본문 바로가기


뉴스,지식창고/잡지식,추천정보

[AhnLab 보안이슈] 생체 인증은 정말 안전할까?

생체 인증은 정말 안전할까?

  • AhnLab
  • 2020-06-24

지난 5월 20일 전자서명법 개정안이 국회 본회의를 통과하면서 공인인증서가 폐지되고 그동안 보조 인증수단으로 활용되던 다양한 사설 인증 수단들이 주목받고 있다. 이 가운데에서도 신체 정보를 바탕으로 본인 확인이 가능한 생체 인증(Biometrics authentication)이 관심을 끌고 있다. 

이 글에서는 생체 인증이 어느 정도까지 활용되고 있는지 그리고 안전한 것인지에 대해 살펴본다.

 

 

 

 

중국이 최근 휴대폰 가입자의 얼굴인식 등록을 의무화했다. 중국 공업정보화부는 지난해말 휴대폰 가입자 실명등록 관리 통지에 따라 휴대폰 번호를 새로 받아 개통하는 가입자는 의무적으로 얼굴을 스캔해야 한다고 발표했다. 얼굴을 스캔하면서 신분 확인 및 실명 인증 작업이 이뤄진다. 

 

중국은 얼굴 인식 기술의 선두주자이다. 중국 내 얼굴인식 기술은 ATM 기기는 물론 학교, 식당, 기차역, 심지어 공중화장실에서도 활용되고 있다. 얼굴 인식만으로 카드 없이 예금 및 출금이 가능하며 대학의 출석 관리와 레스토랑에서 음식 주문과 결제가 가능하다. 긍정적인 면이 있는 반면 반론도 거세다. AI와 CCTV 등을 통해 14억 인구의 일거수일투족을 감시할 수 있는 거대한 디지털 감옥을 만든 것이라는 의견도 있다. 

 

생체 인증 어떤 것들이 있나

생체 인증은 인간의 생물학적, 행동적 특징을 통해 사람을 인식하고 신원을 파악하는 기술이다. 흔히 생체 인식이라고 부르기도 한다. 신체에서 직접 정보를 추출하는 생체 인증은 지문 인식, 얼굴 인식, 홍채·망막 인식, 손 모양 인식, 정맥 인식 등 매우 다양하다. 신체적인 특징이 아닌 행위의 특징을 통한 생체 인증도 있다. 음성 인식이나 서명 인식, 걸음걸이 인식 등이 그것이다.

 


 

신체적 특징을 이용하는 생체 인증으로는 범죄조사에서 가장 많이 이용되는 지문에서부터 손바닥의 폭이나 손가락의 길이 등을 이용해서 인식하는 장형 인식, 눈 망막의 모세혈관 패턴을 인식하는 망막 스캔, 눈동자 홍채 패턴 농도의 히스토그램을 이용하는 홍채 인식, 얼굴의 주요 특징으로 인식하는 얼굴 인식, 근적외선을 손바닥 등에 통과시켜 정맥 패턴을 이용하는 혈관 인식, 성대 등 발성기관의 구조에서 유래한 음성인식, 귓바퀴의 형태를 이용해서 인식하는 귀 인식, 혈액이나 타액을 통해 가장 궁극적이고 확실한 DNA 인식 등이 있다. 

 

행동적인 특징(동적인 정보)를 이용하는 생체 인증으로는 필기할 때의 궤적, 속도, 필압의 변화 등을 이용하는 필적 인식, 키보드를 치는 속도나 타이밍의 경향을 이용하는 키스트로크 인식, 말하는 사람의 입술 움직임 버릇을 이용하는 립 무브먼트, 눈 깜빡임에 의한 검은 자위 영역의 변화량을 측정하는 눈 깜빡임 인식, 사람의 보행을 이용한 보행 인식 등이 있다. 

 


 

이 같은 생체 인증의 가장 큰 장점은 카드와 같은 신분증이 필요없다는 점이다. 또한 다른 사람이 대신할 수도 없으므로 안전하다. 사용자도 자신의 정보를 도용당하는 데에 대한 불안함을 떨칠 수 있어서 걱정 없이 이용할 수 있다. 비밀번호나 물건에 의한 인증 방식은 망각이나 분실, 비밀번호 노출, 도난의 우려가 있지만 생체 인증은 그런 위험성이 낮고, 비밀번호를 입력하거나 열쇠를 휴대하는 것이 불필요하다는 게 장점이다.

