“생체정보·PKI 결합하면 보안·편리성 만족시킬 수 있어”
상태바
“생체정보·PKI 결합하면 보안·편리성 만족시킬 수 있어”
  • 김선애 기자
  • 승인 2015.06.03 14:34
  • 댓글 0
이 기사를 공유합니다

김주영 KISA 보안산업기술1단장 “FIDO·PKI 결합으로 핀테크·IoT 보안 위협 낮춰”

‘보안’과 ‘편리함’을 동시에 만족시키기는 어려운 일이다. 특히 금전이 오고가는 전자금융거래에서 보안을 강조하면 편리성이 저해되고, 편리성을 추구하면 보안이 약화돼 사용자들이 큰 피해를 입게 된다. 이 문제를 해결할 수 있는 방법으로 생체인식 기술을 이용한 ‘인증‘이 제안된다.

한국인터넷진흥원(KISA)에서 FIDO와 PKI를 결합한 인증기술 개발을 이끌고 있는 김주영 보안산업기술단 1단장은 “PKI 암호인증 기술은 매우 높은 수준의 보안을 보장할 수 있는 기술로, 생체인식 기술 표준인 FIDO와 연계하면 더욱 완벽한 보안을 통해 전자금융거래를 보호할 수 있게 된다”며 “이 기술은 간편결제 뿐 아니라 강력한 인증과 암호화를 요구하는 스마트 헬스케어, 지능형 교통 시스템, 대규모 물류 유통 시스템 등 다양한 산업에서 활용될 수 있다”고 말했다.

“모바일 연동된 인증 기술로 편의성 높여”

PKI는 현재 공인인증서의 기반이 되는 암호인증 기술로, PKI 알고리즘은 오랫동안 사용돼 온 안전한 기술로 인정받으면서 강력한 인증을 요구하는 분야에 다양하게 사용되고 있다. 국내에서는 공인인증서 제도의 문제 때문에 PKI 기술의 보안성을 지적하는 의견이 있지만, PKI 기술이 문제가 아니라 공인인증 제도를 안전하게 운영하지 못했다는 정책적인 문제가 지적되는 것이다.

생체인식에 대해서도 많은 사람들이 거부감을 갖고 있는데, 생체정보는 한 번 유출되면 바꿀 수 없기 때문에 강력한 보안 기술로 보호돼야 한다. 그러나 지능적인 공격이 성행하면서 그 어떤 공격도 막을 수 있는 완벽한 보안 기술이 없다는 주장으로 인해 생체정보 사용은 제한해야 한다는 주장이 높다.

FIDO 표준을 준수하는 생체인식 기술은, 생체정보는 단말의 암호화된 영역에 저장한 후 단말에서 인증을 완료하고 인증 키값이나 해시값만 서버로 보내는 방식을 택한다. 생체정보가 아니라 유추할 수 없는 전혀 다른 데이터가 전송되기 때문에 중간에 데이터가 탈취된다 해도 실제 정보는 안전하게 보호된다.

단말에 저장된 데이터는 실제 바이오 정보가 입력돼야 접근할 수 있어 단말 분실이나 해킹 등의 공격으로부터 안심할 수 있다. 예를 들어 스마트폰 지문인식 기능을 이용해 본인인증을 한다면, 스마트폰의 보안영역에 지문정보가 저장되며, 해당 사용자가 센서에 자신의 지문을 인식시켜서 데이터가 일치하면 정보에 접근할 수 있도록 하는 방식이다. 즉 사용자 지문이 암호화 키로 사용되기 때문에 사용자의 지문을 직접 입력하지 않으면 보안 영역에 저장된 정보가 복호화 될 수 없다.

김주영 단장은 “FIDO 표준을 따르는 생체인식 기술과 PKI 암호인증 기술은 현재 나와있는 인증 기술 중 가장 높은 수준의 보안을 보장할 수 있으며, 해당 기술을 지원하는 모바일 기기와 연동하면 간편하게 인증이 가능하다”고 말했다.

물류·유통·신분증 등 다양한 분야에 적용

김 단장은 “생체정보 유출을 우려한다면 보안토큰을 이용하면 안전하게 보호할 수 있다. 향후에는 강력한 보안 기술로 보호되는 금융IC칩에 인증 정보를 저장한 후 스마트폰 NFC 등 다른 단말의 무선 통신을 이용해 인증하는 방식이 상용화 될 것으로 보인다. 이 경우 금융IC칩과 스마트폰에 저장된 정보가 서로 인증해 강력한 보안을 보장할 수 있다”며 “연내 금융권에서 이와 같은 방법이 상용화 될 것으로 기대한다”고 설명했다.

생체정보와 PKI를 연계하는 방식은 다양한 분야에서 활용이 가능하다. 대형 물류기업에서 실제로 이 기술을 이용해 본인인증을 하는 경우가 대표적이라고 볼 수 있다. 수출 물품을 컨테이너에 실은 후 PKI 기술이 탑재된 ID카드와 지문을 이용해 컨테이너를 잠근다. 컨테이너를 열 때도 지문과 ID카드를 이용해야 문이 열리게 된다. 이를 통해 컨테이너가 중간에 바뀌지 않았다는 사실을 인정받는 방식이다. 일부 국가에서는 PKI와 생체정보를 결합한 신분증도 사용하고 있다.

김 단장은 “생체정보를 이용한 인증 기술은 다양한 분야에서 활용할 수 있다. 스마트 헬스케어, 지능형 교통시스템, 사물인터넷 등 수많은 분야에서 사용될 것으로 기대된다. KISA는 최근 뇌파·심전도 등 생체정보를 이용해 모바일 기기에서 간편하게 인증할 수 있는 기술을 연구하기 위한 포럼을 발족시키는 등 간편하고 안전한 인증을 수행하기 위한 기술 개발에 지속적으로 투자하고 있다”고 설명했다.

그는 “핀테크, IoT 등 새로운 디지털 환경이 빠르게 도래하고 있으며, 이에 따라 지능형 공격은 더욱 교묘하게 진행되고 있어 이에 대한 준비를 서두르지 않으면 심각한 피해를 입게 된다. 앞으로 공격은 재산 뿐 아니라 생명도 위협할 수 있기 때문에 더욱 강력한 보안 수준으로 보호돼야 한다. 생체정보를 이용한 인증 기술은 강력하고 편리한 보안 기술 중 하나로, 향후 다양하게 활용될 수 있을 것으로 기대한다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.