세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
2017년 분야별 개인정보보호 이슈 짚어보기- 6. 생체인식 기반 보안
  |  입력 : 2017-10-12 17:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생체정보, 유출 시에도 변경할 수 없다는 특수성 때문에 보안 더욱 강화돼야

[보안뉴스 박미영 기자] 지능정보화 기술의 발전에 따라 빅데이터, 사물인터넷/자율주행차, 핀테크, 스마트 의료/헬스케어, 인공지능, 생체인식 기반 인증/보안, 드론을 비롯한 다양한 분야에서 개인정보보호 이슈가 제기되고 있다. 이에 본지는 7회에 걸쳐 ‘2017 개인정보보호 연차보고서’에 소개된 각 분야별 개인정보보호 이슈를 짚어보는 시간을 마련했다. 여섯 번째 시간은 스마트폰을 중심으로 더욱 활성화되고 있는 생체인식 분야 개인정보보호 이슈에 대해 살펴본다.

[이미지=iclickart]


생체인식 기반 인증/보안은 사람의 고유한 신체적 특징이나 행위 특징을 인식해 개인을 식별하거나 인증하는 기술이다. 패스워드는 잊어버리거나 서로 다른 서비스의 여러 패스워드를 관리하기 어려운 불편함이 있고 보안성이 약하며, IC카드·USB 토큰 등 소지하는 인증 수단은 휴대가 불편하고 분실의 우려가 있다. 하지만 생체정보는 그 사람 자체가 인증정보가 되므로, 분실이나 휴대의 불편함이 없어 최근 각광을 받고 있다.

생체인식 기반 인증 기술은 기초인식수단과 인증 플랫폼으로 구성된다. 기초인식수단은 지 문, 홍채, 망막, 정맥, 목소리, 얼굴 등을 이용한 생체기반 인식과 키보드, 마우스 입력 패턴, 걸음걸이, 서명 등을 이용한 행위기반 인식으로 나눌 수 있다.

생체기반 인식 중 지문은 빛이나 전기전도·초음파나 열 감지 등을 통해 지문을 읽어서 기존에 등록된 사용자의 지문 특성과 비교하는 방법이며, 가장 오래된 생체인식수단으로 보편화돼 있다. 망막의 모세혈관 구성 패턴은 지문처럼 평생 변하지 않는 특성 때문에 생체인식에 사용되며 눈을 특수장비에 대면 적색광선이 투사되고, 반사된 역광으로 측정해 등록된 정보와 비교하는 방식이다. 눈을 장비에 갖다 대야 하기 때문에 사용자들의 거부감이 있다.

정맥인식은 손가락이나 손바닥의 정맥 패턴을 읽어 비교하는 방식인데, 비교적 높은 정확도를 갖지만 고가의 장비가 필요하다. 목소리는 사람마다 고유한 성문을 분석해 본인 여부를 확인하는 기술로, 별도의 장비 없이 마이크만 있으면 되므로 저비용으로 적용할 수 있지만 목소리를 녹음해서 재생하는 방식이기 때문에 복제가 가장 쉽다. 카메라를 이용한 얼굴인식은 가장 거부감이 적은 생체인식 방식이지만 화장·수염·성형 등으로 얼굴이 변화하거나 주변 조명이 어두울 경우에는 정확도가 떨어지기도 한다.

사람의 행위 특징은 흉내 내기 어렵고 컴퓨터를 사용하는 동안 지속적으로 확인이 가능하므로 최근 각광받고 있는 인식 수단이다. 행위 특징 중 입력 패턴은 마우스나 키보드 사용 패턴 혹은 스마트폰 터치 패턴을 의미한다. 키보드의 경우 각 키를 누르고 있는 시간과 키 입력 사이의 간격이 사람마다 다르다는 특징을 활용하며, 마우스나 터치 패턴은 움직이는 각도와 속도 등을 특징으로 활용한다.

