[차세대 인증②] 생체정보 유출 가능…보안성 강화 시급

카스퍼스키랩 “지문정보 빼돌릴 기술 암시장서 판매”…생체정보 작게 쪼개 암호화해 보호해야

FIDO 인증 획득 기업이 늘어나면서 생체인식을 활용한 인증이 대세로 떠오르고 있지만, 생체정보 유출시 심각한 피해를 입을 수 있다는 우려에서 자유롭지 못하다. NFC 기술을 이용한 2팩터 인증, 보안칩을 이용한 하드웨어 인증 기술 등이 주목을 받으면서 다양한 활용 사례를 만들어가고 있다. 차세대 인증으로 부상하고 있는 기술을 살펴본다.<편집자>

생체정보 유출시 심각한 피해 우려

생체인증 시장이 빠르게 확산되면서 우려의 목소리도 높아지고 있다. 생체정보는 바꿀 수 없기 때문에 한 번 유출되면 평생토록 심각한 피해를 입힐 수 있다. FIDO 표준에서는 하드웨어 보안영역에 생체정보를 안전하게 보관하도록 해 안전성을 높이고 있다. 그러나 '하드웨어 보안 영역은 절대 해킹을 당하지 않는다'고 장담하는 것은 위험하다.

FIDO 인증을 준수하는 생체인증 방식은, 사용자 본인의 생체정보가 암호화 키로 사용되기 때문에 유출된다 해도 사용자 본인의 생체정보가 없으면 암호화된 정보가 풀리지는 않는다. 그러나 보안의 입장에서는 ‘만약’을 생각할 수 밖에 없다.

예를 들어 스마트폰 지문인식 기능의 경우, 지문인식 센서 부분에 남은 흔적을 이용해 지문을 복제해 무단으로 인증을 수행하는 것이 가능하다는 사실이 해킹 시연을 통해 증명된 바 있다. 생체인식 솔루션 기업들은 인증을 시도하는 생체정보가 라이브한 정보인지 판단해 위조된 생체정보는 접근을 차단하지만, 실리콘 손가락을 이용해 출입통제 시스템을 무단으로 사용하는 사고는 이미 수년 전 부터 보도되고 있다.

김운봉 라온시큐어 이사는 “간편한 생체인증 서비스의 수요가 늘어나면서 여러 업체들이 이 시장에 뛰어들고 있지만, 전문적인 보안기술과 구축 경험, 사용자 경험, 국제 표준 등 다양한 조건들을 만족시키는 안전한 서비스는 부족한 상황”이라고 말했다.

그는 이어 “불안전한 서비스로 인한 보안사고로 시장 성장에 큰 지장을 줄 수 있다”며 “생체인증 서비스 제공 기업은 전문적 보안 기술과, 생체 인증 정보의 안전한 보호와 정확성을 바탕으로 어떠한 인증 서비스 보다 안전한 서비스를 제공해야 하며, 혹시나 있을 보안 사고에 대비할 수 있는 역량을 갖춘 상태에서 서비스를 제공해야 한다. 또한 다양한 생체인증 수단의 확산(홍채, 안면, 음성 등)과 서비스 고도화에 대응할 수 있는 기술력과 전략이 필요하다”고 설명했다.

생체인식 정보를 탈취하는 공격은 이미 현실에서도 가능하다는 보고서가 발표됐다. 해외 금융기관 중에서는 지문, 손바닥 정맥 등을 이용한 ATM 인증을 제공하는 경우가 많은데, 카스퍼스키랩은 이미 ATM에서 지문정보를 빼내는 공격 툴을 판매하는 사람이 12명에 이르는 것으로 보고 있다. 카스퍼스키랩은 또한 3명 이상의 판매자가 손바닥 정맥과 홍채 인식 시스템에서 데이터를 훔칠 수 있는 장비를 찾고 있다고 설명했다.

