간편한 지문·홍채 인증.. 해킹에 안전한지는 의문
2016.01.24 18:06
수정 : 2016.01.25 01:26기사원문
스마트폰이나 PC의 보안인증, 출입통제 시스템 등 모바일 기기와 웨어러블(착용)기기, 사물인터넷(IoT) 기반 기술이 발전하고 우리 생활에 밀착되면서 생체인증 기술 보급도 확대되고 있다.
생체인증 기술이 일상화되고 있는 이면에 생체정보의 보안에 대한 걱정 역시 커지고 있다. 기업이나 소프트웨어(SW) 회사는 물론 금융권에서 보관하고 있는 생체정보의 허점을 노려 이익을 챙기려는 해킹 또한 늘어날 것으로 전망되기 때문이다.
CCC처럼 시스템 상 가짜 지문 및 이미지를 통해 생체정보를 악용하는 사례 외에도 녹음된 음성 입력, 해킹.악성 코드로 인한 신체정보 탈취 및 위.변조, 거짓 신체 정보 전송 및 특징 대조, 매칭 결과 위.변조 등 생체인증 정보를 노릴 수 있는 방법도 다양해지면서 생체인증 대중화화 함께 보안을 강화할 수 있는 대책 마련이 요구되고 있다.
■생체정보 관련 보안 기술 개발 박차
24일 관련업계에 따르면 생체인식 정보 관련 신원 및 보안인증 특허 기술로 1회용 암호, 변동암호, 문답식 인증, 패스워드(PW) 분실 처리, 접근제한, 반복입증, 공격시 메모리 삭제 등의 기술 특허도 활성화되고 있다.
국내에선 공인인증서 의무화가 폐지되면서 생체인증이 대안으로 떠올랐고 점차 온라인 및 모바일 거래에서 생체정보를 보안에 활용하는 사례가 늘고 있다. 이를 위해 지문 등 생체정보 기술인증인 파이도(FIDO)가 공인인증서 등을 대체하는 차세대 인증 방식으로 부각됐다.
이에 발맞춰 최근 국내에선 FIDO 보안모듈이 탑재된 스마트카드로 스마트폰 보안 인증을 하는 기술이 개발됐다.
암호화에 필요한 보안 정보는 사용자 스마트카드에만 저장되도록 해 유출 위험도를 낮춘 것이다. 서버가 아닌 개인이 갖고 있는 기기를 통해 인증할 수 있도록 한 것으로 해킹의 위협을 최대한 낮췄다.
한국인터넷진흥원(KISA)은 미래창조과학부 지원으로 FIDO와 공인인증서 연계기술을 개발해 오는 2월까지 온라인쇼핑몰 예스24 공연 예매 서비스 내 간편결제를 시범적용한다.
최근 들어 생체정보 인증을 확대 적용하고 있는 은행 등 금융권에선 서버를 2개로 나눠 생체정보를 보관하고 관련 정보도 암호화 시켜 보관하는 중이다. 생체 정보 보관 서버는 내부망으로 구축해 외부에 연결되는 인터넷과 별도로 분리해 놓은 상태다. 또 손바닥 정맥과 지문, 홍채 등 생체 정보도 원본 그대로 보관하는 것이 아닌 암호화해 보관한다는 설명이다.
이에 따라 외부에서 해킹이 시도돼더라도 외부망과 분리 보관되는 생채정보는 해킹 확률이 낮고, 유출 대상인 생체정보도 암호화된 만큼 바로 사용하기 어렵다는게 관련 기업들의 설명이다.
■보안 검증은 아직...
얼굴이나 지문, 홍채.망막 인식기술 등 다양한 생체인증 방식은 기존 비밀번호에 비해 간편하다. 하지만 정보가 한번 유출되면 암호변경과 같이 변경이 불가능해 해킹 등 유출 사고에 완벽한 대응이 필요하지만 아직 대응책은 믿기 어렵다는 지적이 나오고 있다.
현재까지는 인증절차가 간단하면서도 오인식률이 가장 낮은 지문인식 기술이 주류를 이루고 있지만 벌써 이를 노리는 해킹 및 위변조 사례가 잇따라 주의가 요구된다.
지난해 미국 연방인사관리처(OPM)의 전산망이 사이버공격을 받아 약 2150만명분의 개인정보가 유출됐고, 이 가운데 560만명분의 지문 정보도 유출된 바 있다. 당시 유출된 지문 정보가 악용될 소지는 적다는게 공식적인 입장이었지만, 유출된 지문정보가 점차 피해로 연결될 가능성은 남아있다는게 전문가들의 지적이다.
앞서 지난 2008년에는 네덜란드의 대형 식료품 체인업체가 지문인식 지불 시스템을 도입했는데, 도입된지 일주일 만에 해킹을 당하기도 했다.
해당 업체의 보안 전문가가 복제된 지문을 이용해 대금을 지불하는 사고가 터진 것이다. 지문 복사본을 얻는 방법도 쉬웠지만 해당 업체에선 관련 내용을 파악하지 못할 정도로 시스템은 미비했다는 지적이다.
■법 정비 및 보안 기술 필요
이같은 사고를 예방하기 위해서라도 생체정보를 암호화해 보관하고, 이를 점검할 수 있는 제도적 정비가 시급하다는 목소리가 높아지고 있다.
생체인식 기술의 대중화와 프라이버시(사생활) 침해를 막기 위해선 질의.응답 프로토콜, 생체정보 위변조.탐지 기술, 응용 별로 변형된 생체정보 생성기술이 필요하고 생체정보의 자유로운 폐기를 위한 생체정보 변형 기술 적용도 요구되고 있다.
아울러 노화.성형.체형 등의 변화에 대응하기 위한 따른 생체인식 정보 업데이트나 생체정보 인식 정확도 향상 등의 기술도 필요하다는 지적이다.
지난해 2월에는 국내에서 생체인식 정보를 개인정보보호 대상으로 하고, 생체인식 정보를 암호화시켜 보관토록 하는 내용이 담긴 개인정보보호 통합법이 발의된 만큼 법적 정비에도 속도를 내야 한다는 주문도 이어지고 있다.
현재 신용정보감독규정과 정보통신망법 시행령에는 생체정보의 암호화와 관련된 규정은 있지만, 웨어러블과 모바일 기기 사용을 위한 본인인증 등의 관련 규정은 없어 보안에 취약하다는 분석이다.
시장조사업체 KRG 김창훈 부사장은 "생체정보 활용에 따른 개인 프라이버시 침해 문제를 해결하기 위한 노력과 생체정보 활용에 대한 개인의 거부감 해소가 필요하다"며 "생체정보 이용을 비롯해 관리의 투명성 등을 확보하기 위한 노력이 요구되고 생체정보 해킹을 통한 유출에 강력한 처벌 대책을 마련하는 것도 필수"라고 강조했다.
hjkim01@fnnews.com 김학재 기자