1. 개요

영화 “A Space Odyssey(1968)”에서 극중 한 배우는 음성인증을 활용하여 우주선에 탑승하고 “007 Diamond Forever(1971)”에서는 지문을 이용하여 방문객을 인증한다. 당시만 해도 생체인증은 막연히 영화에서만 존재하는 허구의 인증 매체라고 생각했을 것이다. 하지만 생체인증이라는 극히 생소한 단어가 우리 귀에 익숙해지고 일상 생활 속에 자연스럽게 스며들어 우리의 보안인증을 책임지는 시대가 실제로 도래했다. 

비밀번호를 외우거나 보안카드를 지니고 다닐 필요 없이 신체의 일부를 이용하여 편리하고 빠른 인증을 한다는 강점을 바탕으로 생체인식 기술은 지속적인 발전을 보이고 있다. 또한 이러한 생체인식기술을 활용하여 각종 ICT에 접목시키는 다양한 시도가 추진되고 있는 등 적용 분야가 확산되고 있다. 하지만 발전속도와 확산 속도를 뒷받침할 수 있는 안전성이 구축되어 있을까라는 의문이 든다. 이미 생체인식 기술이 깊숙이 자리 잡은 우리 생활 속에 어떠한 보안문제가 존재하며, 생체인식 기술이 도달할 수 있는 한계점과 가능성에 대해 살펴 보고자 한다.

2. 생체인식 기술이란?

생체인식은 개인의 신원을 확인할 수 있도록 사람의 신체적, 행동적 특성을 분석하는 기술이다. 생체인식 기술은 신체적 특징을 이용한 방법과 행동적 특징을 이용한 방법으로 구분된다.

신체적 인식은 개인의 신체적 특성을 기반으로 한 생체인식이다. 예를 들어 지문, 손의 기하학적 구조(크기와 위치), 정맥 패턴, 눈(홍채 및 망막), 얼굴 및 DNA 매칭 등이 있다.

행동적 특징을 이용한 인식은 개인이 행동하고 있는 패턴 기반으로 한다. 대표적으로 보행, 키스트로크(keystroke), 필적 인식 등이 있다.

고려해야 할 점은, 위 특징 별 여러 종류의 측정 방법이 모두 동일한 수준의 신뢰성을 갖는 것은 아니다. 신체적 인식은 대개 개인의 일생 동안 행동적 특징보다 안정적으로 유지되는 이점이 있다. 행동적 측정에 의한 인식과 달리 스트레스에 의한 영향을 받지 않기 때문이다. 

[그림 1] 생체인식 특징. 출처: Gemalto

이러한 생체인식기술은 차세대 보안인증기술로 각광받고 있으며 급속도로 성장하고 있다. 미국의 정보기술 연구 및 자문 회사인 가트너(Gartner Inc.)는 생체인식 시장이 2022년까지 327억 달러의 가치가 있을 것으로 예상하고 있다.

소비자의 생체인식 수용에 대한 설문을 통해 우리의 일상 속에 생체인식이 얼마나 긍정적인 영향으로 비춰졌는지 알 수 있다. 베리디움(Veridium Ltd.)의 설문 조사에 따르면 소비자의 52%가 생체인식을 암호 대신 사용하길 원하고 있고, 80%는 암호보다 안전한 것 같다고 답했다. 또한 사용자의 40%는 이미 지문인식을 사용하고 있다고 했다.

3. 생체인식 기술의 적용분야

생체인식기술은 노트북, 모바일 장치에서 부터 개인업체, 정부기관, 다국적 조직은 물론 국가 ID카드에 유권자 등록을 하는 생체인식에 이르기까지 삶의 모든 면에서 보편화되고 진화하고 있다. 다음은 오늘날 우리 사회에서 생체인식기술이 가장 많이 사용되고 있는 적용 분야이다.

