[데이터넷] 일상생활이 디지털화 되면서 비대면 환경에서 본인을 증명하는 ‘디지털 인증’이 중요해지고 있다. 간편하지만 강력한 보안이 보장되며, 온·오프라인에서 동시에 사용할 수 있고, 사람뿐 아니라 비인간 ID에도 적용 가능한 인증 기술이 다양하게 제안되고 있다. 차세대 인증 기술과 활용 사례를 소개한다.<편집자>

결제·인증 통합 솔루션으로 고객 신뢰 제고

편리하지만 강력한 인증을 위해 스마트폰이 주로 사용되고 있는데, 본인명의 스마트폰을 갖고 있지 않은 사람은 이 방법을 사용하지 못한다. 계좌에 1원을 입금하면서 입금자명을 확인하는 방식, 혹은 신용카드 정보를 이용해 스마트폰 인증을 대신하지만, 국내 거래 계좌나 신용카드가 없으면 불가능하다. 이메일, SNS에 인증을 위한 일회용 비밀번호나 본인인증 링크를 통한 인증도 사용되지만, 보안에 취약하기 때문에 금융서비스 등 중요한 업무에는 사용하지 못한다.

국내 본인명의 스마트폰, 은행계좌, 신용카드 없는 해외 거주 교민을 위한 알뜰폰 상품이 있지만, 사용 빈도가 낮은 ‘본인인증’만을 위해 스마트폰 사용료를 지불하는 것은 부담스럽다. 이 문제를 해결하기 위해 재외동포청은 전자여권을 이용해 인증서를 발급할 수 있도록 지원하고 있다. 재외동포청은 한국인터넷진흥원과 재외동포 비대면 신원확인 법·제도 마련과 비대면 신원확인의 안정성·신뢰성 제고 등을 위해 협력하고 있다.

이 사업에 인증 기술을 제공하고 있는 넥스원소프트는 결제·인증을 통합한 독자적인 기술을 제공한다. 사설인증 사업자, 분산ID 등 인증이 필요한 여러 서비스에 대한 통합인증을 지원하며, 인증부터 결제까지 체계화 해 고객 결제 성공률을 10% 이상 높인다. 넥스원소프트는 EMV 3DS 기반 ‘클라우드 온라인 결제 인증 서비스 ‘넥스비(NexBe) 3DS’를 출시하고 글로벌 서비스 시장 공략에 나섰다.

무자각 지속인증 가능한 생체인증

비대면 환경에서 본인인증을 위해 ID/PW 외에 OTP 등 인증을 위한 매체, 생체인식 기술 등이 추가로 사용되거나 패스워드를 대체해 사용되고 있다. 사용자가 직접 입력하는 길고 복잡한 패스워드는 보안위협을 높이기 때문에 사용자가 직접 비밀번호를 관리하지 않도록 하는 패스워드리스 기술이 사용되고 있으며, 생체인증이 대표적이다.

생체인증은 무자각 지속인증을 실현할 수 있어 제로 트러스트를 위한 최적의 인증기술이라고 할 수 있다. 제로 트러스트는 지속적으로 신뢰를 평가해야 하는데, 실제 서비스에 적용했을 때 사용자를 불편하게 해서는 안된다.

사용자의 키보드 타이핑 습관을 인식해 본인 여부를 지속적으로 판단하는 기술이 고려된 적이 있지만, 이 기술은 정확도가 떨어져 상용화되지 못했다. 최근에는 악성봇 방지에 적용돼 자동화된 봇에 의한 접근인지 사람에 의한 접근인지 구분하는데 사용되고 있다.

무자각 지속인증을 가장 쉽게 이행할 수 있는 방법은 안면인식 기술이다. PC나 스마트폰 화면을 바라보고 있는 것만으로도 인증을 수행할 수 있기 때문에 인증을 위해 별도의 행위를 하지 않아도 된다. 행위가 실시간으로 기록되기 때문에 문제가 생겼을 때 조사 자료로 사용될 수 있으며, 부인방지 기능도 할 수 있다.

피앤피시큐어는 비전 AI 기술을 적용한 안면인식 기술 ‘페이스락커(FaceLocker)’를 인증이 필요한 모든 업무에 적용해 무자각 지속인증을 통한 제로 트러스트를 구현하고 있다. 페이스락커는 웹캠이 장착된 스크린을 바라보면서 업무를 하면 지속적인 인증이 가능하다. 윈도우 로그인, 기업 계정 시스템 등에 1차 인증수단으로 사용할 수 있게 해 보안은 강화하면서 사용 편의성은 높였다.