 

하지만 상처, 병, 선천성 결손 등에 의해 생체 인식이 불가능한 사람을 위한 대안이 필요하다. 또한 복제되거나 신체기관의 노화로 인해 인식이 불가능해지는 경우가 있다. 공무원들이 자기 지문을 복제한 가짜 손가락으로 야근수당을 챙긴 사례는 이미 오래 전 이야기다. 영화 속 이야기가 아니라 실제로 홍체 복제 및 목소리 복제도 가능해졌다. 외신에서는 정맥 인증을 해킹할 수 있는 밀랍 손을 제작했다는 기사도 나온 바 있다. 생체 인증 정보는 비밀번호처럼 임의로 갱신하는 것이 불가능하기 때문에 한번 복제되면 안전성을 회복하는 것이 불가능할 수도 있는 치명적인 문제를 가지고 있다.

 

생체 인증 어디까지 왔나

생체 인증은 이미 우리 주변 도처에서 쉽게 발견할 수 있다. 스마트폰 화면 잠금이나 모바일 뱅킹 등의 생체 인증이 대표적이다. 최근 출시되는 거의 모든 스마트폰엔 지문인식 센서가 탑재되어 있고 집 출입문도 비밀번호 대신 지문 인식으로 대체한 곳도 흔하다. 특히 은행권에서는 모바일 뱅킹은 물론 ATM기나 키오스크에서도 지문이나 홍채, 정맥 패턴 등 생체 인증 기술을 적극 활용하고 있다.

 

 

 

 

최근 보도된 몇몇 은행들의 생체 인증 사례다. IBK기업은행은 최근 지문·홍채 등 생체 인증에서 한 단계 발전된 음성본인확인(Voice ID) 서비스를 도입했다. 음성본인확인은 개인이 가진 100가지 이상의 목소리 특징을 모은 정보로 소비자를 식별해 상담과 금융거래에 활용하는 기술로, 일란성 쌍둥이와 형제자매의 음성도 구분 가능하다는 설명이다. 기업은행은 고객센터에 음성본인확인 서비스를 도입해 패스워드나 타 인증 수단을 이용하지 않고도 손쉽게 본인 인증을 마칠 수 있다고 밝혔다.

 

우리은행은 정맥·홍채·지문 인증이 가능한 키오스크 48대를 운영하고 있다. 신한은행도 ATM기와 키오스크에 정맥 인증을 도입했다. 국민은행은 손바닥 정맥 인증으로 영업점 창구에서 예금을 출금하는 ‘손으로 출금’ 서비스를 제공하고 있다. 코로나19로 인해 언택트가 유행하자 비접촉 생체 인증도 선보이고 있다. 롯데카드 핸드페이는 단말기에 직접 손바닥을 대지 않고 근적외선 센서로 정맥 인증이 가능하다. 이외에 패스, 카카오페이, 토스 등 사설인증서 기업들도 지문과 홍채 등 생체 정보를 통해 간편하게 본인 확인을 하고 있다.

 


 

미국 시장조사업체 AMI에 따르면 전세계 모바일 기반 생체 인증 시장은 올해 346억 달러까지 성장할 전망이라고 발표했다. 글로벌 연구조사기관 ABI리서치는 ‘코로나19에 대한 검토(Taking stock of COVID19)’ 보고서에서 “홍채, 얼굴인식 등의 비접촉식 생체 인식이 지문과 같은 접촉식 인증에 대한 의존도를 감소시킬 것"이라고 예측하기도 했다.

 

생체 인증도 완벽하진 않다

최근 모바일 금융서비스 앱에서 200만원이 인출돼 해킹 논란이 있었던 사건은 페이스 인증 결제 방식을 이용한 보이스피싱으로 밝혀져 생체 인증에 대한 우려가 커지고 있다. 생체 인증 방식을 악용한 최초의 보이스피싱 사기로 기록될 것으로 보인다. 검찰수사관을 사칭한 보이스피싱범은 게임 사이트에서 이용자의 정보를 도용해 피해자 전화로 결제유도 메시지를 보냈고, 피해자에게 계속 휴대폰 화면을 보도록 유도해 생체 인증(페이스 인증)이 이뤄지게 하는 방식으로 200만원을 빼내간 것이다. 

 

다행히도 생체 인증 자체가 뚫린 것은 아니지만 인증 과정이 너무 쉽고 간단하다는 게 문제라고 전문가들은 지적하고 있다. 공인인증서가 폐지되고 난 후 대다수의 인증서들은 간편 비밀번호나 생체 인증을 통해 편의성만을 강조하고 있는 상황이다. 이 같은 피해 사고를 방지하기 위해서는 생체 인증 절차에 대한 보완 대책이 반드시 마련되어야 한다.

 

 

 

  • AhnLab 로고
  • 콘텐츠기획팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com