[생체인식 활용 사례④] FIDO 접목해 빠르게 확산
상태바
[생체인식 활용 사례④] FIDO 접목해 빠르게 확산
  • 김선애 기자
  • 승인 2019.11.08 09:06
  • 댓글 0
이 기사를 공유합니다

딥페이크 등 위조된 정보에 의한 피해 막을 방법 필요
정보주체 개인정보 주권 확보 위한 ‘분산ID’ 부상

[데이터넷] 생체인식 기술 시장 성장세는 FIDO 인증 표준과 결합해 가속화되고 있다. FIDO는 생체인식을 포함한 차세대 인증 기술을 보다 쉽고 안전하게 접목하기 위해 설립된 단체로, 전 세계 250여개 회원사가 활동하고 있다.

FIDO는 인증 수단과 방법을 분리해 안전하게 관리하는 것을 핵심 기술로 보고 있다. 생체인식을 이용해 인증을 한다면 생체정보를 스마트폰의 안전한 저장소에 보관하고, 라이브 생체정보가 인식되면 그 때 인증을 한다. FIDO 인증 받은 기술이 경쟁적으로 등장하면서 FIDO 기반 서비스도 빠르게 확장되고 있다. 서비스 기업들은 FIDO 표준을 준수하는 플랫폼과 기술을 선택해 보다 쉽게 인증 서비스를 구축할 수 있다.

FIDO2 표준에서는 생체인식 기술의 완성도와 안정성을 검증하는 규격을 마련해 생체인식 기술의 완성도를 높인다. 한국정보통신기술협회(TTA)가 FIDO 인증시험소로 지정돼 한국에서 FIDO 인증과 생체인식 기술을 검증할 수 있다. 이를 통해 국내 기업의 FIDO 인증 비용과 시간을 크게 줄일 수 있다.

보안 고려한 서비스 개발해야

안정성과 편리성을 인정받은 생체인식 기술이 광범위하게 사용되고 있지만 보안 문제는 여전히 해결하기 어려운 난제로 남아있다. 삼성전자 갤럭시 노트10 지문인식 오류와 같이 너무나 쉬운 방법으로도 깨질 수 있다는 사실이 알려지면서 생체인식에 대한 부정적인 인식은 더욱 커지고 있다.

딥페이크는 사람의 눈에 실제 인물과 구분하지 못할 만큼 정교하게 가짜 영상을 만든다. 그러나 생체인식 기술이 이 영상을 보면 조작인지 아닌지 쉽게 확인할 수 있다. 기계가 확인하는 디지털 정보는 사람의 눈이 인식하는 정보와 확연히 다르기 때문이다.

그럼에도 불구하고 가짜 영상과 이미지를 이용해 생체인식을 악용할 수 있다는 지적은 끊임없이 나온다. 지문인식 기술의 경우, 실제로 본인 손가락을 대야 인식이 이뤄진다고 하지만, 실리콘 손가락으로 다른 사람이 인증하는 사례는 수없이 접하고 있다.

생체인식 기술이 가진 보안상의 문제를 해결할 수 있도록 세계 각국은 생체인식 기술 적용 시 반드시 점검해야 할 보안 가이드라인을 제안하고 있다. 미국 상무부 산하 통신정보관리청(NTIA), 연방거래위원회(FTC), 일리노이주의 생체인식 개인정보보호법 등에 나타난 생체인식 보안 요구사항은 ▲개인정보 보호를 염두에 두고 서비스를 설계할 것 ▲정보주체가 생체인식 기술의 보안 방안을 인지하도록 안내하고 동의를 받을 것 ▲생체정보의 탬플릿 데이터 관리 방안을 개발할 것 등이 포함돼 있다.

우리나라에서는 생체정보 보호에 대한 규제가 따로 마련된 것은 아니며, 향후 개인정보보호법 개정안을 논의할 때 반드시 검토해야 할 것으로 보인다.

▲딥페이크로 딸이 병원에 입원한 것으로 꾸며 아버지에게 돈을 갈취하는 상황을 가정해 재연한 화면(출처: TSP뉴스 www.youtube.com/watch?v=7xoOdmXsEaA)
▲딥페이크로 딸이 병원에 입원한 것으로 꾸며 아버지에게 돈을 갈취하는 상황을 가정해 재연한 화면(출처: TSP뉴스 www.youtube.com/watch?v=7xoOdmXsEaA)

정보주체 주권 보장하는 인증 서비스 등장

생체 정보를 포함한 개인정보를 본인이 직접 관리하는 방안이 중점적으로 논의되고 있다. 온라인 상 개인정보는 ‘공공재’라고 할 만큼 공공연하게 공개된 상황이다. ID/PW는 너무나 쉽게 알아낼 수 있으며, 우리나라 국민의 주민등록번호는 유료로 판매되지도 않는다. 신용카드 정보도 헐값에 대량 매입할 수 있을 정도다. 이제 막 성장을 시작한 생체인식 기술 시장도 정교한 해킹 공격에 무차별적으로 당할 수 있다. 생체인식 기술 기업들이 생체정보를 안전하게 보호하고 있다고 주장하지만, 완벽하게 보호되는 디지털 정보는 세상에 존재하지 않는다.

이러한 관점에서 정보주체가 자신의 정보를 직접 관리하는 자기주권 신원 인증(SSI: Self Sovereign Identity)이 등장했다. SSI는 정보주체가 스스로 자신을 인증하는 수단을 선택한 후 여러 온라인 서비스에서 이를 동일하게 사용할 수 있도록 한다. 서비스 기업이 마련한 인증 체계에 맞춰 ‘자신을 입증하는’ 방법이 아니라, 서비스 기업이 소비자를 직접 인증해 서비스를 편리하게 사용할 수 있도록 한다는 사상을 바탕에 깔고 있다

SSI는 소브린 재단(sovrin.org)이 디지털 ID를 온라인으로 관리할 수 있는 ‘소브린 네트워크(Sovrin Network)’를 개발하고, 이를 글로벌 공공 유틸리티로 만드는 오픈소스 프로젝트를 진행하고 있다.

자신의 신원 정보를 중앙집중화된 인증기관에서 관리하도록 하지 않고, 분산된 네트워크에서 관리하는 분산 ID(DID)도 제안된다. 중앙 인증기관이 없어 해킹할 주체가 없으며, 분산 네트워크에 인증 정보를 분산 관리해 개인정보 전체가 노출되지 않도록 한다는 사상이다. 이 이상을 현실화 할 수 있는 방안으로 블록체인이 제안되며, 블록체인 기반 분산 ID 관리 기술의 표준을 W3C(World Wide Web Consortium)에서 만들고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.