피앤피시큐어는 페이스락커를 접근제어 솔루션 ‘디비세이퍼('DBSAFE)’ 제품군과 연계해 작업 단계별로 사용자 검증을 수행한다. DB 접근제어, 시스템 접근제어 사용 중 중요·금지 명령어를 실행했을 때, 업무 담당자 본인이 자각하지 않은 상태에서도 본인인증이 이뤄져 권한을 탈취한 공격자가 임의로 명령을 내릴 수 없게 한다.

류승열 피앤피시큐어 페이스락커본부장은 “페이스락커는 국내 금융권 최대 규모 안면인증 솔루션 프로젝트를 수행하면서 안전성이 검증됐으며, 다수 금융사에서 재택근무 등을 위해 사용하고 있다. 사용자 인증 외에도 이상행위 탐지 업무화면 차단, 카메라 등 객체 탐지 기능을 제공해 강력하고 편리한 본인인증과 부인방지 기능을 제공할 수 있다”고 말했다.

FIDO 기반 간편인증으로 서비스 확장력 높여

패스워드리스 인증 기술 대부분 FIDO 표준을 따른다. 사용자 기기의 안전한 저장소에 크리덴셜과 시크릿 정보를 저장하고, 필요 시 사용자 본인이 이를 활용해 본인임을 입증하면 연계된 웹서비스 로그인과 거래 인증을 할 수 있다. 모바일 뱅킹 이용 시 로그인과 이체 비밀번호 입력 대신 스마트폰의 안면인식 기능을 이용하는 것을 예로 들 수 있다.

FIDO 기반 간편인증 서비스 중 와이키키소프트의 ‘와이덴티티(Ydentity)’가 시장의 주목을 받고 있다. 와이키키는 안랩의 전략적 투자를 받았으며, 안랩 임직원용 인증 시스템과 트러스가드 VPN 인증 및 기타 안랩 제품에 와이덴티티 활용 생체인증을 탑재했다. 더존비즈온 차세대 UC에도 탑재해 별도 연동 없이 라이선스 활성화만으로 생체인증이 가능하도록 했다.

조한구 와이키키 대표는 “와이키키는 FIDO 기반 인증의 원천기술을 갖고 있으며, 여러 기업과 기관에 간편인증 시스템을 성공적으로 구축해왔다. 앞으로 인증 수단과 정책, 모니터링까지 아우르는 인증 라이프사이클 관리를 일원화하고, AI 기술을 접목한 진화된 솔루션으로 국내와 글로벌 시장 공략에 나설 것”이라고 밝혔다.

생체정보 유출 방치 대책 마련해야

한편 다양한 생체정보를 인증에 사용하면서 보안에 대한 우려도 높아지고 있다. 딥페이크·딥보이스 등 영상과 음성을 모방해 금융거래를 조작하고, 가짜뉴스 확산과 잘못된 여론 형성을 만들어낼 수 있다. 사람의 눈으로 위조 여부를 확인할 수 없는 정교한 딥페이크 영상이라도 IT 기술은 구분할 수 있다고 믿었지만, AI 기술이 고도화되면서 딥페이크를 가려내는 기술도 속이는 진보한 공격기술도 등장한 상황이다.

VR·AR 기기가 사용되면서 생체정보의 무단수집과 악용 가능성도 제기된다. VR·AR 기기는 사용자가 착용하면서 다양한 감정과 건강상태를 읽어낼 수 있다. 공격자가 악용한다면 이 기기가 수집한 데이터를 기반으로 사용자의 습관과 기호, 건강정보를 파악해 정교한 사회공학 공격이 가능해진다.

전 세계 생체인식 시장은 2028년까지 연평균 15% 성장해 1050억달러 규모를 이룰 것으로 예상된다. 그런데 생체정보는 한 번 유출되면 바꿀 수 없으며, 악용됐을 때 제어할 수 있는 방법이 마땅치 않아 큰 피해로 이어질 수 있다. 그래서 선진국에서는 생체정보 보호 규제를 강화하고 있다.

우리나라에서는 개인정보보호위원회를 중심으로 가이드라인을 마련하고 필요한 조치를 강구하고 있지만 법으로 강제된 규제가 아니기 때문에 강화된 법안 마련이 필요하다. 현재 생체정보 보호 항목을 명시한 규제는 안면인식을 통한 출입국 관리에 필요한 ‘출입국관리법’과 ‘항공보안법’이 있다. 개별 규제에 흩어진 생체정보 보호 규정을 통합하고, 체계적인 관리와 보호를 의무화한 규제 마련이 필요하다.