위·변조 어렵고 정확도 높은 모바일 보안 솔루션의 대안

[시큐리티월드 김태형] 최근 삼성전자가 발표한 ‘갤럭시 노트7’은 여러 혁신 기술을 탑재해 스마트폰의 미래를 제시했다는 평가를 받고 있다. 특히 홍채인식을 이용한 삼성패스 등은 모바일 보안 솔루션의 대안이라는 호평과 함께 주목받고 있다.

최근 핀테크 이슈와 공공기관의 출입통제 강화조치 등으로 공인인증서를 대체할 본인확인 수단으로 바이오인증에 대한 관심이 높아지고 있다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
특히, 기존 많이 사용하던 지문인식 외에 홍채 및 정맥을 활용한 바이오 인증기술은 향후 공인인증서를 대체해 금융거래에서 활용할 수 있고, 기존 ATM기기에도 탑재시킬 수 있어 최근 이슈가 되고 있다. 이 외에도 공항이나 항만 등의 출입국심사와 공공기관의 출입통제 강화 등으로 인해 바이오인증 기술을 기반으로 한 본인확인 수단 적용은 더 많은 분야로 확대될 전망이다.

이러한 가운데 지난 8월 3일 삼성전자는 ‘갤럭시 노트7’ 공개와 더불어 홍채인식을 이용한 인증 서비스인 ‘삼성패스’를 소개해, 다양한 서비스에 스마트폰의 바이오 인증을 접목할 토대를 마련했다는 평가를 받았다.

스마트폰 최초의 홍채인식 탑재
삼성전자는 지난 8월 11일 갤럭시 노트7을 국내 미디어와 소비자들에게 공식적으로 선보이고 사전예약에 들어갔다. 갤럭시 노트7은 새롭게 탑재된 여러 혁신 기술을 기반으로 스마트폰의 미래를 한발 앞서 제시했다는 평가를 받고 있다. 이 중에서 눈에 띄는 것은 스마트폰 최초로 홍채인식 기능을 탑재해 모바일 보안 솔루션의 혁명적 대안으로 주목을 받고 있다는 점이다.

최첨단 홍채 스캐너를 적용한 갤럭시 노트7은 복잡하고 정교한 홍채를 빠르고 정확하게 인식해 스마트폰이 구현할 수 있는 최상의 보안성과 편리함을 제공하며 홍채인식 기능을 활용한 삼성패스를 통해 각종 웹사이트의 로그인이나 모바일 뱅킹 서비스 등을 더욱 쉽고 안전하게 사용할 수 있도록 했다.

이러한 홍채인식은 지문인식의 단점을 보완했다는 평가를 받고 있다. 홍채정보는 지문정보보다 위·변조가 어렵고 정확도가 더 높아, 더욱 강화된 보안성과 편의성이 장점이면서 차별점이다. 이에 따라 인천국제공항에서도 홍채인식을 통한 신원확인 적용이 결정됐고, 올해부터 출입국 자동화 시스템에 홍채인식을 통한 신원확인 방식을 새로 적용한 심사대 기기를 전국 주요 공항과 항만에 차례로 설치할 계획이다.

관련 업계에 따르면, 홍채정보가 유사할 확률은 5억 명당 한 명꼴이며 약 266개의 측정 가능한 식별 특징을 가지고 있어, 40개 정도의 식별 특징을 가지고 있는 지문에 비해 훨씬 복잡하고 정교하다. 현재 홍채인식 기술은 직접적인 접촉이 없이 15㎝∼3m 범위에서 카메라가 인식할 수 있는 수준까지 발전한 것으로 알려졌다.

홍채인식과 찰떡궁합 ‘삼성패스’
삼성전자가 홍채인식과 함께 발표한 삼성패스도 이슈다. 두 기술을 함께 사용해 모바일 뱅킹 서비스를 받으면, 기존 전자금융 거래에서 요구되어 온 공인인증서나 OTP, 보안카드 등의 번거로운 절차가 홍채인식 기반의 인증으로 간소화돼 금융 거래의 새로운 패러다임이 열리게 됐다는 것.

