바이오인식 아이템 중 ‘서명인식’ 이라는 부분은 그리 큰 관심거리가 아니었다. 하지만 시간이 경과되고 일상생활에서 서명인식이 많이 사용되자, 서명을 캡처하고 그것을 검증하는 것이 유용한 가치를 가질 수 있다는 것을 알게 됐다. 따라서 이번 호에서는 이와 관련된 사례 연구를 독자들에게 소개하고자 한다.

최근 몇 년 동안 하드웨어와 소프트웨어는 엄청난 발전을 거듭했다. 그 덕분에 전자과정에서도 수기서명을 통해 확실한 인증을 할 수 있게 됐다. 미국 하드웨어 공급업체인 인터링크(www.interlinkelec.com)와 일본 하드웨어 제작업체인 와콤(www.wacom-europe.com), 독일 소프트웨어 전문업체인 소프트프로(www.signplus.com)가 이러한 혁신적인 개발에 앞장 선 업체들이다. 또한, 이들은 국제 제휴를 통해 한 팀을 이뤄 동적 서명 검증(DSV)을 위한 뛰어난 제휴 솔루션을 시장에 소개하기도 했다.

소프트프로는 등록 과정에서 서명의 특징과 신호의 복잡성을 평가하기 위해 바이오인식을 실현했는데, 실현과정 중 초기에 정의한 서명자의 서명 상태 수준을 확인 과정 전체에 걸쳐 고려한 것이 특징이다. 덧붙여 소프트프로는 BioAPI(www.bioapi.org) 기준을 그 상품에 최초로 실행해 일반 API 하에서의 다양한 바이오인식 기술을 통합하는 산업 표준을 제시했다. 또한, 인터링크와 와콤의 다양한 테블릿과 패드는 모양, 속도, 필법, 펜의 압력, 타이밍 정보를 포함해 개인 서명의 행동 특징을 캡처할 수 있도록 만들었다.

이로써 소프트프로는 전자 문서(SignDoc)와 로그인(SignSecure)을 안전하게 지키는 바이오인식 솔루션을 제공할 수 있게 됐다. 이런 소프트웨어는 문서에 끼워져 있거나 데이터베이스, 또는 스마트카드에 저장된 서명의 특징과 신호를 포착하는데 사용된다.

왜 서명 이미지만으로 충분하지 않은가?

서명을 제대로 활용하기 위해서는 포착하고, 저장하며, 검증하는 과정, 즉 기술적·법적 요구사항을 만족해야 한다. 그러므로 서명 검증을 위해 사용되는 엔진은 받아들일 수 있는 동일 오류율(EER)을 극복해야 한다.

오늘날 수많은 서명은 낮은 해상도로 받아들여진다. 한 가지 예로 택배회사 등에서 사용하는 서명기기를 들 수 있는데, 이 장비는 다소 들쭉날쭉한 서명 이미지를 포착하는 통에 일정 시간이 경과된 후에 이루어지는 검증에는 적용할 수가 없는 단점을 갖고 있다.

또한, 이러한 기기로 받은 서명은 손쉽게 위조될 수 있는 부분도 문제로 지적된다. 수많은 회사에서 서명 이미지를 필요로 하고 있으며, 실제로 이런 서명 이미지는 중요 문서에 끼워져 사용되고 있다. 하지만 이러한 서명 이미지의 진실성이 의심스럽다면 이는 더 이상 서명 이미지로써 가치가 없다는 것을 의미한다.

서명의 다양화에 대처

서명 검증은 어차피 인간의 행동으로 이루어지는 것이다. 따라서 다양한 외부적 영향이 이러한 행동에 변화를 줄 수 있다.

ㆍ수많은 검증은 특정 사용자의 전형적인 움직임 안에 있다.

ㆍ일반적으로 사용 가능한 수많은 입력 기기로부터 캡처한 데이터의 질은 아주 다양하며, 거대 기관에서 테블릿과 PDA를 섞은 것 같은 다양한 입력기기를 사용할 가능성이 다분하다. 따라서 이러한 기기로부터 채취된 서명 이미지는 와콤이나 인터링크의 기기와 동일한 품질의 서명 이미지를 만들어내지 못할 가능성이 높다.

