글자 4개로 가능한 ‘보안’ 행동 패턴, 바이오인식의 새 장을 열다

[시큐리티월드 문가용 기자] 글자 네 개만 적을 수 있다면 당신은 안전하다. 다만 바이오메트릭 시그니처 아이디가 그걸 지켜보게만 하면 된다. 제프 메이나드(Jeff Maynard) CEO는 심지어 지문이나 홍채보다 행동 패턴을 가지고 하는 바이오인식 기술이 사용자에게도 훨씬 안전하다고 한다. “구글, 페이스북이 지문과 안면 정보를 다 가져간다고 해도 당신의 글자 네 개는 그대로 못 가져갑니다.” 보다 안전한 방법으로 안전을 꾀하라는 것이다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n 처음에 행동 패턴을 연구하게 되신 계기가 무엇인가요? 지문이나 홍채, 안면인식이 대세가 될 것을 아시고 틈새공략을 한 건가요?
원래는 전자 처방전 솔루션을 만드는 회사를 운영하고 있었습니다. 약국, 병원, 식약청과 같은 조직들과 함께 일을 했죠. 전자 처방전이란 게 약의 유통을 통제하기 위해 있는 것이고, 그렇기에 절대적인 보안을 필요로 하는 시스템입니다. 특히 국가나 산업에서 허락을 해준 사람들만이 접속해서 약을 다뤄야 하기에, 아이덴티티 확인이 매우 중요한 포인트였습니다. 그러나 그게 잘 되지 않았어요. 저희만이 아니라 그냥 전자 처방전이라는 시스템 자체에 누수가 많았습니다. 그래서 중독자들이 침투해 들어와 자기들이 원하는 약을 빼돌리는 사고들이 발생했습니다.

그래서 어느 날은 식약청에서 미팅을 요구하더라고요. 아이덴티티를 정확히 확인할 수 있게 해주는 솔루션을 만들어 달라 혹은 알아봐달라고 요청을 하더군요. 당시 미국에는 그걸 해결해줄 만한 솔루션이 없었고, 가장 알맞은 걸 하나 찾은 게 이스라엘산이었습니다. 그런데 가격이 너무나 비쌌어요. 게다가 신용카드를 사용하는 방법이었기 때문에 전국의 약국이나 병원에서 따로 리더기를 구입해 설치해야 했고요. 식약청에 이런 조사결과를 가져갔더니 하드웨어 동원하는 방법 말고, 오로지 소프트웨어로만 보다 낮은 가격에 만들어달라고 했습니다. 그래서 베트남에 있는 저희의 개발 파트너사에 연락을 해서 사정을 알려주고 뭔가 만들 수 있겠느냐 했더니 해본다고 하더라고요.

그렇다면 아예 백지서부터 시작하신 건가요? 처방전 솔루션에서 갑자기 인증 보안 솔루션이라니요?
갑작스럽긴 하지만 백지부터 시작했습니다. 그리고 결국 특허까지 따냈죠. 현재 94개 국가에서 사용 중에 있고 미국의 모든 주에서 활용되고 있습니다. 한국에서도 1,000명 정도 저희 솔루션 사용자가 있는 것으로 기억하고 있습니다.

한국이요? 전 아무리 찾아봐도 지사 정보가 없던데…
지사가 설립되지는 않았습니다. 게다가 저희가 행동 패턴으로 하는 바이오인증 솔루션을 개발한 이후 업종도 바꿨어요. 그래서 찾기가 더 어려웠을 겁니다. 원래는 의학 계통에 있었다고 설명드렸죠? 지금은 교육 업계에 저희 사용자 대부분이 분포하고 있습니다. 한국 고객들도 다 교육 관련 기관 혹은 업체들입니다. 자랑 같지만 저희 회사에서 개발한 솔루션의 인증 성공률이 99.97%입니다. 아주 희귀하게 작동이 안 되는 경우가 있긴 한데, 거의 100%에 가까운 수치죠. 그렇게 좋은 솔루션을 개발해놓고 보니 의학 및 제약 업계가 너무 느리더라고요. 굉장히 보수적이기도 하고요. 사람의 생명을 다루는 학문이다 보니까 어쩔 수 없는 부분입니다.

신기술을 충분한 실험 없이 막 도입할 수 없어요, 거긴. 그게 맞습니다. 그렇지만 사업을 하는 입장에서는 그렇게 느린 흐름에 맞출 수만은 없더라고요. 그래서 새로운 활로를 뚫은 것이 교육 시장입니다. 온라인 교육이 활성화되면서 원격에서 학생들의 신원을 확인해야 할 ‘수요’가 엄청나게 많더라고요. 특히, 대학 이상의 제3차 교육기관에서 보는 시험들이 중요하니까, 그런 쪽으로 고객들이 많이 생겼습니다. 각종 국제 자격증 시험을 주관해야 하는 기관들도 저희 제품을 많이 사용하고요.

고작 글자 네 개 적어 넣는 건데, 그게 어떻게 그렇게 높은 성공률을 가질 수 있나요?
바이오메트릭은 크게 두 가지로 나눌 수 있습니다. 하나는 물리적 혹은 신체적인 바이오메트릭 기술로, 지문, 목소리, 안면, 홍채 등의 정보를 활용하는 것입니다. 두 번째는 다이내믹 바이오메트릭스라고 하는데, 움직임과 행동 패턴을 활용한 게 대표적입니다. 이 다이내믹 바이오메트릭 기술 역시 크게 두 가지로 볼 수 있습니다. 하나는 키스트로크, 즉 키보드나 패드를 누르는 걸 활용하는 것이고 다른 하나는 마우스나 터치펜 등을 통해 제스처를 확인하는 겁니다.