또한 삼성전자는 한국인터넷진흥원이 최근 발표한 가이드라인(바이오 정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인)에 따라 공인인증기관인 한국정보인증과 협업해 삼성패스를 통한 공인인증서 사용도 비밀번호 입력 대신 홍채인증으로 가능하도록 제공한다.

이에 실제 사용자들은 8월 19일부터 신한은행, 우리은행, KEB하나은행의 모바일 뱅킹 서비스를 삼성 패스를 통해 사용할 수 있게 되었다.

이에 따라 우리은행, KEB하나은행의 모바일 뱅킹에서는 삼성 패스를 통한 홍채인증으로 로그인은 물론, 계좌조회, 이체거래 등의 모바일 뱅킹을 간편하고 안전하게 이용할 수 있다.
특히 우리은행은 홍채인증 기반 공인인증서를 적용해, 기존 공인인증서의 비밀번호와 보안카드 입력 단계를 홍채인증으로 대신한다.

또 KEB하나은행은 금융당국의 공인인증서 의무 사용 폐지에 발맞춰, 기존 공인인증서 업무를 홍채인증으로 완전히 대체하는 ‘셀카 뱅킹’ 서비스를 개시한다. 그리고 신한은행은 홍채인증을 통한 간편 로그인 서비스를 먼저 출시한 뒤, 추후 이체 거래나 신규 상품 가입 등으로 확대 적용하는 방안을 검토할 계획이다. 삼성전자는 삼성카드, 신한카드, 하나카드, KB국민카드, 키움증권 등과 협력해 더욱 다양한 금융 서비스에 삼성 패스를 확대 적용할 계획이다.

저장된 홍채인식 정보 보호가 앞으로의 문제
갤럭시 노트7은 홍채인식을 활용한 ‘보안 폴더’를 지원해 개인정보나 콘텐츠, 애플리케이션을 별도의 분리된 공간에 저장할 수 있다. 폴더의 잠금을 해제해야만 접근이 가능한 이중 안전 시스템으로 디바이스가 잠금 상태가 아닐 때도 데이터를 안전하게 보호할 수 있도록 제공한다.

홍채인식은 색이 진한 선글라스나 서클렌즈를 착용했을 경우 적용이 어렵다는 점이 단점이 있지만, 이를 해결할 수 있는 기술 개발이 진행 중이다. 삼성전자도 이러한 문제를 어느 정도 해결하고 갤럭시 노트7에 적용한 것으로 알려졌다.

아울러 공격자가 사용자들의 홍채 정보가 저장된 서버 데이터를 통째로 탈취해 간다면 일반적인 비밀번호와 같이 이를 바꿀 수도 없어 위협적이다. 이 때문에 서버 등에 저장된 바이오 정보가 공격자에 의해 탈취되지 않도록 저장된 데이터의 철저한 보안관리도 중요하다.

이와 관련, 바이오인증 분야의 한 전문가는 “최근 모바일 부문에 지문인식을 포함해 홍채인식, 얼굴인식 등의 바이오 인증 기술이 탑재되어 활용되고 있어 기존보다 좀 더 안전하고 편리한 본인인증 수단으로 활용되고 있다”면서 “홍채인증은 지문인증보다 보안성이 강하다. 사람마다 각기 다른 지문이나 홍채의 바이오 패턴 정보는 암호화되어 저장되거나 출입카드의 칩과 같은 안전한 하드웨어에 저장될 수 있다, 이번에 출시된 삼성전자의 갤럭시 노트7에서 사용자의 홍채정보는 삼성전자의 모바일 보안 솔루션 ‘녹스(Knox)’를 활용해 더욱 안전하게 저장되어 매칭되는 것으로 알고 있다”고 설명했다.
[글 시큐리티월드 김태형 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 232호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>