[데이터넷] 생체인식 기술이 스마트폰에 기본으로 탑재되면서 생체정보 유출이나 인식 오류 등의 문제가 발생할 수 있다는 경고가 현실화되고 있다. 삼성전자 ‘갤럭시 노트10’과 ‘갤럭시 S10’ 등에서 지문인식 오류가 발생했으며, 구글 ‘픽셀4’는 눈 감은 상태의 얼굴도 잠금해제 된다.

생체정보를 악용하는 사례도 퍼지고 있다. 사람의 얼굴, 음성을 합성해 가짜 동영상을 만들어주는 딥페이크는 AI를 사용해 정교하게 영상을 조작해 업로드하기 때문에 사람들이 진위 여부를 가릴 수 없다. 지난해 버락 오바마 미국 전 대통령이 트럼프 대통령을 모욕하는 말을 하는 영상이 공개되며 파문이 일었는데, 이는 딥페이크를 통해 만든 가짜 영상이다.

딥페이크의 피해를 가장 많이 받고 있는 사람은 젊은 여성, 특히 한국여성이다. 그 중에서도 여성 아이돌이 많은 피해를 입고 있는데, 다크웹 등에서 유통되는 음란물 영상 중 한국 여성 아이돌 얼굴과 목소리를 합성해서 만든 것이 상당수에 이른다.

“생체인식 도입 전 정보보안 대책 강구해야”

생체정보가 온·오프라인 서비스에 광범위하게 사용되면서 각종 문제가 불거지고 있다. 이미지나 동영상 합성을 통해 그 사람이 하지 않은 가짜로 꾸며낼 수 있다. 유명인을 사칭한 보이스피싱 사고도 발생할 가능성이 매우 높다. 정치인이나 연예인이라면 공개된 그 사람의 발언을 짜깁기해서 정교하게 다듬으면 사기 범죄에 이용할 수 있고, 혐오발언을 하는 사람으로 낙인찍을 수 있다.

생체정보를 활용한 서비스가 다양하게 등장하면서 많은 문제가 불거지고 있다. 그럼에도 불구하고 생체정보 활용 서비스가 확장되는 추세는 거스를 수 없다. 생체정보는 다양한 서비스에 사용될 수 있다.

그 중 가장 일반적으로 사용되는 것이 본인인증이다. 출입통제 시스템, 비대면 거래, 온라인 신원확인 등에서 생체정보를 이용하는 것이 일상화됐다. 센서에 지문이나 얼굴을 대면 본인확인이 되기 때문에 복잡한 비밀번호를 입력하거나 별도의 인증 단말을 소지하지 않아도 된다. 비밀번호 없는 세상을 넘어 지갑 없이도 상거래를 할 수 있는 세상이 됐다.

생체정보를 통한 인증을 비밀번호를 대체하는 용도로 가장 많이 사용된다. 데이터 유출 사고의 80%는 데이터 접근 권한이 탈취돼 발생한 것이다. 비밀번호가 제대로 관리됐다면 막을 수 있는 사고다. 그러나 비밀번호를 완벽하게 관리하는 것은 불가능하다. 길고 복잡한 문자·숫자 조합의 비밀번호를 사용하고 자주 바꾼다 해도 비밀번호 유출을 막을 수 없다.

공격자는 봇을 이용해 사용자의 단말을 들여다보면서 어떤 값이 입력됐는지 자동으로 인식해 비밀번호를 빼간다. 무작위로 숫자, 문자를 입력해 비밀번호를 알아내는 부르트포스 공격은 AI를 적용해 한층 더 빠르고 정확하게 비밀번호를 찾아낸다. 다크웹 등에서 판매되는 개인정보를 이용해 온라인 서비스에 접속한 후 추가 정보를 수집해 고급 개인정보 DB를 완성하기도 한다.

비밀번호의 한계를 해결하기 위해 ID/PW와 OTP를 함께 사용하는 등 2가지 이상 인증 요소를 함께 사용하는 복합인증(MFA)이 제안된다. 이 방법 역시 사용자를 불편하게 하지만 공격을 어렵게 만들지는 못한다. 비밀번호와 OTP를 입력하는 과정에 중간자 공격으로 거래 정보를 탈취할 수 있다.

