연재순서

1. CCTV 환경에서의 개인 프라이버시 정보보호의 필요성
2. CCTV 시스템 구축시 고려사항 및 구축사례에 대한 종류별 분류
3. CCTV 기반 얼굴 검출 기법 이해
4. CCTV 기반 얼굴 인식 기법 이해
5. CCTV 기반 바이오 정보 위협 요소
6. CCTV 기반 바이오 정보 보안 대책
7. CCTV 시스템에서의 보안 위협 요소
8. CCTV 시스템에서의 보안 대책
9. CCTV 시스템 구성요소별 보안 위협 및 방어 대책
10. CCTV 기반 얼굴검출 및 인식시스템 보안 프레임워크 구현방법


바이오 정보의 위협과 방어 방법

사람의 인체에는 고유한 특징들이 있으며 이를 데이터화 시킨 것을 바이오 정보라고 한다. 그 종류는 지문, 홍채, 혈관, 손의 형태, 얼굴, 서명, 목소리, 망막 등 다양한 형태의 정보를 사용하고 있다.
대부분의 현대인들은 비밀번호 또는 주민등록번호 등을 통하여 본인임을 인증한다. 그러나 위의 방법들은 공격자들에 의해 유출되기 쉽다. 따라서 이런 정보 보호의 심각성을 고려하여, 각 개인마다 유일한 특징을 갖는 바이오 정보를 이용하여 개인의 정보를 보호하는 것이 중요한 이슈가 되었다. 그러나 바이오 정보가 공격자들에 의해 유출되거나 빼앗기게 되면, 바이오 정보를 이용하여 보안을 유지하고 있는 개인의 비밀 정보 및 그룹의 비밀 정보들이 유출되는 문제가 발생한다.

[그림 1] 바이오 정보 처리 시스템의 구성 및 처리과정

본 연재와 다음 연재에서는 [그림 1]에서 볼 수 있듯이, 바이오 정보 처리 시스템의 처리과정을 바탕으로 바이오 정보의 위협 요소들과 위협요소를 방어하는 방어기술들에 대하여 각각 설명한다.
바이오 정보 처리 시스템은 바이오 정보를 인식하는 데이터 캡쳐 시스템과 바이오 정보를 처리하는 신호처리시스템, 바이오 레퍼런스와 인식 레퍼런스를 저장하는 데이터베이스인 데이터 저장 시스템, 신호처리시스템에서 처리된 바이오 정보와 데이터 저장 시스템이 저장하고 있는 바이오 정보의 스코어를 측정하여 특정 값 이상일 때와 특정 값 미만일 때를 계산하는 비교 시스템이 있으며, 처리된 결과를 결정하여 본인 확인을 결정짓는 결정 시스템으로 구성되어 진다. [표 1]은 바이오 정보의 위협과 방어방법을 개괄적으로 설명한다. 


 [표 1] 바이오 정보 처리 시스템 모든 컴포넌트 및 처리과정에서의 보안위협과 방어방법

바이오 정보 처리 시스템의 보안 위협요소

바이오 정보 처리 시스템의 위협요소는 두 가지 형태로 분류할 수 있다. 첫째는 바이오 시스템의 각 시스템 내에서의 보안위협이며, 둘째는 처리과정에서의 보안위협이다.
[그림 2]는 바이오 정보의 각 시스템 내에서의 위협을 나타낸다.