ㆍ입력 기기가 디스플레이 상에서의 쓰기 과정 내내 정확한 작동을 하지 않는다면 사용자의 디지털 서명은 종이를 통해 이루어지는 전형적인 수기 서명보다 정확도에서 떨어질 수 있다. 

고품질의 디지털 서명

종이에다 서명을 복사하는 대신 요즘에는 서명을 디지털화해 사용하는 것이 특징이다. 서명이 디지털화되면서 생산되기 시작한 제품은 가령 펜 패드, 특수 펜, 2002년 이후에 나온 테블릿 PC가 대표적인 장비 중 하나라 할 수 있다. 이 기기로 전반적인 서명 검증의 품질을 업그레이드시킬 뿐 아니라 종이로 된 문서에서 전자 과정으로의 점진적인 이행이 가능하게 됐다.이러한 영향 덕분에 소프트프로는 디지털화 기구로 서명을 캡처하기 위한 품질 기준을 규정했다.

서명의 특징과 신호를 적절히 비교하기 위해서는 충분한 양의 시간 신호를 잡아낼 수 있는 디지털화 기구가 반드시 필요하다. 또한, 적절한 해상도를 얻기 위해서 다양한 압력레벨을 구별해낼 줄도 알아야 한다. 따라서 와콤과 인터링크의 e패드 중 일부는 이 모든 요구사항을 충족하고 있다.

이 두 회사 모두 서로 다른 업체 요구사항에 맞는 수많은 입력기기를 제공하고 있다. 와콤은 크기가 다양한 「그래파이어」, 「인투스」, 「신티크」, 「PL 시리즈」라는 자사 모델을 시판하며, 양질의 서명 캡처용 테블릿을 제공하고 있다. 이러한 장비는 그래픽 디자인, 의학 장비로의 응용과 같은 다른 용도 또는 건설 목적으로도 사용될 수 있다.

테블릿 PC의 상승세

2002년 가을쯤 테블릿 PC가 처음으로 시장에 출시됐었다. 이 기기에는 필체인식 기능이 삽입됐는데, 이런 기능이 원활히 작동될 수도 있도록 하기 위해 기기 부품 대부분은 와콤 부품(www.wacom-components.com)에 의존해 만들어져야만 했다.

소프트프로는 서명을 캡처하고 검증하는데 있어 마이크로소프트의 공식 파트너이며, 2004년 2월 제1회 테블릿 PC 응용 콘테스트에서 우승한 경력도 있다. 한편, 테블릿 PC에 사용된 수많은 응용기술은 수기서명 인증에 혜택을 준다.

CeBIT 2004에서 마이크로소프트가 60여대의 테블릿 PC에 윈도우 익스피리언스 월드를 설치해 소프트프로의 제품이 실전에 사용될 수 있었다. 소프트프로는 그 파트너인 후지쯔, 지멘스 컴퓨터 기기에 장착한 자사제품을 선보였는데, 이러한 종류의 솔루션은 분명 자동차 산업, 병원, 물류 분야, 보험 회사와 다른 많은 산업분야와 같이 다양한 잠재 이용자들의 요구를 충족시키는 것이었다.

뒤를 따르는 PDA와 스마트폰

2004년 중반에 시중에서 판매되던 PDA는 서로 다른 압력 레벨 캡처 기능을 지원하지 않았었다. 따라서 이런 문제를 해결하기 위해 다양한 스마트 폰과 PDA 제작업체들은 향후 동적 캡처 기술을 자사의 차세대 제품에 삽입할 예정인 것으로 알려지고 있다. 더욱 놀라운 것은 이런 기술이 이미 상용화되고 있다는 점이다. 한편, 와콤은 2004년 2월, 이미 휴대폰에 서명인식과 검증 능력을 3GSM으로 통합하는데 성공하는 등 시장에서의 주도권을 잡고 있다.