생체정보를 이용한 인증은 이러한 한계를 모두 해결해준다. 생체인증은 본인의 생체정보가 입력되지 않으면 본인확인이 이뤄지지 않는다. 공격자가 탈취할 수 있는 비밀번호가 없다. 생체정보는 이미지가 아니라 생체의 특징을 분석해 해시값으로 저장하기 때문에 유출된다 해도 공격자가 사용할 수 없다. 실리콘 등으로 사용자 생체 정보를 정교하게 위장한다 해도 라이브한 생체정보가 입력되지 않으면 인증이 이뤄지지 않는다.

홍동표 페이스피 아시아태평양 법인장은 “생체인식 기술은 IoT 기반 서비스 확산을 촉진할 것이다. 각종 스마트디바이스, 스마트홈 기기 등을 생체인식을 통해 통제하면 IT 지식이 충분하지 않은 사람들도 쉽고 안전하게 IoT 기기를 통한 서비스를 이용할 수 있다”며 “간편결제, 금융거래, 내부 업무 인증 등에 생체인증 기술이 적용돼 일상생활을 편리하게 하고 있으며, 앞으로 의료복지, 공공, 마케팅 등 넓은 범위에서 사용될 것”이라고 말했다.

지문인식 토큰으로 강력한 SSO 구현

생체인식이 여러 분야에서 사용되면서 전 세계 시장 규모도 크게 늘어나고 있다. 올해 글로벌 생체인식 시장은 303억달러 규모이며, 2021년 530억달러 규모로 성장할 것으로 예측된다. 국내 생체인식 시장은 올해 4529억원에서 2021년 5727억원으로 성장할 것으로 보고 있다.

생체인식 기술과 다른 인증 기술을 함께 사용하는 MFA 시장도 빠르게 성장하고 있다. 금융거래 등 민감한 거래에서 생체인식을 추가인증 수단으로 사용해 안전성을 더욱 높일 수 있다. 이 시장은 2025년까지 연평균 26% 성장할 것으로 예상되며, 현재 6조원에서 24조원으로 늘어날 것으로 예상된다.

생체인식 기술 중 가장 먼저 상용화 된 것이 지문인식이다. 지문인식 기술은 20여년간 여러 서비스에 적용돼 안정성과 정확성을 인정받아왔다. 초기에는 주요 시설 출입통제를 위해 사용했지만 이제는 소규모 사무실, 일반 가정의 디지털 도어락에서도 지문인식이 사용된다. 스마트폰, 노트북 등 사용자 단말이나 금융거래, 지문인식 카드 결제 등 상거래에서도 사용된다.

지문인식 기술을 제공하는 스타트업 옥타코는 미국 표준연구소(NIST) AAL3 인증을 획득한 하드웨어 토큰 ‘이지핑거(Ezfinger)’가 비밀번호를 대체하는 생체인증 솔루션으로 사용될 수 있다고 강조한다. 이 제품은 NIST 디지털 가이드라인 800-63의 가장 높은 인증 레벨인 AAL3를 충족하고 있으며, 윈도우 헬로의 차세대 인증수단으로 사용되고 있다. 윈도우 헬로, MS 오피스 365, 애저 액티브 디렉토리, 드롭박스, 트위터, 깃허브 등 수많은 서비스를 하나의 토큰으로 이용할 수 있다.

최근 미국, 유럽, 싱가포르 등 등 금융기관과 정부기관에서 제품 도입을 추진하고 있으며, 블록체인 키 보안용 지문인식 연동 솔루션으로 국내 보안업체와 협력을 진행하고 있다. 최근에는 버스회사에서 기사가 탑승하기 전 음주 여부를 측정하는 시스템에 이지핑거를 적용하는 사업도 진행하고 있다.

일반 소비자 시장에서도 이지핑거 판매량이 매월 20~30%씩 늘어나고 있으며, 미국, 일본, 영국 등의 온라인 쇼핑몰에서 인기를 끌고 있다.

이재형 옥타코 전략기술 총괄은 “하드웨어 토큰 기반 지문인식 솔루션은 사용자가 소지해야 한다는 불편함이 있지만 소프트웨어 기반 솔루션에 비해 보안성이 월등히 높다는 장점이 있다. 하나의 토큰으로 수백가지 서비스와 연동할 수 있기 때문에 인증 시스템 구축 비용을 줄일 수 있으며, 최대 80%의 비용절감 효과를 누릴 수 있다”며 “향후 카드타입, 키 링 타입, 반지 등 웨어러블 기기 타입 등 다양한 형태로 출시해 사용 편의성을 높일 것”이라고 말했다.

김선애 기자 다른기사 보기