공격자가 사용하는 생체 인식 장비는 지난해 9월 ‘스키머 장비 테스트’ 중 발견됐으며, 초기 테스트 기간 동안 스키머에서 여러 개의 버그가 발견됐다. 생체 인식 데이터 전송에 사용되는 GSM 모듈은 속도가 느려 대량의 데이터를 전송할 수 없었지만, 새로운 버전의 스키머는 빠른 데이터 전송 기술을 사용할 것으로 보인다.

또한 사이버 범죄 커뮤니티에서 사람의 얼굴에 마스크를 씌우는 방식을 기반으로 하는 모바일 애플리케이션 개발에 대한 논의가 진행되고 있다는 징후도 있다. 이러한 앱을 통해 공격자들은 소셜 미디어에 게시된 어떤 사람의 사진을 이용해 안면 인식 시스템을 속이는 데 사용할 수 있다.

▲ATM에서 지문정보를 탈취해 돈을 인출하는 해킹 시연 화면 캡처(자료: 카스퍼스키랩)

생체정보, 작은 탬플릿 암호화해 보안성 높여야

생체인식에 대한 불안감이 확산되고 있지만, 생체인식은 편리함 때문에 많은 부분에서 적용이 확대되고 있다. 생체인식 기술을 제공하는 기업들은 보안을 최우선으로 고려해 생체정보 유출을 근본적으로 차단하는 기술을 접목했다고 강조한다.

현재 보편적으로 사용되는 생체인식 기술은 지문이며, 홍채, 정맥 등의 인식 기술이 도입 사례를 확대하고 있다. 특히 정맥인식 기술은 은행의 ATM 기기 등에 사용되면서 편리하게 ATM을 이용하도록 하고 있는데, 금융결제원과 신한은행이 후지쯔의 손바닥 정맥인식 솔루션 ‘팜시큐어(PalmSecure)’를 이용한 서비스를 제공하는 것이 대표적인 예로 꼽힌다. 신한은행은 국내 최초로 카드 없이 정맥인식을 이용해 ATM 서비스를 이용할 수 있도록 하고 있다.

정맥인식은 지문인식에 비해 인식률이 높고 보안성이 강하다. 지문인식은 사람에 따라 지문이 희미해 인식이 잘 안되는 경우가 있지만, 손바닥 정맥은 개인화된 정보량이 풍부하고, 인증률이 높으며, 피부가 건조하거나 외부 기온에 의해 혈관이 수축돼도 거의 영향을 받지 않아 안정적이다. 손바닥을 센서에 가까이 대는 것으로 인증이 가능해 사용이 편리하고 거부감이 적다.

팜시큐어는 일본의 금융기관에서 오래 전부터 사용돼 왔으며, 국내에서도 ATM, 금융기관 상담창구, 키오스크 등 다양한 분야에 사용하고 있다. 신용카드사들은 실물카드 없이 정맥인식으로 결제할 수 있는 서비스를 구축하고 있으며, 연내 시범서비스를 시작할 예정이다.

이진화 한국후지쯔 신규비즈니스 추진부장은 “손바닥 정맥인식은 사용이 편리하고 사용자의 거부감이 없으며 비접촉식으로 위생적이어서 활용사례가 빠르게 늘어나고 있다”며 “후지쯔는 2003년부터 손바닥 정맥인식 기술을 개발해 적용하고 있으며, 가장 높은 수준의 보안과 편리성을 제공하는 업계 선도기업”이라고 소개했다.

그는 “생체정보는 이미지로 저장되는 것이 아니라 해당 정보의 특징을 탬플릿으로 만들어 저장하며, 암호화해 저장하기 때문에 탈취된다 해도 유용할 수 없다. 하나의 탬플릿을 작은 조작으로 쪼개서 관리하기 때문에 일부만 훔쳐서 암호를 푼다해도 사용할 수 없다”며 “생체정보와 고객정보를 물리·논리적으로 분산시켜 보안위협을 근본적으로 차단한다”고 설명했다.

김선애 기자 다른기사 보기