수 있다. 一例로 해커는 네트워크 通信을 盜聽하는 ‘中間者攻擊(MITM)’ 方式으로 生體 認證 過程에서 오가는 生體 情報를 奪取할 수 있다. 2006年 世界 最大 保安 콘퍼런스 블랙햇(Blackhat)에서 이러한 해킹 場面이 試演됐다. 

生體 認證 技術은 3가지 側面 탓에 文字列 入力 方式 祕密番號보다 保安性이 더 낮다. 첫째, 얼굴·虹彩·指紋 等 生體 情報는 시스템 로그인 時 入力하는 文字列이 ‘祕密’인 것과 對照的으로 外部에 ‘公開’돼 있다. 둘째, 生體 情報는 變更할 수 없다. 保安 關係者들은 使用者에게 祕密番號를 週期的으로 變更하라고 要求하는데, 文字列 方式 祕密番號는 變更이 可能하나 生體 情報는 그렇지 못하다. 얼굴 認識의 境遇 成形手術이 必要한 일이다. 

使用者 生體 情報가 해킹당했을 때 이 같은 弱點은 深刻한 保安 問題가 된다. 2015年 美國 聯邦 人事管理國(OPM)李 해킹을 當해 公務員 2150萬 名의 個人情報와 560萬 個의 指紋 情報가 流出됐다. 이러한 狀況에서 公務員들의 시스템 認證 方式을 指紋으로 바꾸면 어떻게 될까. 該當 시스템은 해커들의 손에 놀아날 것이다. 

끝으로 生體 情報가 反復的 패턴을 보이는 境遇가 있다는 것도 問題다. 지난해 4月 나시르 메몬 美國 뉴욕大 敎授는 指紋 8200個의 패턴을 分析해 ‘마스터 指紋’을 만들어냈다. 나시르의 硏究 結果에 따르면 指紋 認證을 使用하는 스마트폰 잠금 裝置의 65%를 解除할 수 있었다.

補助 認證 手段으로 活用될 展望

이렇듯 生體 認證 技術이 가진 保安省은 絶對的으로 優秀한 게 아니다. 그렇다면 生體 認證 技術 硏究는 意味가 없는 걸까. 結論부터 얘기하면 그렇지 않다. 

生體 認證은 旣存 方式보다 保安省은 낮지만 簡便하다는 特長이 있다. 三星電子 갤럭시 S9의 音聲 및 虹彩 認證은 얼마나 便한가. 스마트폰에 대고 말을 하거나 눈을 가져가면 잠금이 自動으로 解除된다. 

따라서 스마트폰 잠금 解除 等 해커에게 重要하지 않은 서비스에는 生體 認證 技術을 積極的으로 活用할 수 있다. 해커의 攻擊 目的은 ‘돈’이다. 해킹에도 돈이 들기에 해커는 重要하지 않은 서비스(돈이 안 될 것 같은 곳)는 攻擊하지 않는다. 

多重 引證에도 生體 認證을 效果的으로 活用할 수 있다. 多重 認證은 認證 節次를 여러 番 거치는 方式이다. 特定 서비스에 接近하기 위해 數次例 認證 節次를 거치는 것은 귀찮다. 예컨대 네이버에 로그인할 때 祕密番號를 두 番 以上 連續으로 入力해야 한다면 매우 不便하게 여길 것이다. 反面 스마트폰 簡便 決濟를 생각해보자. 스마트폰에 깔아놓은 信用카드로 바로 決濟하는 方式은 어쩐지 꺼림칙할 수 있다. 그런데 生體 認證으로 한 番 더 保安을 살펴봐주면 信賴性이 올라간다. 이렇듯 生菜 認證은 ‘補助 手段’으로 活用될 展望이다. 

補助 手段으로 利用될 때도 넘어야 할 山은 있다. 個人情報 保護가 그것이다. 가까운 未來에 自身의 얼굴 情報를 가진 國家나 企業이 CCTV를 活用해 一擧手一投足을 追跡한다면 氣分이 어떨까. 美國 聯邦搜査局(FBI)은 犯罪 豫防을 위해 얼굴, 虹彩 等으로 사람을 認知하는 NGI(Next Generation Identity) 프로젝트를 進行 中이다. 民間 企業 엔비디아(NVIDIA) 또한 類似한 프로젝트를 遂行한다. 따라서 生體 認證 技術이 私生活을 侵害하는 것을 막는 方案도 마련해야 한다.