바이오메트릭 도입, 막을 수 없는 흐름이 이미 시작됐다
지금의 보안 사고가 바이오메트릭 정보 시대에 일어난다면?

[보안뉴스 문가용] 자기가 소유한 기기를 회사로 가져와 기업 내 네트워크로 연결시킨다는 BYOD 현상에 이어 BYOB 현상이 대두되고 있다. Bring your own body의 준말인 이 BYOB는 무슨 뜻일까? 바로 바이오메트릭 데이터와 관련된 말이다. 생체 정보로 인증을 하는 기술인 바이오메트릭 인증 기술이 여기 저기 도입됨에 따라 ‘당신의 몸을 가져오라’는 BYOB 용어가 새롭게 만들어진 것.


최근 기업 환경에서 생성되는 바이오메트릭 정보에 대해 이해하려면 바이오메트릭 정보의 기본부터 이해해야 한다. 바이오메트릭의 특성이란 1) 변경이 매우 어렵고 2) 정보의 주인으로부터 정보를 따로 추출하는 것도 매우 어렵다는 것이다. 카드번호나 암호는 도난당했을 때 쉽게 바꾸거나 정지시킬 수 있지만 지문이나 홍채 정보는 그렇지 않다.

또한 바이오메트릭 정보는 사람의 ‘정체’만 – 마치 죄수번호처럼- 부여하는 것에 그치지 않는다. 한 개인의 물리적인 정체성에 관한 것으로 이는 사람이 본인이 되는 데에 반드시 필요한 깊고도 근본적인 정보다. 그 개인이 더 나은 직장을 찾아 거처지를 옮길 때, 그 사람을 따라가야만 하는, 무소부재하지 않은 성질의 것이어야 한다. 그러면서도 항상 보호되어야 한다.

그렇다면 여기서 보안 전문가로서 두 가지 질문이 생길 수 있다.
바이오메트릭 정보의 주인은 정확히 누구인가?
2. 이 정보를 기업 차원에서는 어떻게 다루어야 하는가?

아직 첫 번째 질문에 대해서는 정확한 답이 나오지 않은 상태다. 지문은 나의 것이지만 이 지문의 디지철화된 정보는 누구 것인지 논란 중이라는 것이다. 하지만 ‘소유자’가 누구인지 밝혀지지 않았다고 해서 바이오메트릭 산업 자체가 멈출 수는 없는 노릇이다. 이 정보는 여전히 무서운 속도로 생성되고 있으며, 누군가는 이를 관리해야 한다.

물론 아직까지 바이오메트릭 관리 문제가 크게 대두된 기업들이 많지 않은 것이 사실이다. 하지만 클라우드처럼 바이오메트릭 정보가 요구될 미래는 분명히 다가오고 있다. 인지하고 있지 못해도 이미 어딘가에 당신의 바이오메트릭 정보가 저장되어 있을 가능성도 높다. 특히, 정부와 관련된 일을 한 적이 있다거나 보안이 철저한 대기업과 파트너를 체결한 경험이 있다면 이 가능성은 더 높아진다. 대게는 지문일 것이다. 미국 시민의 경우 운전면허증을 가지고 있다면 범죄 기록이 전무하다고 해도 FBI가 당신의 사진을 이미 분석해 안면 인식용 데이터베이스에 포함시켰을 가능성도 매우 높다.

그래서 뭐? 어차피 나라나 수사기관이 지문 정보를 가지고 범인을 추적하거나 수사를 진행하는 건 당연한 거 아닌가? 게다가 그런 특수한 경우에 대비한 거지, 실제 생활엔 그들이 우리 지문을 알고 있든 말든 별 영향이 없지 않은가? 이렇게 생각한다고 해도 타당하다. 바이오메트릭 정보가 아직도 많이 사용되고 있지 않기 때문이다. 하지만 각종 문서로 된 정보 유출 사고가 바이오메트릭 정보를 대상으로 일어날 미래를 생각해보면, 이는 걱정을 해야 하는 부분이다. 내 ‘생체 정보’가 대단위 유출사고 속에 섞여서 다크넷에 돌아다닌다고 생각해보라.

2016년까지 한 기업이 유출사고 때문에 지출해야 하는 비용이 건당 1억 5천 8백만 달러였다. 게다가 대부분의 ‘유출’ 정보가 이메일, 사업 기밀, 예산 관련 정보 등 ‘문건화된’ 정보였기 때문에 점점 더 탈취가 쉬워지고, 이런 종류의 ‘전통적인’ 정보 자체가 더 늘어날 전망이라, 액수는 점점 더 올라갈 것으로 보인다. 현재 어둠의 경로로 유통되고 있는 가장 값비싼 정보는 ‘바뀌지 않는 개인정보’로, 의료기록이 대표적이다. 신용카드 관련 정보보다 훨씬 높은 값에 거래된다. 이런 추세면 바이오메트릭 정보가 안전할 리 없다.

이럴 때 보안 담당자로서 제일 먼저 할 수 있는 일은 일단 우리 회사가 가지고 있는 바이오메트릭 정보가 전부 어떤 건지 확인을 하는 것이다. 보통은 1) 지문, 2) 홍채 이미지, 3) 안면인식용 사진, 4) EEG, 5) 피트니스 관련 기록 및 심장 박동수 데이터, 6) 자필 및 서명 정보 등이다. 여기까지 완료했으면 해당 정보들이 ‘어디에 저장되어 있는지’를 파악해야 한다.

현재 대다수 기업들은 이런 정보들을 1) 파일 공유 환경, 2) 아카이브 미 정보 관리 플랫폼, 3) 빌딩 출입 및 물리보안 시스템, 4) 외주 암호관리 소프트웨어, 5) 에버노트 등의 생산성 플랫폼, 6) 기업 내 소셜 미디어 및 유사 시스템, 7) SaaS 제품군에 보통 저장되어 있다.

그 다음으로는 어디에 저장되어 있는 어떤 정보를 누가 얼마큼 통제할 수 있는지를 파악하는 것이다. 그리고 가장 민감하거나 치명적인 정보부터 보안을 강화해나가야 한다. 바이오메트릭이 크게 성장하고 상용화되지 않은 지금 할 수 있는 ‘비교적 간단한’ 일들을 미리 해두면 나중에 커다란 사고를 막을 수 있을 것으로 보인다.

바이오메트릭이 도입된다고 해서 ‘응, 몸만 가지고 와’의 BYOB 정책은 그다지 ‘보안 담당자다운’ 자세가 아니다. 여기서부터 한 발 더 나아가야 한다. 차라리 바이오메트릭이 아직 본격 도입되기 전이라 다행이다. 할 수 있을 때 미리 대비해야, 생체 정보과 연루된 엄청난 혼란을 방지할 수 있을 것이다.

글 : 콘 레옹(Kon Leong)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>