생체인증 중심으로 진화하는 차세대 인증 기술

[글 이재형 | 옥타코 기술전략책임(CTSO)]

[편집 최형주 기자]

앞으로의 인증 수단은 간편결제, 생체인식 등 다양한 서비스와 형태로 발전할 것으로 보인다. 특히 데이터 3법과 더불어 2020년 11월 발효 예정인 전자서명법의 개정은 ‘공인인증서’와 관련한 규정을 철폐하고 향후 전자서명 당사자 간의 약정만으로, 다양한 인증 수단을 편리하게 사용할 수 있도록 했다. 본 고를 통해 생체인증을 중심으로 발전할 차세대 인증 기술은 어떠한 모습이어야 할 지 알아본다.

사용자 인증에서 개인 인증 기술로

오늘날 우리가 사용하는 패스워드, 공인인증서, 스마트폰 OTP, OTP 토큰, 신용카드 등 대부분의 인증 수단은 모두 ‘개인 인증’이 아닌 ‘사용자 인증’ 기술이다. 이를 조금 더 쉽게 설명하기 위해, 몇 해 전 세관에서 일어난 도용 사례를 살펴보자.

당시 한 세관 직원은 상사에게 세관 시스템 비밀번호를 받아 이를 도용해 수입품을 불법적으로 통관 처리했다. 이때 세관 직원은 상사의 비밀번호를 사용해 상사의 사용자 자격을 인증했다. 그러나 이는 계정을 도용한 것이지, 사용하는 사람을 인증한 것은 아니다.

이처럼 현재 사용되는 비밀번호를 비롯한 OTP, 시큐리티 키 등은 각각 나름대로 우수한 보안성을 가지고는 있지만 이용자 자신, 그러니까 ‘개인’을 정확히 인증하는 기술은 아니다. 그리고 개인을 인증하지 않는 기술들은 비밀번호 도용, 오남용, 근태 관리 위조, 대리 전자서명, 불법 결제, 대규모 해킹 등 다양한 사이버 침해 사고의 시발점으로 끊임없이 피해를 양산해 왔다.

따라서 차세대 인증 기술은 뛰어난 보안성은 물론, 사용자가 아닌 개인을 정확히 구분하고 인식할 수 있어야 한다. 이를 위한 대표적인 보안 기술이 생체인증이며, 이젠 스마트폰에 기본 옵션처럼 들어가는 지문인식을 필두로 생체인증의 활용 범위가 점점 넓어지고 있다.

생체인증의 장단점

그렇다면 생체인증은 기술별로 각각 어떤 장단점이 있을까? 우선 가장 보편적인 지문인식은 편리하고, 가격 경쟁력 등 여러 면에서 다른 기술들에 비해 우위에 있다.

다만 타인의 지문을 이용자의 지문이라고 여기는 ‘타인 수락률’이 1/5만 수준이라 위·변조 가능성, 지문 손상, 비접촉 방식 선호 등의 여러 문제가 발생할 가능성이 있다.

홍채는 유아기 때 한번 완성되면, 이후로 녹내장과 같은 질환을 앓아도 변하지 않는다. 패턴이 복잡해 위변조 가능성이 적고 타인 수락률도 1/100만 수준으로 생체인식 중에는 신뢰도가 가장 높다. 다만 홍채 패턴을 읽어야 하기 때문에 여기에 필요한 초점 거리가 일정해야 한다는 점은 대중화에 가장 큰 걸림돌이 되고 있다. 아울러 생산 단가 또한 높아 아직 보편화되지 않고 있다.

안면인식은 장비와의 접촉이 필요하지 않다는 장점으로 홍채인식과 함께 비대면 시대에 가장 적합한 생체인증 기술 중 하나로 각광받고 있다. 안면인식은 CCTV나 카메라를 통해 사람의 얼굴을 캡처하고, 얼굴을 각 부위별로 분석해 개인의 특징이 될 수 있는 데이터를 추출한다. 다만 정면을 제외한 측면이나 어두운 곳에선 성능이 급격히 떨어진다. 또한 타인 수락률도 지문이나 홍채인식에 비해 높다는 단점이 있다.

혈관을 인식하는 정맥인식 역시 피부와 장비가 접촉하지 않아 위생적이다. 또한 적외선을 활용하는 만큼 피부의 찰과상 등 지문인식의 한계로 여겨지는 피부의 상태도 정확성에 영향을 끼치지 않고, 타인 수락률도 훨씬 적어 강력한 보안성을 보인다. 다만 구축 비용이 비싸고 하드웨어 구성도 복잡해 보편화에는 어려움을 겪고 있다.

생체인증 적용 사례

현재 생체인증은 우리가 매일 같이 사용하는 스마트폰은 물론, 회사의 출입 통제, 금융 서비스 이용, 출입국 서비스 등 다양한 분야에 활용되고 있다.

우선 미국을 대표하는 은행 Bank of America는 모바일 앱에 지문인식과 애플의 페이스ID를 활용해 로그인 할 수 있는 서비스를 제공하고 있다. 이 같은 방식은 현재 국내 시중 은행에도 보편화돼 있다.