[그림 2] 바이오 정보 처리 시스템의 각 시스템 내에서의 위협요소

 
1. 바이오 정보 처리 시스템의 각 시스템 내에서의 위협요소

데이터 캡쳐 시스템에서는 센서 스푸핑 공격의 위협이 있다. 신호처리시스템에서는 악의적인 유저의 데이터를 이용하여, 바이오 정보를 변경시키는 공격이 발생한다.
데이터 저장 시스템은 데이터 합의를 통한 공격과 악의적으로 바이오 레퍼런스와 인식 레퍼런스를 교묘하게 변경하는 공격의 위협이 있으며, 교차 비교를 통하여서 데이터베이스 시스템을 공격한다.
비교 시스템에서는 시스템 자체를 공격자의 시스템으로 변경하는 위협이 발생하며, 특정 값 자체를 교묘하게 변경하는 공격이 일어난다.
결정 시스템에서는 힐 클라이밍 공격으로 올바른 이미지가 아님에도 불구하고, 공격자의 바이오 정보를 조금씩 변경시키면서 특정 값에 가까워지게 하여 결정 시스템에서 공격자의 바이오 정보를 합법적인 사용자의 바이오 정보로 인식하게 만든다. 또한 공격자는 제한 값을 교묘히 변경하는 공격이 쉽게 이루어지게 만든다.

데이터 캡쳐 시스템
데이터 캡쳐 시스템에서는 [그림 3]과 동일하게 센서 스푸핑 공격이 발생한다. 공격자는 인공적인 것 또는 죽은 사람의 특징을 이용한 바이오 정보를 가지고 데이터 캡쳐 시스템을 공격하여, 마치 살아있는 사람의 바이오 정보인 것처럼 인식하게 만들어 버린다.
예를 들어, 얼굴 같은 경우 다른 사람의 사진을 이용하여 그 사람인 것처럼 인식시킨다. 지문 같은 경우는 합법적인 사용자의 지문을 찰흙이나 점토로 본을 떠서 인식을 시도한다.
이처럼 만들어지거나, 훔쳐진 다양한 바이오 정보를 이용하여 데이터 캡쳐 시스템에 공격을 가하게 되면, 시스템은 공격자를 합법적인 사용자로 인식하여 바이오 정보가 노출되는 공격이 발생한다.


[그림 3] 데이터 캡쳐 시스템에서의 스푸핑 공격

신호처리시스템
신호처리시스템에서는 데이터 캡쳐 시스템에서 캡쳐한 바이오정보를 처리하여 바이오 레퍼런스와 인식 레퍼런스를 만드는 과정으로, 공격자는 [그림 4]와 같이 악의적으로 공격자의 가짜 바이오 데이터를 입력하여 정당한 사용자의 바이오 정보인 것처럼 가장한다.
따라서 공격자는 가짜 바이오 정보를 이용함으로 정당한 사용자의 바이오 정보를 몰라도 침입하고자하는 시스템에 접속이 가능하게 되는 문제가 발생한다.


[그림 4] 신호처리시스템에서의 악의적인 데이터 변경공격


데이터 저장 시스템
데이터 저장 시스템에서는 공격자에 의한 데이터 합의, 공격자에 의한 바이오 레퍼런스의 불법적인 읽기, 교체, 변경 그리고 삭제 공격으로 [그림 5]와 같이 보안위협이 나타난다.
데이터 합의 방법을 이용하여 공격자가 무엇을 공격할 것인지를 미리 정해놓고, 해당 바이오 레퍼런스와 인식 레퍼런스가 있는 데이터베이스를 공격한다. 그리고 공격자가 불법적으로 바이오 레퍼런스와 인식 레퍼런스들을 읽고, 교체하고, 변경하고 그리고 삭제하는 방법으로 데이터베이스를 공격한다.
마지막으로 공격자는 자신이 가지고 있는 바이오 레퍼런스와 인식 레퍼런스 정보를 데이터베이스 안에 분산 저장하여 레퍼런스들을 교차 비교한 뒤, 같은 값을 가지는 레퍼런스들을 찾는다. 같은 레퍼런스가 있다면 해당 레퍼런스를 이용하여 공격자는 시스템을 공격한다.


[그림 5] 데이터 저장 시스템에서의 보안 위협: (1) 데이터베이스 합의, (2) 불법적인 교묘한 처리, (3) 교차 비교

비교 시스템
비교 시스템에서는 [그림 6]에서와 같이 시스템 자체를 교체하는 방법으로, 공격자 자신이 만든 시스템으로 대체하여 해당 시스템을 공격하는 문제가 발생한다.