걸음걸이는 카메라를 통해 걷는 모양을 촬영하거나, 웨어러블 기기 등 몸에 휴대하고 있는 센서를 통해 걸음걸이 특징을 추출함으로써 사용자 인식에 사용한다. 동적 서명은 스마트폰 등 기기에 손가락이나 펜을 이용해 직접 서명하는 것으로, 종이에 기록된 서명과 달리 동일한 서명처럼 보이더라도 서명 시간이나 강도·획수·특정 구간에서의 속도 등이 사람마다 다른 점을 이용해 사용자를 구분·인식할 수 있다.

생체인식 기반 인증 및 보안 기술은 향후 폭넓게 적용될 것으로 예상된다. 따라서 생체인식에 수반되는 보안성과 개인정보보호 이슈를 심도 있게 검토해야 한다.

최근 생체인증 기술이 스마트폰이나 태블릿 등 ICT 기기에 탑재되면서 삼성, 구글, 애플 등 글로벌 ICT 기업들이 생체인증 시장을 주도하고 있다.

삼성은 스마트폰에서 간편결제를 제공하는 삼성페이 사용자 인증을 위해 지문인식을 활용한 데 이어 갤럭시 노트7에 홍채인식 기능을 탑재하고 삼성패스 서비스를 시작했다. 삼성패스는 홍채나 지문인식을 통해 인터넷 뱅킹 등 다른 금융 서비스를 이용할 수 있게 해주는 서비스다.

구글은 넥서스폰 등 모바일 기기에 지문인증을 탑재해 왔고 이용자 특성 및 패턴 기반 사용자 인식 기술을 개발하고 있다. 이 기술이 실용화되면 사용자가 인증 절차를 거치지 않아도 스마트폰이 스스로 주인을 인증할 수 있게 된다.

애플은 지문인증기술인 터치ID를 아이폰5S에 탑재해 본격적으로 생체인증 기술을 도입하기 시작했다. 2016년에는 애플워치 등 웨어러블 기기에서 수집되는 혈관이나 맥박 인식을 통한 사용자 인식 기술에 대해 특허를 출원했으며, 오는 11월 출시되는 아이폰X에는 얼굴인식 기술을 적용한 페이스ID를 도입하는 등 차세대 생체인식 기술 도입에 적극 나서고 있다.

이러한 가운데 최근 생체정보를 도용하는 여러 사례가 보고되고 있다. 일본 국립정보학연구소는 2016년 최대 3m 거리에서 고해상도 카메라로 촬영한 지문을 통해 복제 지문을 만들고 이를 이용해 지문 인증을 통과하는 시연을 했다. 2014년 독일의 해커그룹 카오스 컴퓨터클럽은 독일 국방장관의 사진에서 지문을 복제했고, 구글에서 획득한 푸틴 러시아 대통령 사진에서 홍채를 복제해 도용하는 시연을 하기도 했다. 2016년 노스캐롤라이나 주립대는 SNS에서 획득한 얼굴 사진을 이용해 얼굴인식 기반 인증을 통과하는 연구결과를 발표하기도 했다.

이렇듯 실세계 또는 공개된 정보로부터 생체정보를 획득해 복제하는 것 자체를 막기는 거의 불가능하다. 단, 현재 인증하고 있는 생체정보가 복제된 생체정보인지 살아있는 사람의 생체정보인지를 구분하는 연구가 활발히 진행되고 있다. 이 때문에 생체정보가 유출됐다고 무조건 도용이 일어나거나 해당 생체정보를 영구히 사용할 수 없게 되는 것은 아니다. 2015년에 열린 LivDet 콘테스트에서는 전 세계 연구자들이 복제된 지문과 진짜 지문을 구분하는 성능을 겨뤘는데, 1등을 한 팀은 95%의 정확도로 복제된 지문과 진짜 지문을 구분했다.

생체정보는 유출될 시 복제를 통해 도용이 가능하므로 보호돼야 한다. 특히, 유출 또는 해킹 됐다고 해서 변경할 수 없다는 특수성 때문에 생체정보의 보호는 더욱 강화될 필요가 있다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)