세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
스마트폰 해킹 위한 가짜 바이오인식, 딥 러닝으로 탐지한다
  |  입력 : 2017-09-11 18:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스마트폰 등 모바일 기기...바이오인식으로 보안성 강화
가짜 지문 등 바이오인식 노린 공격 늘어
인하대 김학일 교수 연구팀, 딥 러닝으로 가짜 지문 찾기 나서


[보안뉴스 원병철 기자] 휴대폰의 기본 성능이 상향 평준화되면서 각 제조사들은 자사 제품의 ‘차별성’ 혹은 ‘우수성’을 내세우는 데 중점을 두고 있다. 예를 들면 삼성 갤럭시노트 시리즈는 커다란 화면과 필기를 할 수 있는 펜으로 정체성을 확립했으며, LG전자의 G 시리즈와 V 시리즈는 DAC(Digital to Analog Converter)을 장착해 뛰어난 음질로 고객들에게 어필하고 있다.

[이미지=iclickart]


그런데 언제부터인가 지문인식을 중심으로 한 바이오인식 기술이 휴대폰의 차별성에 한 몫을 담당하고 있다. 스마트폰에 지문인식이 처음 적용된 것은 2003년이다. 일본 후지쯔에서 ‘F505i’에 지문인식 센서를 장착해 출시한 것. 이후 한국에서도 팬택이 2004년에 GI100이라는 지문인식폰이 국내에 첫선을 보였다.

지문인식이 본격적으로 사용된 것은 2013년 아이폰 5S부터라고 할 수 있다. 애플이 지문인식 전문기업 어센텍을 2012년 인수한 후 아이폰과 아이패드에 지문인식 센서를 장착한 후, 각 휴대폰 제조사들이 본격적으로 지문인식 센서를 휴대폰에 도입하기 시작했다. 이후 삼성 갤럭시노트7은 홍채인식 기능을 전면으로 내세우며 보안을 강조하기 시작했고, 얼굴인식을 적용한 제품도 등장했다.

문제는 지문인식을 비롯한 바이오인식이 이슈가 되면서 이를 무력화하려는 시도가 늘고 있다는 점이다. 사실 지문인식을 비롯해 바이오인식이 가짜 지문이나 사진을 이용한 공격에 무력화된 일들은 여러 건 있었다. 이 때문에 바이오인식 업계와 학계에서는 이러한 공격으로부터 바이오인식 기술을 보호하기 위해 다양한 노력을 기울이고 있다.

많은 바이오인식 중 가장 오래되고 보편화된 지문인식의 경우 가짜 지문으로 해제되면 이를 막는 기술을 개발하고, 다시 다른 가짜 지문으로 공격하면 다시 막아내는 일들이 반복되고 있다. 특히, 최근 등장한 젤라틴으로 만든 가짜 지문은 많은 지문인식 모듈이 구분하지 못해 보안에 큰 위협으로 자리 잡았다. 삼성전자가 기세 좋게 출시했던 홍채인식도 독일 해킹그룹 CCC에 의해 해킹논란이 있었고, LG전자의 얼굴인식 역시 본인의 사진으로도 잠금이 풀리는 것이 확인됐다.

▲ 위조지문 공격 탐지기술이 구분한 진짜와 가짜의 정확도는 97.49%에 달한다[자료=김학일 교수]


딥 러닝 이용한 위조지문 공격 탐지기술
상황이 이렇게 흘러가자 업계와 학계에서는 바이오인식 기술에 대한 불신을 씻기 위해 다양한 연구와 개발을 진행했다. 한국바이오인식협의회 회장인 김학일 인하대 교수가 발표한 ‘위조지문 공격 탐지기술(PRESENTATION ATTACK DETECTION)’ 어플리케이션(이하 앱)도 바로 이러한 연구의 일환이다.

김학일 교수는 “바이오인식이 모바일과 접목해 본인 인증은 물론 금융 분야에도 활용되면서 가짜 지문 등을 이용한 공격이 늘고 있습니다. 그동안 인쇄, 실리콘, 점토(Play-Doh), 사진 등 다양한 물체를 이용한 공격이 있을 때마다 각각 대응했었는데, 이는 완벽한 대응이라 할 수 없습니다. 이 때문에 저는 인공지능, 딥 러닝(Deep Learning)을 사용해 다양한 공격에 대응할 수 있도록 했습니다.”

김 교수가 연구한 위조지문 공격 탐지기술 앱은 딥 러닝을 통해 인공지능이 진짜 지문과 가짜 지문의 차이를 스스로 인식할 수 있도록 했다. 여기서 더 나아가 가짜 지문의 재질도 구분할 수 있도록 연구했다.

“바이오인식에서 중요한 것은 이 지문이 사용자 본인인지 아닌지와 이 지문이 진짜 사람의 지문인지 아니면 다른 재질로 만든 가짜 지문인지를 구분하는 것입니다. 제가 연구한 것은 두 번째인 사람 지문인지 아닌지에 대한 구분입니다. 이에 따라 가짜 지문일 경우, 재질이 어떤 것인지 상관없이 가짜라는 것을 확인할 수 있는 것입니다. 나중에 저희도 모르는 재질이 등장한다 해도 결국 가짜 지문이라는 것은 알아낼 수 있다는 거죠.”

이는 빅데이터를 통해 진짜 지문과 가짜 지문의 방대한 데이터를 딥 러닝할 수 있게 되면서 가능해졌다고 김 교수는 설명했다. “추후에는 가짜 지문의 재질이 어떤 것인지도 알 수 있겠죠.”

이번 연구는 앱 기반이기 때문에 별도의 하드웨어 개발은 없다. 대신 김 교수는 시중에 출시된 대부분의 지문인식 센서와 연동이 가능하도록 개발했다고 강조했다. “재미있는 것은 1개 센서와 연결했을 때와 여러 개의 센서에 연결했을 때를 비교하면, 처음에는 1개 센서에 연결했을 때 정확도가 더 높지만 시간이 지나면 지날수록 여러 개의 센서에 연결했을 때 정확도가 더욱 높아진다는 점입니다.”

김 교수의 이번 연구는 파이도(FIDO)와 ISO 표준기술에 기반을 두어 진행됐다. 뿐만 아니라 모바일이나 임베디드 디바이스를 위해 컴퓨팅 파워나 메모리 사용량이 최소화될 수 있도록 심층 신경망(딥 뉴럴 네트워크)을 최적화했다. 쉽게 말해 스마트폰에 최적화됐다는 얘기다. 더욱이 이번 연구가 비록 지문인식을 기반으로 진행됐지만, 홍채인식이나 얼굴인식 등 다른 방향으로의 응용도 가능하다고 김 교수는 강조했다.

“최근 바이오인식 기술이 모바일 기기에 많이 활용되면서 모바일 뱅킹 등 새로운 인증분야에 적용되는 만큼 안전성도 인정받아 더욱 다양한 쓰임새로 확대됐으면 좋겠습니다.” 김 교수의 말처럼 바이오인식 분야가 딥 러닝 기술과 결합되어 보안성이 한층 강화됨으로써 활용도가 더욱 커질 수 있을 것으로 기대된다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)