[그림 6] 컴포넌트의 교체를 이용한 공격


공격자가 만든 시스템을 통해서 합법적인 사용자의 바이오 레퍼런스와 인식 레퍼런스를 알아내어 위협을 가할 수 있으며, 그리고 [그림 7]에서는 비교하는 값을 교묘하게 변경하여 제한 값 이상으로 만들어낸다.
따라서 공격자는 합법적인 사용자의 바이오 레퍼런스와 인식 레퍼런스를 몰라도 합법적인 사용자라고 인식될 수 있도록 비교 값을 변경한다.


[그림 7] 비교 값을 교묘히 변경하는 공격

결정 시스템


[그림 8] 결정 시스템에서의 보안 위협들: (1) 힐 클라이밍 공격, (2) 제한 값 변경 공격

결정 시스템은 [그림 8]에서와 같이, 힐 클라이밍 공격을 통하여 공격자가 만들어 낸 동적인 특징 값을 사용하여, 합법적인 유저를 인식하기 위하여 시스템에 설정되어져 있는 제한 값을 비교한다. 만약, 비교한 공격자의 특징 값이 합법적인 사용자의 제한 값 이상이 되면 공격자는 이 시스템의 공격에 성공을 하는 것이다.
하지만 특징 값이 제한 값 미만이 된다면, 사용자 인식에 실패하게 된다. 그러나 힐 클라이밍 공격은 실패 했을 경우, 계속해서 공격자의 특징 값을 조금씩 수정하여 다시 비교하는 방법을 공격에 성공할 때까지 반복한다. 위의 공격뿐만 아니라, 제한 값 자체를 교묘하게 수정하는 방법으로 공격자는 해당 시스템을 공격한다.
이것은 합법적인 사용자를 인식하기 위하여 설정되어진 제한 값을 공격자가 쉽게 인식되게 하기 위하여 자신이 가지는 특징 값까지 제한 값 자체를 교묘하게 변경시키는 방법을 의미한다. 그 결과로 제한 값이 낮아지게 되고 공격자는 쉽게 합법적인 사용자로 인식되는 문제를 나타내게 된다.

2. 바이오 정보 처리 시스템의 처리과정 내에서의 위협요소?

바이오 정보 처리 시스템의 전송과정은 총 4단계로 이루어져 있다. 1단계로 데이터 캡쳐 시스템과 신호 처리 시스템사이를 T1이라 한다. 2단계는 신호 처리 시스템과 비교 시스템 사이를 나타내며, T2라 한다. 3단계는 데이터 저장 시스템과 비교 시스템 사이이고, T3이라 한다. 마지막으로 비교 시스템과 결정 시스템 사이를 T4라 한다.
각 단계별로 여러 가지 보안 위협들이 존재한다. 바이오 정보 처리 시스템의 전송과정에서의 보안 위협요소들에 대하여 [그림 9]는 자세하게 설명한다.


[그림 9] 바이오 정보 처리 시스템의 전송과정에서의 보안위협

데이터 캡쳐 시스템과 신호처리시스템에서의  보안 위협(T1)
[그림 9]와 같이, 공격자는 T1 단계에서는 도청, 재전송 공격 그리고 억지공격기법등의 방법으로 공격할 수 있다. [그림 10]은 T1 단계에서 발생할 수 있는 보안 위협들에 대하여 자세히 묘사한다. 먼저 도청의 경우는, 합법적인 사용자가 데이터 캡쳐 시스템에서 자신의 바이오 정보를 캡쳐하여 바이오 레퍼런스와 인식 레퍼런스를 만들기 위해 신호처리시스템으로 보내는 것을 중간에 공격자가 도청을 하여서 합법적인 사용자의 정보를 훔쳐낼 수 있다.


