\r\n

신 용 녀 | 한양사이버대학교 교수(ynshin@hycu.ac.kr)

\r\n

\r\n

9.11 테러이후 바이오인식 기술은 특별한 보안을 요구하는 영역에서 주로 사용되었다. 그러나 대형 테러사고, 컴퓨터 해킹, 산업 스파이와 같은 악재와 테러들이 때와 장소를 가리지 않고 동시 다발적으로 일어나면서 상황은 변하고 있다. 한 사람씩 구체적으로 확인·검증하는 작업이 점점 늘어나고 있고, 국가 서비스 인프라 구축에도 고해상도 기반의 스마트폰과 바이오인식 기술이 결합되고 있다.

\r\n

\r\n

조달청은 공인인증서 대여를 통한 불법전자입찰을 원천적으로 차단하기 위해, 조달업체의 개인키를 안전하게 관리하고 등록된 전자입찰 대리인만이 전자입찰에 참여할 수 있도록 바이오 인식 기반 스마트 나라장터 서비스를 개시, 스마트폰을 통해 입찰에 참여할 수 있는 시스템을 제공하고 있다. 이처럼 국내외적으로 바이오인식 기반 스마트폰을 이용한 앱 및 서비스가 활발하게 등장하고 있지만, 이와 함께 프라이버시 침해논란 또한 문제가 되고 있다. 바이오 인식 정보는 개인을 식별할 수 있는 정보 일 뿐더러, 이것과 스마트폰 내 주민등록번호와 같은 개인식별정보(PII)와 결합하여 사용될 때에는 더욱더 정보보호 기법이 요구되고 있다. 그러나 모바일 바이오인식 기술의 확산을 위해서는 다음과 같은 것들이 선결되어야 할 것으로 판단된다.

\r\n

\r\n

첫째, 바이오인식 정보는 이미 제정된 ‘개인정보보호법’이나 ‘ISO 24745’ 국제 표준에서도 개인을 식별할 수 있는 개인정보로 분류되는 바, 이와 관련된 프라이버시 보호 및 정보 보안을 위한 취득, 저장, 전송, 이용 등 각 단계별로 상응하는 기술적이고 관리적인 보호조치들이 필요하다.

\r\n

\r\n

둘째, 바이오인식 기술 자체가 가지는 인식 성능에 대한 고려가 필요하다. 바이오인식 시스템은 타인을 본인으로 인식하는 오류나 본인을 타인으로 인식하는 경우의 오류가 생길 수 있다. 바이오인식 기술을 적용함에 있어서 특정 기법, 예를 들어 지문인식을 사용하는 경우, 개인이 가지는 지문의 품질로 인해 근본적으로 지문인식이 사용되기 어려운 경우도 있고, 위조지문 등의 악의적인 시스템 공격에 대한 대책도 있어야 한다.

\r\n

\r\n

셋째, 모바일 바이오인식 단말기에서 추출되는 바이오인식 정보의 추출이나 저장단계와 같은 바이오인식 시스템의 운영에서는, 이미 제정되어 있는 TTA 단체표준이나 ISO SC37(바이오인식)과 SC27(정보보호)에서 제정한 바이오인식 표준 포맷이나 운영 규정을 따라야만 상호운용성을 유지할 수 있다. 특히, 공인인증서의 사용자가 천만 명 이상임을 고려할 때, 등록할 때나 본인인증 시에 사용되는 바이오인식 센서가 동일하지 않을 수 있기 때문에 이때 발생할 수 있는 센서간의 특성을 반영할 수 있는 상호운용성이 중요하다.

\r\n

\r\n

넷째, 이미 구축되어 있는 공개 키 기반의 공인인증 체계와 융합성이 고려되어야 한다. 공인인증서에 바이오인식 기술을 적용하기 위해 기존의 공인인증체계에 큰 변경을 요구한다면 국내 금융 환경 상 시장 진입은 어려울 수밖에 없다. 따라서 평가 기술의 실제 구현을 위해서는 기존의 공인인증 체계를 그대로 유지한 상태에서 바이오인식에 의한 본인인증을 사용자가 원하거나, 응용프로그램이 요구하는 경우에 한해서 부가적으로 적용 프로그램이 수행되는 Add-on 방식이어야 한다. 스마트폰에서의 바이오기반 인증이 증대됨에 따라 이에 따른 표준화 요구는 지속적으로 증대되고 있으며, 한국이 국제 표준화 제정에 주도권을 확보할 수 있기를 기대해 본다.

\r\n

\r\n

<글 : 시큐리티월드 편집팀>

\r\n

\r\n

[월간 시큐리티월드 통권 제188호(sw@infothe.com)]

\r\n

\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>