상상만 했던 기술, 이미 여러 군데서 사용 중에 있어

바이오인증이 늘고 있다는 건 암호인증 시대가 가고 있다는 뜻

[보안뉴스 문가용] 구글에 “I hate passwords”라고 입력해보라. 3백만 개가 넘는 검색 결과가 나온다. 이것만 봐도 암호라는 인증수단의 유효기간이 지났음을 알 수 있다. 그렇다면 이미 우리 생활 속에 깊숙이 들어온 암호를 무엇으로 대체해야 할까? 내기를 할 수 있다면 난 바이오인증에 걸겠다.

바이오인증이란 것도 결코 최신 기술은 아니다. 영화에 등장한 것만도 이미 한참 전이다. 그러나 바이오인증은 대중화라는 측면에서 암호를 결코 넘을 수 없었다. 그것은 기술력의 한계 때문이었다. 그러나 시간이 지나 기술력이 갖춰지면서 이 역시 옛날 얘기가 되고 있다.

물론 완벽한 해결책이란 존재하지 않는다. 확실한 건 바이오인증이 영화에만 나오는 미래 인증수단이 아니라는 것이다. 이미 존재하고 있으며 앞으로도 나올 것들이 줄을 쫙 서있는 상태다. 한번 자세히 살펴보도록 하자.

1. 애플의 소프트웨어 엔지니어링 부사장인 크레이그 페더리기(Craig Federighi) 씨는 6월에 열린 워드와이드 개발자 컨퍼런스(WordWide Developer Conference)에서 2013년 아이폰에 터치아이디(TouchID)를 삽입한 이후 아이폰 5s 사용자의 83%가 지문인식 기능을 사용하고 있다고 밝혔다. 이는 핸드폰 사용자들이 암호를 사용하는 비율보다 훨씬 높다.

왜 터치아이디의 사용도가 높은 것일까? 사용자 입장에서 잊어버리기가 쉽지 않다. 사용하기가 쉽다. 그래서 지문인식 기능을 가진 스마트폰 사용자들은 암호나 패턴에서 지문인식으로 빠르게 옮겨가고 있는 것이다. 게다가 잦은 보안사고로 인한 사용자들의 의식함양도 변수로 작용했다.

2. 손바닥 정맥인식은 학교 매점에서 병원에까지 광범위하게 사용되고 있는 추세다. 하지만 인기도만 따졌을 때 정맥인식은 지문인식에 미치지 못한다. 그래서 지문보다 한두 세대 늦게 대중화될 지도 모른다. 혹은 POS 시스템에서 신용카드를 대체할 수단이 될 가능성도 있다.

손바닥 정맥인식은 개개인의 고유한 정맥 패턴 이미지를 적외선과 유사한 광선으로 스캔하는 기술로 후지쯔 사에서 2004년 처음으로 상용화시켰다. 처음에는 은행 ATM 기기에만 설치되었는데, 나중에는 랩탑에까지 도입이 되었으며 지금은 스마트폰에 장착하기 위한 연구가 진행 중에 있다. 지난 1월 뉴저지에서 열린 가전쇼에서 POS와 접목된 손바닥 정맥인식 기술이 각광을 받은 바 있으나 그 후로는 비교적 잠잠한 상태다.

3. 페이스북에서 새로운 소프트웨어를 발표했다. 아직은 프로젝트 단계로 이름은 딥페이스(DeepFace)이다. 이름 그대로 안면인식 기능이다. 페이스북의 야니프 타이그만(Yaniv Taigman) 씨는 최근 한 매체를 통해 로그인과는 상관없는, 페이스북의 사진 태그 기능을 좀 더 정확하게 하기 위한 기술이라고 밝힌 바 있다. 그는 “이 기술을 좀 더 발전시키면 업체들이 어떤 고객이 어떤 상품을 좋아하고 어떤 패턴으로 구매를 하는지 알아내고 분석하는 데에 큰 도움이 될 것”이라고 말했다.

