바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

패스워드 증후군 방지... 2017 생체인증 이슈들

2017-02-02이기혁 중앙대 융합보안학과 교수

 


2017년 생체인증 핵심 이슈

. 다양한 인증기술 각축
     - 공인인증서 의무사용 폐지 이후 개방성을 바탕으로 등장한 다양한 인증기술과 생체인증기술이 시장 지배를 위해 각축
. 법제도의 정비
     - 국내에서 인증 관련 법규, 기술표준 및 제도 등의 정비 가속
. 생체인증 기술과 시장 다변화
     - 지문 시장은 지속적으로 발전하고 좀 더 높은 수준의 인증이 필요할 경우 지정맥이나 복합판정 인증 형태로 다변화 전망


 

인터넷과 연결되는 각종 스마트 디바이스가 대중화되면서 ‘패스워드 증후군(password syndrome)’을 앓는 사람이 증가하고 있다. 패스워드 증후군은 보안을 위해 비밀번호를 변경하는 행위가 잦아지면서 자신이 설정한 비밀번호를 기억하지 못해 혼란에 빠지는 증상을 말한다.


각종 비밀번호를 저장해두는 스마트폰 앱 사용자도 늘고 있다. 하지만 비밀번호 저장 앱은 스마트폰 분실 시 매우 위험하다. 이 같은 상황에서 현재의 비밀번호를 대체할 수 있는 본인인증 기술로 생체인증이 주목 받고 있다. 무엇보다 빠르고 간편하기 때문이다. 


스마트폰과 스마트 디바이스의 대중화와 패스워드의 복잡화에 대응해 나온 본인 간편 인증인 FIDO(Fast IDentity Online)는 생체인증 온라인 환경에서 기존의 ID, 패스워드 방식 대신 지문인식, 홍채인식과 같은 생체인식 기술을 활용해 더 편리하고 안전하게 개인 인증을 수행하는 기술을 말한다.

 

 

인증 프로토콜과 인증수단을 분리해 보안성과 편리성이 높고 스마트 모바일 환경에 적합한 인증기술이라는 점에서 최근 차세대 인증방식으로 각광받고 있다.


FIDO는 비밀번호 인증 표준(UAF)과 이중 인증 표준(U2F)으로 분류된다. UAF는 기존 비밀번호를 홍채, 지문 등 생체정보로 완전히 대체하는 방식으로, 주로 모바일 환경에서 사용된다.  U2F는 생체인증 정보와 기존 비밀번호를 함께 사용하는 이중 인증 표준방식이다.

FIDO 생체 인증은 지문, 홍채, 지정맥 등 스마트 디바이스에서 생체인증 종류와 관계없이 개방이란 모토로 1.0 버전을 시작했다.

노트북·PC, 안드로이드 같은 웹 환경에서도 활용할 수 있는 FIDO 2.0이 발표될 예정이며, 스마트폰을 이용해 노트북의 잠금을 해제하거나 생체인증 장치가 빌트인(built-in)된 노트북 등에 활용될 전망이다. PC와 노트북에 생체인증장치 확대가 예상되는데, 파급효과가 상당할 것으로 보인다.

 

한 번 인증으로 모든 IT 기기 사용


FIDO 2.0에서는 초연결이란 모토로 스마트폰, 데스크톱, 노트북, 웨어러블 기기 등 모든 IT 기기가 단 한 번의 생체인증으로 추가 인증 없이 통합 사용할 수 있게 될 것이다. 


즉 스마트폰으로 생체인증을 받으면 새로 구매하는 노트북이나 웨어러블 기기 등에 인증 정보가 자동으로 연결된다. 앱과 웹 영역이 사라지게 되는 초연결 인증 시대가 도래하는 것이다.

 

>>>

지문, 홍채, 지정맥 중 어느 생체인증기술이 독점하기보다

시장은 다변화될 것으로 전망되지만, 마케팅 능력에 따라

생체인증 시장의 판도가 변화될 확률이 크다.


현재 우리나라는 FIDO 생체인증기술 도입이 가장 활발한 나라다. 모바일에 주로 사용되는 UAF 인증을 획득한 기업이 100여 개에 달해 세계 최고 수준이며, 실제 FIDO얼라이언스의 인증 250여 건 중 107건을 한국 기업이 획득했다.

이 중 UAF 인증은 99건으로 전체 UAF 인증 152건의 3분의 2를 차지하고 있다. 이처럼 많은 기업이 인증을 받고 사업을 추진하지만 국내 생체인증시장이 한계가 있다는 것 또한 분명하다. 


FIDO얼라이언스는 최근 신용카드를 사용한 스마트 결제를 현실화하기 위해 EMVCo(유로페이, 마스터카드, 비자카드 중심으로 결성된 세계 IC카드 표준규격 단체)와 협력해 온라인 상거래 시장에서 FIDO가 확산될 수 있도록 표준화 작업을 진행하고 있다.

FIDO 국제 표준 인증 플랫폼을 갖고 본격적으로 해외에 진출할 수 있는 교두보가 마련됐다고 생각한다. 
또 웨어러블 기기를 포함해 다양한 기기를 추가로 사용해도 한 번의 생체 인증 프로세스만으로 인증을 지원할 수 있도록 클라이언트 투 인증 프로토콜(CTAP) 작업을 진행 중이다.