다음으로 영국을 대표하는 Barclays Bank는 핀코드와 패스워드를 대체하기 위해 손가락 정맥인증 서비스를 도입했다. 서비스는 보안을 위해 정맥 정보를 해킹이 어려운 고객 휴대폰의 심카드에만 저장해 사용하고 있다. 정맥인식 디바이스는 히타치(Hitachi)의 솔루션이 적용됐다.

마찬가지로 영국의 은행 Lloyds Bank는 폰뱅킹을 이용할 때 음성인증을 할 수 있는 서비스를 출시했다. 18세 이상 및 은행 계좌 보유 고객이 ‘My voice is password(내 음성이 비밀번호)’라고 말하면 억양, 속도, 성대 사용법, 음량 등 100가지 이상의 특성을 분석해 본인 인증 절차가 진행된다. 이 기술은 미국 음성인식 솔루션 제공기업 Nuance Communications의 솔루션과 연계해 구축됐다.

스코틀랜드 왕립 은행(Royal Bank of Scotland)은 마스터카드와 제휴해 지문인식 기술이 적용된 카드 결제 파일럿 프로그램을 실시하고 있다. 약 200명을 대상으로 실시되는 이 프로그램은 30파운드(약 4만 4천 원)를 초과하는 결제 거래 시 핀번호 대신 지문인식을 활용하도록 했다.

호주 내무부는 국경 안보를 위해 생체인식을 도입했다. 대규모 생체인식 서비스(Enterprise Biometric Identification Services, 이하 EBIS)라고 불리는 시스템은 안면인식을 통해 여행자, 시민권 신청자들의 비자 및 국경 입국 수속 등을 지원한다. 여기에는 IT 기업 유니시스의 다원적 신원 확인 관리 및 인증 솔루션 ‘스텔스 신원 확인(Unisys Stealth identity)’과 아이데미아의 안면 및 지문인식 알고리즘이 사용됐다.

차세대 인증이 갖춰야 할 덕목

그렇다면 4차 산업혁명 시대, 우리의 미래 보안을 책임질 차세대 인증 기술이 갖춰야 할 필수 사항에는 어떤 것들이 있을까? 여기에는 크게 두 가지 요소를 꼽을 수 있다.

첫 번째는 개인이 인증의 방법을 선택할 수 있는 옵션을 제공해야 한다는 것이다. 개인에게 인증 방식의 선택의 폭을 넓힌 대표적 기술에는 최근 우리 정부도 주목하고 있는 온라인 인증 기술 FIDO(Fast Identity Online)가 있다.

FIDO는 크게 ▲공개키 암호화 기술 탑재 ▲하드웨어를 인증장치로 사용 가능 ▲생체인식 기술 등과 같은 개인 인증 기술 접목 등 세 가지 특징을 가지며, 사용자의 개인정보를 서비스 사업자와 공유하지 않는 안전한 인증 구조를 제공한다.

FIDO의 강점은 인증 서비스 제공자가 국제 표준 인증 기술을 도입하여 개인이 스마트폰 지문, 얼굴, 홍채, PC의 지문, 독립형 생체 시큐리티키 등과 같은 다양한 인증 옵션을 선택할 수 있다는 점이다. 아울러 개인은 갑자기 지문인식이 잘되지 않아도 얼굴인식, 홍채인식 등으로 바꿔 인증할 수 있어 편리하다.

다음으로 차세대 인증은 국제 표준 기술을 활용해야 한다. 비밀번호는 안전한 인증 수단으로서 설계된 것이 아닌 만큼, 지난 수십 년간 그 구조적 취약점으로 막대한 피해를 발생시켜 왔다. 따라서 더욱 안전한 디지털 사회로 가기 위해선 국제적으로 검증 받은 안전한 기술을 활용해야 한다.

특히 스마트폰, PC, 태블릿 등 시시각각 변화하는 업무 환경과 자율주행차, IoT, 스마트홈 등 다양한 컴퓨팅 환경에 제각각의 인증 기술이 적용된다면 향후 이 같은 복잡성과 불편함을 보완하기 위한 추가적인 재정 소모가 뒤따를 수 있다. 아울러 각 국가별 개인정보 보호를 위한 제도와 규약이 달라 이에 대한 대응 계획도 개별적으로 수립해야 할 수 있다.

결국 FIDO와 같은 국제 표준 인증 기술을 통하면, 다양한 형태의 인증 서비스가 저렴한 비용으로 제공될 수 있다. 또한 국제 표준을 이용하는 만큼, 기업은 자사의 서비스를 글로벌 서비스로 발전시켜나가기 용이하고, 이용자들의 편의까지 도모할 수 있게 된다.

정보 사회에서 안전한 인증 기술은 대규모 피싱 공격 등과 같은 사이버 공격의 피해를 방지해 궁극적으로 사회 전체의 비용과 효용을 증대시킬 수 있다. 그리고 생체인증 방식은 저마다 뚜렷한 장단점을 가지고 있어 각각 적용될 수 있는 산업군이 다르게 존재한다.

하지만 최근 지문인식과 안면인식 등 스마트폰을 중심으로 생체인식이 보편화되고 있고, 관련한 국제 표준의 연구도 활발하게 진행되고 있다. 생체인증은 금융·정부민원·출입국·접근통제·로그인 등 여러 인증이 필요한 상황에서 사용될 수 있는 잠재력 높은 기술인만큼, 향후 비용, 타인 수락 등의 단점을 극복해 우리 삶에 더욱 가까워지지 않을까.