[기고] 생체인증은 보조 인증 수단이다

전문가 칼럼입력 :2019/10/27 20:46

임용훈 지코드이노베이션 대표

사용자의 온라인 계정에 대한 접속 보안을 유지하는 수단이 인증이다. 인증 기술과 제품은 지속적으로 발전되어 왔고, 새로운 서비스와 제품이 공급되어 왔다. 인증 수단을 올바르게 적용하고 활용하려면 먼저 주 인증 수단과 보조 인증 수단을 잘 구별해야 한다.

우리가 제일 처음 인터넷 계정을 만들 때 ID와 비밀번호를 사용하는 것이 일반적이다. 그 다음 OTP를 등록하거나 필요에 따라 SMS 인증을 요구 받기도 한다.

생체인증은 어떤가. 이 역시 마찬가지다. 지문, 홍채 등 다양한 생체 인증 수단이 있지만 FIDO 표준을 준수하는 경우 먼저 비밀번호로 계정을 오픈해야 한다. 그 후에 생체정보를 디바이스에 저장, 사용하게 된다. 그러므로 비밀번호가 주 인증 수단이고, 생체는 보조 편의 수단이라고 할 수 있다.

이러한 구분과 관리가 왜 필요한가? 간단하다. 디바이스를 변경하면 새 디바이스에 생체정보가 없으므로 먼저 비밀번호로 로그인 한 후 생체를 새로 등록해야 한다. 그 뿐아니다. 만약 생체 인식에 문제가 발생하면 이를 대체할 인증 수단이 필수적으로 필요하다. 즉, 비밀번호를 다시 사용해야 한다는 뜻이다. 그렇지 않으면 문제가 발생한 생체인식을 계속 사용하든가 아니면 서비스 이용을 포기해야 한다.

문제는 이 뿐만이 아니다. 비밀번호 인증이 주 인증 수단으로 유지되고 있는 한 불순한 의도를 가진 공격자는 당연히 비밀번호를 공격할 가능성이 높다. 왜냐하면 생체는 디바이스에 저장되어 있으므로 디바이스에 물리적으로 접근하지 못하면 계정을 도용하기 어렵다.

하지만 비밀번호는 원격에서 공격이 용이할 뿐만 아니라 범죄를 숨기기에도 용이하다. 생체인증을 많이 사용하면 주 인증 수단에 대한 해킹 위험이 줄어드는 효과가 있을 수 있다. 그만큼 입력과정에서 노출되는 회수가 줄어들기 때문이다. 그러나 매우 제한적이다. 이미 많은 비밀번호가 해킹되어 다크웹에서 거래되고 있는 것은 이를 잘 말해준다.

불법 거래되는 비밀번호는 사전 대입공격으로 활용된다. 다시말해 사용자가 입력하지 않은지 1년이 넘은 비밀번호도 이미 다크웹에 있다면 공격자는 이를 이용해 로그인에 성공할 수 있다는 뜻이다. 결국 생체인증을 사용하더라도 보안성이 높아지는 가에 대해 의문을 제기할 수 밖에 없다.

최근 삼성 갤럭시 스마트폰 일부 기기에서 지문 인식 오류가 발견되었다. 오류를 일으키는 상황을 볼 때 매우 당혹스럽다. 실리콘 패드 무늬가 지문처럼 인식되어 일어난 오류라는 것이다. 대부분 거의 비슷한 무늬이거나 사람 지문과는 거의닮지 않을 것으로 추정되는 무늬를 지문으로, 그것도 특정된 올바른 지문으로 프로그램을 판정한다는 것이 잘 이해가 안된다. 지문 검증 메커니즘이 매우 낮은 수준의 검증을 하고 있는 것 아닌가 하는 생각을 갖게 한다. 비교 정확도를 크게 높이는 방식으로 프로그램을 수정할 수 있지만 대신 인식 오류가 높아 질 수 있고 사용자는 불편을 겪는다.

또 다른 해결 방안이 해당 실리콘 패드의 무늬를 분석해 지문을 판별하듯 실리콘 패드를 판별해내는 방법이다. 그리고 일치 확률이 높으면 승인을 거절하는 것이다. 임시방편으로 매우 효과적일 수 있다. 하지만 공격자들은 실리콘에 실제 사람 지문과 유사한 변형된 것들을 새겨 넣는 방법을 찾아 낼지 모른다. 그리고 그 방법을 세상에 퍼뜨릴 것이다. 그래서 이것은 임시 방편일 뿐 근본적인 해결책이 될 수없다.

지난 19일 중국 일부 은행이 지문 인식 오류가 발생한 해당 디바이스에 대해 지문 인증 로그인을 차단하는 조치를 취했다고 한다.우리나라 금융기관들은 아직 관망하며 해결책이 배포되기를 기다리고 있는 것 같다.

금융결제원에서 제공하는 바이오 공인인증서가 지문을 사용하는 것으로 아는데, 단순 로그인이 아니라 공인인증서 전자서명이라는 뜻이다. 좀더 사태를 중하게 다뤘으면 한다. 앞에서 살펴보았듯이 생체인증은 주 인증 비밀번호를 대신해 보조적 편의수단으로 사용하는 것이다. 게다가 생체인증 과정에서 디바이스의 센서 또는 관련 프로그램에 문제가 발생하면 쉽게 해결되지 않는다. 그러므로 낮은 수준의 보안성을 제공하는 비밀번호는 언제라도 재사용 할 수 있어야 한다. 보안성과 편의성은 생체인증의 광범위한 확산에도 불구, 두마리 토끼를 다 잡기가 실질적으로 쉽지 않다.

관련기사

결론적으로 사이버 환경의 안전과 사용자 편의성을 강화하려면 보조 수단에 의존하는 정책을 탈피해야 한다. 대신 주 인증 수단에 대한 개발과 새로운 신기술을 더욱 적극적으로 도입해야 한다. 이미 다양한 인증 신기술들이 개발되었다.

우리가 개발한 '패스콘' 간편 전자서명 인증 솔루션도 그 중 하나다. 로그인과 전자서명의 편리성과 보안을 높였다. 사용자 경험을 개선, 키보드를 사용하지 않는다. 동시에 보안성도 높였다. 편리성과 보안이라는 두마리 토끼를 잡은 것이다. 기존 비밀번호를 주 인증 수단으로 적용하고 있는 곳에 '패스콘'은 좋은 대체재가 될 수 있다.

임용훈 지코드이노베이션 대표

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.