▲ 설치사례 : Ingolstadt 병원의 성공기 

최근 보건 분야에서의 개혁으로 독일의 한 병원은 환자의 입원 기간을 최소로 줄여야 했다(2003년 12월까지만 해도 환자의 입원 기간에 따라 병원비를 받았다). 그러므로 이제는 환자가 주말에 치료를 기다리거나 다음 월요일에 퇴원하기 위해 계속 입원해야 하는 등 환자를 필요 이상으로 오래 잡아 놓는다고 해서 더 이상 이득을 보지 못하게 됐다.

Ingolstadt 병원은 종이 기반 형태 업무환경을 마이크로소프트 오피스 프로페셔널 2003년판에 기반을 두고 테블릿 PC를 이용한 솔루션으로 대체했다. 이를 통해 새로운 제도로 인해 늘어난  업무시간을 줄일 수 있었다.

ㆍ환자 데이터는 입원시 응급실에 있는 테블릿 PC에서 캡처해 의료중단 비용과 시간지연을 피할 수 있다.

ㆍ기존 병원의 종이로 된 서류형식 대부분은 이미 모든 사업소와 기관에서 표준화된 것으로, 이는 2004년에 마이크로소프트 인포패스 2003을 사용하는 전자문서로 대체됐다.

ㆍ데이터는 XML을 통해 병원의 기존 서브 시스템으로 교체됐다.

ㆍ의사와 병원 직원이 보는 실시간 검사결과(예: 엑스레이, 혈액검사, 초음파검사)는 그들의 테블릿 PC에서 실시간으로 볼 수 있게 됐다.

ㆍ명백히 구조화된 정보는 필요할 때 언제 어디서건 열람 가능해졌기 때문에 진단과 진료를 위해 더욱 많은 시간을 할애할 수 있게 됐다.

ㆍ의료진의 행정업무가 상당부분 줄어들어 생산성이 크게 향상됐다.

현재 수기서명은 환자 파일에 있는 문서가 확실한 파일인지 또는 의심할 여지가 없는 것인지 증거를 제공하는데 일조하고 있다. 서명 캡처와 증명은 서명증명을 위해 세계적인 판매자인 소프트프로의 제품 ‘SignDoc’을 이용해 통합됐다.

테블릿 PC를 사용한 후 쓰기 과정 내내 서명이 즉시 디지털화되기 때문에 종이에서 캡처한 서명에 비해 보안 수준이 더욱 높아졌다. 또한, 캡처 과정 내내 눈에 보이는 것보다도 더 많은 정보를 뽑아낼 수도 있다. 이렇게 부가적인 특성은 쓰기 압력과 쓰기 속도와 같은 서명의 바이오인식 특성과 함께 서명 이미지의 데이터를 완성시킨다.

모든 서명은 각각의 특성이 있기 때문에 서명 특성 검증을 독특하게 결합시켜 서명자가 서명을 할 때 일어날 수 있는 환경적 다양함에 대처할 수 있다. 이렇듯 테블릿 PC와 SignDoc의 통합 덕분에 Ingolstadt 병원은 더 이상 서명을 목적으로 서류를 프린트할 필요가 없어졌다.

Ingolstadt 병원의 토마스 클리만 잉골스타트 병원 최고정보책임자는 “전자 서명으로 인해 업무의 시간과 서류의 정확성을 확보할 수 있었다”고 말한 후 “문서에 서명하는 것은 의사와 병원 직원, 환자들 모두에게 설명이 필요 없는 과정으로 쉽게 익숙해질 수 있었다”고 밝혔다. 

클리만씨의 경험에 따르면 많은 사람들은 클립 카드나 패스워드, 바이오인식 특징을 인증에 사용하는 솔루션을 아직 받아들이지 못하고 있다고 한다. 따라서 병원에서 문서화하는 민감한 부분에는 지금까지 이러한 수기서명이 가장 적절한 인증방법이라고 강조했다. 

<글: Jorg-M. Lenz SOFTPRO 마케팅 매니저>

[월간 시큐리티월드(info@boannews.com)]

           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>