제스처에는 움직임의 방향, 속도, 각도, 특수한 장비를 썼을 경우 힘의 세기 등이 다 들어가게 됩니다. 한 번이 아니라 여러 번 같은 동작을 반복하게 했을 때 이런 여러 요소들 중 겹치는 것들이 생겨요. 공을 던질 때 팔 동작이 대각선으로 비스듬하게 선을 그린다든지, 연필을 쥐면 바닥과의 각도가 대략 80° 정도 된다든지 하는 것이죠. 저희 솔루션에 글자 네 개를 마우스로 써 넣으면 이런 정보들이 다 저장됩니다. 그리고 저희 솔루션을 통해 반복해서 인증을 받으면 저장된 정보가 더 확실해지고, 그러므로 보안 성공률이 더 높아지는 것이죠.

그렇다면 최초에 설정할 때 여러 번 적어 넣어야 하겠군요?
네, 최소 세 번 기입하도록 되어 있습니다. 정보가 매번 새롭게 저장되고, 그 새로운 정보는 이전 정보와 대비되어 더 확실한 인증 정보가 탄생하는 것이기 때문에 사용자의 로그인 한 번 한 번이 모두 안전에 대한 큰 의미를 가지게 됩니다. 게다가 지문의 경우 누군가 지문 정보를 훔쳐갔을 때 초기화할 수 없잖습니까? 지문을 새로 그려 넣을 수도 없고 말이죠. 이게 신체적인 바이오메트릭스 기술의 한계입니다만, 한 번의 탈취가 너무나 치명적으로 작용할 수밖에 없습니다. 하지만 저희 솔루션은 얼마든지 리셋이 가능합니다. 게다가 아까 식약청 이야기에서 나왔듯이 마우스 외에 별도의 하드웨어가 필요 없다는 것도 행동 패턴 바이오메트릭스의 장점이죠.

이것 또한 ‘음?’ 소리가 절로 나오는 대목인데요, 습관도 어지간해서는 바꾸기 힘들다고 알고 있습니다. 물론 하드웨어 설치가 별도로 필요 없다는 점은 이해가 갑니다만.
습관을 바꾸기는 힘들죠. 분명 사람의 동작에는 머리가 아니라 근육이 기억하는 부분이 존재합니다. 하지만 이게 평생 개조가 불가능하냐 하면 그건 아니라는 겁니다. 실제로 저희 솔루션 사용자들 중 보안에 특히 민감한 분들은 네 글자를 종종 바꿉니다. 바꿀 때마다 다른 ‘쓰기 방식’을 적용하고, 스스로의 팔을 길들여나가기도 하세요.

반복해서 쓰면 쓸수록 강력해지는 인증 방식이라는 건 사용자 역시 그 시간 동안 몸으로 제스처 하나 더 익힐 수 있다는 말이 되기도 합니다. 그리고 이런 노력과 자세는 바이오메트릭스 기술이 보편화되면 될수록 중요한 가치를 가지게 될 거라고 저는 개인적으로 보고 있습니다.

현재 대세인 지문과 안면, 홍채 등의 정보가 다 어디로 간다고 생각하시나요? 구글과 페이스북 어딘가에 전 세계 사용자의 이런 바이오 정보가 담겨 있습니다. 물론 구글이 그 정보를 어디론가 팔아넘기거나 하진 않겠죠. 그렇지만 당신을 식별할 수 있는, 당신의 몸에 관한, 고칠 수도 없는 고유한 정보가 외국 어느 땅에 저장되어 있다는 것 자체가 매우 께름칙한 것 아닌가요?

그리고 미래에 그런 정보를 가진 자들이 어떤 일을 벌일지도 알 수 없는 부분이죠. 그들이 아니더라도 어느 해커가 구글을 능가해 그 데이터베이스에 접근 성공할지도 모르는 것이고요. 그런 일이 벌어지고 ‘바이오메트릭 랜섬웨어’ 시대가 온다면, 어떻게 하겠습니까? 개인 사용자로서도 전 아직 지문이나 안면 정보를 다른 기업에 저장해놓기가 두렵습니다. 사실 그런 마음이 있으니까 행동 패턴과 관련된 바이오메트릭스를 개발했겠지요.

스스로 개발자 출신이십니까? 아니면 소위 말하는 스카이넷의 출현을 두려워하는 프라이버시 액티비스트? 아니면 그냥 평범한 CEO이신가요?
개발자는 아니고요, 액티비스트는 더더욱 아닙니다. 솔직히 구글에 대해 무섭다는 식으로 말하긴 했지만 구글이 저희 회사 솔루션을 사들인다고 한다면 아마 팔 것도 같습니다. 이렇게 말하면 제가 좀 웃겨 보이긴 할 텐데, 바이오 정보를 그들이 그렇게 대규모로 저장하고 있다는 것 자체가 두려운 건 사실입니다.

그래서 구글을 통해 행동 패턴 바이오메트릭 기술을 더 보편화시키고 싶다는 측면에서 팔 것도 같다고 말한 것입니다. 저희 회사 솔루션이라서가 아니라 진심으로 이게 더 나은 바이오메트릭 솔루션이라고 믿고 있거든요.
[글 시큐리티월드 문가용 기자(globoan@boannews.com)]

[월간 시큐리티월드 2016년 11월호 통권 238호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>