또 생체인식 센서를 포함, 서버에서 UAF, U2F, 웹 등 모든 것을 광범위하게 지원할 수 있는 ‘FIDO 골드서버’와 새로운 사양 개발 작업을 2017년에 추진할 예정이다.


생체인증, 무인처방전·IoT홈 등 활용처 무한 


미래에 생체인증 기술은 스마트폰과 핀테크 외에 어떤 분야에 적용될 수 있을까? 한마디로 개인인증이 필요한 모든 곳에 적용할 수 있다. 우선 사물인터넷(IoT)과 모바일, 웨어러블 디바이스 기반의 생체인증 기술이 융합된 제품과 서비스로 확대될 것으로 전망한다. 


예를 들어 의료복지 분야의 경우 원격진료, 환자 신분 확인, 무인 전자처방전 등에 적용될 수 있는데, 실제로 국내 기업이 적용을 테스트하고 있다. 자동차 산업의 경우는 지정맥 기술을 이용한 생체인증 자동차 열쇠가 운전자의 생체리듬 건강진단과 자동차 구동, 구난활동 등에 활용될 것으로 예측할 수 있다.

또 스마트폰과 연동된 각종 IoT 홈 관련 기기 인증에도 우선 적용될 것이며 관련 기술들이 예상보다 빠르게 생활 속에 자리 잡게 될 것이다.


사실 생체인식 대상 중 지문이나 홍채보다 안전한 지정맥 인증기술로 발전할 것으로 전망한다. 다만, 초박형 단말 탑재용 모듈 개발이 관건이다. 


지정맥 기술은 지문과 달리 살아있는 사람의 지정맥을 이용하는 것으로 본인이 그 장소에 있지 않고서는 인증이 불가능해 지문처럼 실리콘 모형으로 위조가 불가능하다.


그러나 현재 발견된 생체인증 시스템의 위협과 취약점은 대략 8가지 정도로 정리되는데, 그 중 6가지가 스토리지에 보관하는 과정에서 악용될 수 있다. 이를 막기 위해서는 C-P-N-T 즉, 콘텐츠 영역, 플랫폼 영역, 네트워크 영역, 터미널 영역 모두 보안대책을 세워야 한다.


통계에서도 나왔지만, 개인적으로 스토리지에 보관하면서 네트워크 전송과정 등 여러 보안 위협과 취약점 발생이 문제라고 생각한다.


이를 해소하기 위해 생체정보를 서버 측에 저장, 전송하지 않는 FIDO 생체 인증기술이 기본으로 탑재돼 확대, 보급될 것으로 전망한다. 그러나 최근 기업형 해커집단과 블랙마켓의 활성화로 다중요소 인증으로 옮겨가는 추세이다. 


FIDO U2F 기술과 같이 다중요소인증(MFA)은 여러 인증요소를 함께 사용하는 것으로 사용자 본인 확인에 있어서 높은 수준의 보안을 제공하게 된다.

예를 들면, 지문, 얼굴, 지정맥 기술 등의 생체인증에 결합해 스마트카드나 스마트폰 등으로 이중요소를 인증하거나 패스워드를 요구하는 형태를 의미하며, 실제로 구글의 행위 기반 연구 프로젝트인 ‘아바커스 프로젝트’에서는 생체인증기술과 자판입력패턴이나 걸음걸이, 음성패턴, 현 위치 등을 분석, 이중 인증 시스템을 작동해 진정한 소유자인지 판정하는 복합판정(인증) 시스템을 구현하기도 했다.

 

한국전자통신연구원 연구원이 FIDO 2.0 기술을 준용한 인터넷뱅킹 앱에서 거래이체를 신청하고 있다.

FIDO얼라이언스에 참여하고 있는 글로벌 기업들


이처럼 다양한 인증기술이 확대된 이유는 2015년 3월 금융위원회에서 공인인증서 의무사용 폐지를 발표하면서 안전한 인증방법을 사용해야 한다고 고시했고, 이에 따라 본인인증, 거래인증, 상호인증, 지급결재, 보안 인증 등에 각종 다양한 인증기술이 화려하게 데뷔했으며 그 중 가장 개방적이며 확장성이 돋보인 기술이 FIDO 생체인증기술이다.


생체인식 전문 분석기업 AMI는 2020년 글로벌 생체인식 시장이 340억 달러가 될 것으로 예측했다. 이는 핀테크를 단초로 IoT 시장으로 확대되면서 더 큰 시장이 될 전망이다.


이에 우리나라는 2017년에는 이러한 개방성을 바탕으로 다양한 인증기술과 생체인증기술이 시장 지배를 위해 각축을 벌일 것으로 보인다. 특히 국내에서 관련 법규나 기술표준 및 제도 등이 정비되는 한해가 될 것으로 판단한다.


향후 생체인증 기술과 시장은 다양화, 다변화될 것으로 전망한다. 혹자는 가장 많이 보급된 지문 시장이 점차 홍채나 지정맥 시장으로 갈 것이라고 내다본다. 지문 시장은 지문 시장대로 지속적으로 발전하고 좀 더 높은 수준의 인증이 필요할 경우 지정맥 시장이나 복합판정 인증 형태로 다변화될 것으로 전망한다. 

 

<본 기사는 테크M 제45호(2017년 1월) 기사입니다>