[그림 10] T1 단계의 보안 위협: (1) 도청, (2) 재전송 공격, (3) 억지공격기법

두 번째로 재전송 공격 공격은 처음 합법적인 사용자가 데이터 캡쳐 시스템에 자신의 바이오 정보를 캡쳐하여 신호 처리 시스템으로 보낼 때, 공격자가 전송 중의 데이터를 도청한 후, 다음 세션에서 이전 세션에서 도청한 바이오 정보를 다시 전송하여 합법적인 사용자로 인식될 수 있게 한다. 그리고 마지막으로 억지공격기법 공격은 다양한 경우의 데이터를 이용하여 합법적인 사용자로 인식이 될 때까지 지속적으로 공격을 가한다.

신호 처리 시스템에서 비교 시스템까지의 보안 위협(T2)
T2 단계는 신호처리시스템에서 비교 시스템까지의 전송과정에서의 보안 위협을 이야기한다. 이 단계에서는 도청과 재전송 공격 그리고 억지공격기법 공격이 있다. [그림 10]에서와 같이, T2와 T1은 동일한 보안 위협요소를 가진다.

데이터 저장 시스템에서 비교 시스템까지의 보안 위협 (T3) 

 

[그림 11] T3 단계에서의 보안 위협: (1) 도청, (2) 중간자 공격, (3) 재전송 공격 

T3 단계는 데이터 저장 시스템에서 비교 시스템까지의 전송과정에서 다양한 보안 위협을 가진다. 보안 위협의 종류로는 [그림 11]과 같이 도청과 교차 비교, 재전송 공격, 중간자 공격 등이 있다.
도청은 합법적인 사용자의 바이오 레퍼런스를 공격자가 훔쳐보는 것을 의미하고, 교차 비교는 공격자가 가지는 바이오 레퍼런스와 인식 레퍼런스를 여러 개의 데이터베이스에 비교시켜서 동일한 바이오 레퍼런스와 인식 레퍼런스가 있는지를 확인하는 공격방법이다.
재전송 공격 공격은 공격자가 도청한 합법적인 사용자의 바이오 레퍼런스와 인식 레퍼런스들을 다음 세션에 동일하게 전송하여 합법적인 사용자로 인식될 수 있는 문제를 가진다.
중간자 공격은 공격자가 전송과정에서 중간에 몰래 침입하여 바이오 레퍼런스와 인식 레퍼런스를 공격자의 정보로 바꾸어서 공격자의 바이오 레퍼런스를 합법적인 사용자의 레퍼런스로 인식하게 한다.

비교 시스템에서 결정 시스템까지의 위협 (T4)
T4 단계는 비교 시스템부터 결정 시스템까지의 전송 과정에서 발생할 수 있는 보안 위협을 나타낸다. T4 단계의 보안 위협은 [그림 8]과 같이 힐 클라이밍 공격, [그림 12]과 같이 비교하는 값을 교묘히 수정하는 공격 두 가지가 있다.


[그림 12] T4 단계에서의 보안 위협


힐 클라이밍 공격은 합법적인 사용자가 아님에도 불구하고 합법적인 사용자처럼 인식시키는 공격방법이다.
이 방법은 공격자의 임의의 바이오 정보의 특징 값을 이용하여 비교시스템의 제한 값과 비교한 후, 제한 값 이상이 될 때까지 지속적으로 특징 값을 변경하는 공격방법이다.
다른 공격으로는 비교 시스템에서 비교 값 C를 결정시스템으로 보낸다. 공격자는 비교하는 값 C를 중간에서 교묘히 수정하여 C?결정 시스템으로 보낸다. 그 결과 결정 시스템은 C?의 값으로 공격자를 합법적인 사용자로 인식되게 한다.

자료 협조：한국인터넷진흥원


<다음호에서는 CCTV 환경에서 개인 인증을 위해 사용되는 얼굴 정보 등의 바이오 정보 보안 위협 요소들에 대한 정보 보안 대책에 관해 살펴보도록 하겠다>