2016년 새해에도 사이버 공격은 끝없이 진화하고 있다. 특히 잘 관리된 게이트웨이가 아니라 사람, 단말, 웹 등 관리되지 않는 취약점을 공격한다. 2016년 정보보호 분야에서 가장 뜨거운 이슈 10개를 선정해 집중 분석하면서 대응 방안을 찾아본다.<편집자>
생체인식 1.0 시대 개막
핀테크, 간편결제와 함께 생체인증 시대가 본격적으로 개막했다. IBK 기업은행이 홍채인증을 활용하는 ATM을 선보였으며, 신한은행은 손바닥 정맥인증을 활용한 디지털 키오스크를 선보였다. 우리은행은 지문인식 인증 방식의 삼성페이를 ATM에 태그하면 현금 인출 등 서비스를 이용할 수 있게 했으며, NH농협은행은 NH스마트금융센터를 통해 모바일앱에서 지문인증으로 본인확인을 하게 했다. BC카드는 목소리로 본인확인을 하는 인증기술을 사용하기 위해 임직원 대상 시범서비스를 시작했다.
금융권에서 생체인증을 경쟁적으로 시작하고 있는 것은 핀테크 시장 경쟁력을 갖기 위해 사용자 편의성을 제고해야 한다는 점 때문이다. 지능화되는 전자금융사기와 사이버 공격으로부터 고객의 재산을 보호하면서 편리하게 서비스를 제공할 수 있는 방법으로, 가장 확실한 본인확인 기술인 생체인증이 제안되는 것이다.
생체인증은 인식률이 떨어지고, 생체정보 유출 우려 때문에 범용적으로 사용되지 못했다. 그러나 2014년 FIDO 1.0 표준이 확정되면서 생체정보를 이용한 인증 서비스가 크게 늘어나고 있다. FIDO 1.0 표준 인증을 획득한 국내 기업은 삼성전자, 삼성SDS, LG전자, 라온시큐어, 시큐브 등이며, ETRI도 일찌감치 인증을 획득해 생체인증 관련 기술 연구에 박차를 가하고 있다.
FIDO 표준으로 생체인식 본격 확산
FIDO 표준에서는 생체정보 유출우려를 해결하기 위해 생체정보를 단말의 안전한 하드웨어 보안영역에 암호화해 보관하도록 하고 있으며, 본인의 생체정보를 암호화키로 사용한다. 생체정보가 유출된다 해도 본인의 생체정보가 없으면 암호화된 생체정보에 접근할 수 없어 안전하다.
인증에 사용되는 생체정보는 지문이 가장 많으며, 지문인식 기능을 지원하는 스마트폰을 통해 이용할 수 있다. 홍채인식, 안면인식, 음성인식 기술도 적용분야를 확장해가고 있으며, 인증 플랫폼을 제공하는 기업들은 생체인식 기술을 적용할 수 있는 차세대 인증 플랫폼으로 FIDO 표준 인증을 확보하면서 이 시장을 공략하고 있다.
FIDO 표준 제정되면서 생체인증 시장의 확장속도가 높아지고 있다. 여러 기관에서 발표한 2016년 시장전망에서도 일제히 FIDO를 주요 이슈로 지목하고 있다.
KISA가 2015년 11월 발표한 ‘산업체가 주목해야 할 10대 정보보호 기술’에서도 ‘안전하고 편리한 비대면 인증’으로 바이오인증 등 패스워드 대체기술을 선정했으며, 금융보안원의 ‘2016년도 금융 IT·보안 10대이슈 전망보고서’에서도 FIDO 기술을 활용한 금융서비스 확대를 주목해야 할 이슈로 꼽았다.
생체정보 유출 우려에 ‘행위’ 인식 기술 부상
그러나 아직도 생체인증에 대한 부정적인 시각이 남아 있다. 공격이 지능화되면서 하드웨어 암호화 영역도 해킹당할 가능성이 있으며, 암호화 키의 난수생성 패턴을 해킹하면 키를 알아낼 수도 있다는 우려가 제기된다. 현실화된 위협은 아니지만, 사이버 공격 기술의 발전속도를 감안하면 멀지 않은 시기에 하드웨어 암호화 해킹에 성공해 생체정보 유출 우려가 있다는 소식을 접하게 될 것으로 조심스럽게 예측할 수 있다.
생체정보가 아니라 생체행위정보를 이용하는 생체인식 기술이 생체인식 기술보다 안전한 기술로 주목되고 있다. 생체행위정보는 사람만의 독특한 행위패턴을 이용해 인증하는 기술로, 서명의 특성, 말하는 특성, 비밀번호를 입력하는 특성, 마우스·키보드를 이용하는 습관 등을 이용하는 것을 말한다.
국내에서는 서명을 이용한 인증기술 개발이 활발하게 진행되고 있는데, 서명의 이미지, 방향, 속도, 압력 등을 분석해 본인만의 고유한 패턴을 인식한다. 만일 서명 정보가 유출된다면, 비밀번호 바꾸듯 서명을 바꿔 다시 사용할 수 있어 보안과 편리성을 동시에 만족할 수 있다.
