[데이터넷] 앞서 가상 시나리오로 소개했던 A씨의 사례에서, 스마트폰 얼굴인식만으로 본인인증이 가능한 것은 ‘패스워드 없는 세상’의 대표적인 예이다. A씨는 모든 로그인에서 ID/PW 입력 없이 스마트폰 얼굴인식으로 대체했다. FIDO 표준을 따르는 패스워드 대체 기술 이 적용됐기 때문에 가능한 것이다.

계정정보는 가장 쉽게, 가장 빈번하게 도난당하는 개인정보다. 재택근무가 활성화되면서 급부상한 영상회의 솔루션 ‘줌(Zoom)’의 계정정보가 다크웹 에서 팔리고 있다는 사실이 알려졌다. 우리나라 국민의 계정정보도 다크웹에서 거래되고 있다.

카스퍼스키에 따르면 지난해 기업계정 사용자를 대상으로 한 악성 스팸메일은 1억8600만건으로, 전년 대비 5400만건이 증가했다. 이 중 마이크로소프트 아웃룩 관리자 공지메일로 가장한 메일도 유포됐는데, 이 악성메일 중에서는 정상 사용자 계정을 도용해 피해자가 의심하지 않고 문서를 열어보도록 유도한 것도 상당수다.

계정 보안 강화를 위해 복잡한 문자·숫자로 구성된 비밀번호를 사용하고 3개월에 한 번씩 바꾸도록 권장하지만, 이는 안전한 방법이 아니다. 공격자들은 사용자 기기에 악성코드를 심어 사용자의 계정 입력 값을 알아내거나 정교하게 제작된 피싱사이트를 통해 사용자 계정 정보를 쉽게 알아낸다. 기억하기 어려운 복잡한 비밀번호는 사용자만 불편할 뿐, 공격을 어렵게 하지 않는다.

생체인식으로 패스워드 관리 어려움 해소

‘패스워드 없는 세상’은 사용자가 직접 입력해야 하는 복잡한 ID/PW 체계를 걷어내고 안전하고 편리한 인증 체계를 만들고자 하는 시도로 시작됐다. A씨의 사례를 다시 보면, 스마트폰의 디지털 신분증이 ID, 얼굴인식을 통해 디지털 신분증에 접근하는 것을 비밀번호라고 할 수도 있다.

사용자가 갖고 있는 기기와 디지털 신분증(소유기반), 사용자 자신(생체인증), 이에 더해 사용자가 얼굴을 돌리거나 눈을 깜박이는 등의 행위 혹은 수기로 사인하는 행위(생체 행위인증)로 추가인증을 한다.

생체인식 기술은 패스워드 없는 세상 전환 속도를 빠르게 하고 있다. 지문, 얼굴, 홍채, 지·정맥 등의 생체 정보는 누구도 도용할 수 없는 본인 고유의 정보이기 때문에 가장 확실하고 편리한 본인인증 방법이다.

특히 생체행위 인증은 생체인증이나 기존 인증 체계를 보완할 수 있는 추가인증 수단으로 주목받는다. 시큐브의 ‘시큐사인’은 수기서명 행위 인식을 통한 본인인증 기술로, 우리나라와 미국, 일본 등에서 기술 특허를 취득하며 시장 공략에 나서고 있다.

AI 기반 얼굴인식, 대세로 자리잡아

생체인증 편의성과 보안성 효과를 극대화하기 위해 글로벌 기업들은 공동 서비스를 개발하고 생태계 확장에 나서고 있다. 애플, 마이크로소프트, 비자카드가 지문반지를 상용화하고 신용카드 결제, 애플페이, 마이크로소프트 헬로우 로그인 등 다양한 로그인이 가능하도록 했다. 윈도우 헬로우는 마이크로소프트 제품군에 대한 통합로그인을 제공하는데 ID/PW 입력 없이 FIDO2 프로토콜을 적용한 인증 수단을 사용할 수 있으며, 윈도우 제품 외 AI 스피커, 스마트TV, 스마트워치, AR 등 다른 기기들과 연동할 수 있다.

우리나라에서도 생체인식을 통한 본인확인 서비스가 빠르게 확산되고 있다. 금융위원회의 혁신금융서비스에 한 화투자증권과 KB증권이 제안한 ‘안면인식기술 활용 비대면 계좌개설 서비스’가 선정됐다. 비대면 계좌 개설 시 영상통화 대신 안면인식 기술을 활용할 수 있어 영상 통화에 익숙하지 않은 디지털 소외계층에게도 도움이 될 것으로 보인다.

홍동표 페이스피(FacePhi) 아시아총괄법인 대표는 “최근 국내에서 유행하는 ‘동학개미혁명’으로 증권사 비대면 계좌개설이 급증하고 있으며, 영상통화로 신분 증과 고객의 얼굴을 확인해 본인임을 확인하는 상담직원의 업무부하도 급증하고 있다. 오래된 신분증 사진을 영상통화로 확실하게 확인하는데 어려움이 있어 상담직원의 스트레스도 가중된다”며 “AI 기반 얼굴인식 기술은 상담직원이 일일이 판단해야 하는 어려움을 줄여줄 수 있으며, 실수나 착오로 인한 잘못된 판단 문제 도 해결할 수 있다”고 말했다.

김선애 기자 다른기사 보기