[보안칼럼]대세로 떠오른 생체인증, 만약 내 정보가 유출된다면?

[보안칼럼]대세로 떠오른 생체인증, 만약 내 정보가 유출된다면?

전세계적인 핀테크 열풍과 함께 쉽고 빠르고 안전한 차세대 인증 수단으로 생체인증(바이오인증)이 대세다. 생체인증은 개인이 가진 고유한 신체구조나 신체를 이용한 행동 결과를 기반으로 본인을 인증하는 방법이다.

최근 들어 삼성전자, 애플 등에서 생체인식 기능이 탑재된 최신 스마트기기를 출시하기 시작했고, 지문과 얼굴, 홍채, 정맥 등 생체 정보를 인증 수단으로 활용하는 생체인증 기술이 급 물살을 탔다. 삼성페이, 알리페이, 애플페이 등 생체 정보를 인증 수단으로 활용하는 자체 금융 결제 서비스까지 선보였고 금융(Finance)과 정보기술(IT)이 융합된 핀테크(Fintech)의 핵심 축으로 자리 잡는 분위기이다.

또한, 마이크로소프트(MS)는 윈도10에 기존 비밀번호 입력 방식 대신 얼굴과 지문, 홍채인식 기반 보안 기능을 넣었다. 중국 전자상거래업체인 알리바바는 얼굴인식을 활용한 결제시스템을 시연했다. 국내에서도 손바닥 정맥을 이용한 셀프 뱅킹 서비스도 추진되고 있다.

이처럼 생체인증이 대세지만 지문과 얼굴, 홍채 인식 기술이 당장 비밀번호와 공인인증서 등을 완전히 대체하기는 어려울 것으로 보인다. 다만 다중인증 시스템이 확산되면서 생체 인식 활용성도 증가하고 있다.

다중인증시스템은 패스워드, 생체인증, 스마트기기, 체크카드, 공인인증서, 일회용비밀번호(OTP), 보안카드, NFC, 심장박동·심전도 등에서 이중, 삼중 인증시스템을 활용하는 방식이다. 바이오님의 니미(Nymi)라는 NFC 팔찌는 사용자의 심전도와 심박수를 이용해 인증하는 방식이다. 이는 소유요소(전자 팔찌)+내재요소(심전도, 심박수)를 이용한 2단계 다중인증의 사례이다. 또 다른 사례로는 지문인증+PIN 비밀번호 또는 생체인증과 비밀번호의 이중 인증시스템을 예를 들 수 있다.

생체인증은 사용자가 특별하게 별도의 인증 토큰을 소유하지 않아도 되고, 별도로 알고 있어야 할 정보도 없기 때문에 사용 편의성이 높다. 사용자 본인 신체의 고유한 정보들을 사용하기 때문에 보안성 또한 높다는 장점을 지니고 있다.

하지만 생체 정보는 위조가 어려운 가장 확실한 인증수단인 반면에, 패스워드나 PIN 번호와 달리 변경이 불가능해 제3자에 의한 유출이나 도용 시 심각한 문제를 야기할 수밖에 없다. 다시 말해, 아이디, 비밀번호가 유출됐을 때는 다시 만들고 바꾸면 되지만, 생체 정보가 유출된다면 다시 만들거나 바꿀 수가 없기에 이에 대한 위험은 상상을 초월한다.

예를 들어, 나의 홍채정보가 해킹으로 유출된다면 나는 평생 홍채인증을 사용하지 못할 수도 있기에 무엇보다 생체 정보에 대한 데이터베이스 관리 및 보안이 중요하다. 주요 금융 및 공공기관, 기업 등에서 각각 관리 되고 있는 생체 정보 데이터베이스는 표준화도 중요하지만 생체 정보 데이터베이스 서버가 해킹을 당할 경우, 그 피해는 치명적일 수 밖에 없다.

최근 들어 다행인 점은 생체 정보를 서비스 사업자가 소유한 서버에 저장하지 않고, 사용자 개인이 소유한 스마트 기기에서 안전하게 저장하고 관리하는 트렌드로 옮겨가고 있고, 생체 정보를 안전하게 보관할 수 있는 기술도 발전하고 있다. 그 기술이 바로 파이도(FIDO)이다.

FIDO(Fast IDentity Online) 얼라이언스(Alliance)는 온라인 환경에서 생체 인식기술을 활용한 인증방식에 대한 기술표준을 정하기 위해 2012년 7월 설립된 협의회이다. 삼성전자, 구글, 마이크로소프트, 페이팔, LG전자 등 주요 글로벌 업체들은 생체 인증 및 온라인 간편인증 관련 국제 표준안 마련을 주도하고 있다.

FIDO는 생체 인증 정보를 서버가 아닌 개인이 소유한 기기에서 인증할 수 있다. 인증 및 거래 시 스마트기기의 안전한 영역에서 사용자를 본인 인증한 후 결과 값을 서버에 전송하고 이를 서버에서 검증하여 사용자의 본인인증을 수행한다.

또한, 문제로 지목됐던 액티브X를 설치할 필요가 없고, 비밀번호가 필요 없어 비밀번호 유출의 위험이 원천 차단되는 대안으로 주목 받고 있다. 무엇보다 생체 인증 기술이 공인인증서와 같은 기존 인증 기술과 융합적으로 활용하는 다중 인증 방식을 통해 쉽고 빠르고 안전한, 즉 보안성과 사용 편의성을 모두 높일 수 있는 대안으로 제시되고 있는 것이다.

FIDO를 기반으로 한 생체 인증은 유출의 위험이 컸던 기존 비밀번호 입력 방식에서 벗어나 복잡한 인증절차 없이 간편하게 활용 가능하고, 비대면 금융거래를 위한 핀테크, 인터넷 뱅킹, 스마트 뱅킹 등 다양한 분야에서 활용도가 높은 기술로 평가 받고 있다. 지불결제 분야 외에도 단말기 로그인 등 다양한 분야에서 활용될 수 있을 것으로 기대해 본다.

대세로 떠오른 생체 인증, 그러나 만약 데이터베이스 서버에 보관되어 있던 생체 정보가 해킹되어 유출된다면 상상하기에도 끔직한 대란이 일어난다. 개인은 그 생체 인증을 평생 사용 못할지도 모른다는 불안을 해소하기 위해서라도 보다 철저한 생체 정보에 대한 데이터베이스 관리가 필요하다. 만에 하나 이것 또한 안심할 수 없다면 생체정보는 데이터베이스에 보관할 경우 심각한 수준의 보안 위험이 예상되므로 이를 대비하기 위한 강력한 정책이 마련돼야 한다.

이순형 라온시큐어 대표 steve@raonsecure.com