이것 외에도 안면인식 기능이 최근 떠오르고 있다. 특별히 미국 FBI 측에서 이에 대한 연구를 활발히 진행 중에 있으며 2015년까지 자신들의 데이터베이스에 5천 2백만 장의 사진자료를 추가할 예정이다. 여기엔 범죄 기록이 없는 사람들의 기록까지 포함되어 있어 벌써부터 논란이 야기되고 있다. 이 기술이 본격적으로 활용되기 시작하면 논란이 더욱 거세질 것으로 보인다.

4. 행동 패턴을 분석한 인증 기술도 등장하고 있다. 사용자의 키보드 사용 습관, 카드 긁는 습관, 스마트폰을 사용하는 습관 등을 분석해 인물을 식별하는 방법이다. 이는 망막 스캔이나 지문인식보다 훨씬 큰 이점이 있는데, 지문을 스캐너 위에 올려놓는다든지 안경을 벗고 눈을 스캐너에 가져다 댄다든지 하는 인증 과정 자체가 없어지기 때문이다. 그냥 하고 있던 일을 계속함으로써 본인인증을 완벽히 마칠 수 있다.

덴마크의 금융업계는 얼리어답터로 유명한데 특히 단스케 은행(Danske Bank)에서는 비헤이비어섹(BehaviorSec)의 분석 소프트웨어를 활용해 ‘발자국 인식’ 시스템을 도입했다. 사용자 행동이 평소 행동과 심각하게 벗어났을 경우 경보를 울리도록 해놓은 것이다.

글로벌 금융 서비스 그룹인 BBVA의 경우는 모바일 기기를 활용한 이중인증 방식을 도입했다. 직원은 기업 내부 시스템에 로그인을 하고, 터치스크린으로 제일 좋아하는 음악을 터치함으로써 다시 한 번 인증을 하는 방식이다. 해커가 BBVA를 뚫으려 한다면 사용자의 모바일 기기를 물리적으로 훔쳐야 하고, 동시에 그 사람이 가장 좋아하는 음악이 뭔지를 알아야 한다. 또한 얼마나 세게 터치스크린을 터치하는지까지 알아야 하니 사실상 해킹이 불가능하다.

5. 병원에 근무하거나 자주 들려본 사람이라면 심전도라는 말을 들어봤을 것이다. 물론 심전도가 최근 개념이나 기술은 절대 아니다. 다만 심전도를 통해 개인의 독특한 심장 활동 패턴을 기록하던 기술을 웨어러블의 등장과 함께 보안 분야에서 응용할 수 있게 된 현상만큼은 최근 일이다.

이를 활용한 것이 나이마(Nymi) 팔찌다. 이 기기는 손과 손목에서 느껴지는 심장의 활동 정보를 수집해 사용자의 본인인증을 돕는다. 의학적으로 민감할 수 있는 정보는 기기에 기록되지 않지만 본인인증만을 위해서는 충분한 정보를 분석할 수 있다. 보너스로 심장의 박동을 모니터링 함으로써 갑작스러운 사고에 대한 대비책도 되고 있다.

6. 삼성은 7월 트위터를 통해 갤럭시 노트 4에 망막 혹은 홍채인식 기능을 탑재할 수도 있다고 밝힌 바 있다. 이런 식으로 사용자의 눈을 스캔하여 인증하는 기술 자체는 이미 1980년대에 등장했으니 굉장히 오래됐다고 볼 수 있다. 삼성의 트윗이 이목을 끈 건 이 기술이 드디어 개개인의 사적인 기기에 도입이 될 수 있다는 점 때문이었다.

애플 역시 웨어러블과 관련하여 이런 식의 망막/홍채인식에 깊은 관심을 가지고 있다는 정황이 드러나고 있다. 현재 암스테르담의 스키폴 공항에서는 승객을 식별할 때 여권 대신 이런 식의 ‘눈 스캐닝’을 사용하고 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>