▶ 스마트폰 인증

생체인식 기술의 출현으로 모바일 장치는 이제 지문을 시작으로  음성, 안면인식 기술이 사용자 인증에 쓰이고 있다. 거의 모든 스마트폰 회사가 생체인식 기능을 사용하여 사용자의 보안요구를 충족시키고 있다.

▶ 신원확인, 인구조사 등록 및 유권자 등록

전 세계적으로 보안문제가 대두됨에 따라 생체인식을 통한 국제 신원확인 프로그램에 대한 수요가 지속적으로 증가하고 있다. 대표적인 예로 세계에서 가장 큰 생체인식 시스템을 구축하고 있는 인도의 전자주민등록증 아다하르(Adahaar) 프로젝트가 있다. 

▶ 금융기관

신원도용을 줄이고 길고 지루한 뱅킹프로세스를 줄이기 위해 은행업무가 점점 더 디지털화되고 있다. 은행업무를 위한 생체인식 기술은 고객에게 편리하고 신뢰할 수 있는 해결책이 되고 있다. 시가총액 기준으로 세계 최대 은행인 웰스파고(Wells Fargo)에서 홍채인증 기술을 적용하기 위한 시험을 하고 있다.

▶ 의료기관

병원에서 생체인식 기술을 점증적으로 도입하고 있으며, 특히 환자정보가 잘못 섞이는 것을 방지하기 위해 사용하고 있다. Grand View Research, Inc.에 따르면 생체인식기술을 통해 오류율을 줄이고 보안시스템을 향상시킬 수 있을 것으로 보고 의료 생체인식시장이 2024년 까지 약117억달러에 달할 것으로 예상하고 있다. 

4. 생체인식 과연 정확할까?

전술한 바와 같이, 급속도로 발전하고 다방면으로 활용되고 있는 생체인식기술을 뒷받침할 수 있는 보안환경이 갖춰져 있을까? 

그전에 현재 생체인식의 정확성에 대해 알아보겠다. 생체인식시스템은 통계 알고리즘에 의존하고 있으므로, 단독으로 사용될 경우 100% 신뢰할 수 없다. 그 이유는 오수락률(FAR=False Acceptance Rate)과 오거부율(FRR: False Rejection Rate)에 있다.

▶ “False Rejection" 과 "False Acceptance"

생체인식에서 오거부율(FRR)은 등록된 사용자를 거부할 확률이다. 즉, 생체인식시스템에 등록된 사용자의 접근시도를 식별하지 못하고 잘못 받아드릴 가능성을 측정한 것이다. 오거부율(FRR)은 일반적으로 접근거부 횟수를 접근시도 횟수로 나눈 비율이다. 

생체인식에서 오수락률(FAR)은 등록되지 않은 사용자를 등록자로 잘못 인식하여 수락할 확률이다. 오수락률은 일반적으로 허가 받지 않은 사용자가 문자 그대로 시스템에 접근할 수 있도록 허용함으로 생체인식 오류 중 가장 심각한 것이다.

다음 그림은 일본의 Mnemonic Security사에서 생체인식 두 제품의 정확도를 반영한 FAR(오수락률)과 FRR(오거부율)의 상호작용 그래프이다. 하나의 제품은 비교적 정확도가 높고, 다른 하나는 낮은 제품을 비교 분석하였다. 

[그림 2] 오수락률과 오거부율  /  출처: Mnemonic Security

그래프를 통해 알 수 있는 정보는 다음과 같다.

FAR과 FRR은 서로 독립적이고 반비례한다. FAR이 낮을수록 해당 FRR이 높고, 반대로 FRR이 낮을수록 해당 FAR은 높다. 그런 의미에서 FAR과 FRR은 상호의존적이 아니라 반비례 관계에 있다.

즉, FAR이 높아지면 FRR이 낮아짐에 따라 인가된(등록된) 사용자를 거부하는 상황이 초래되는 것이고, FRR이 높아지면 FAR이 낮아져 인가되지 않은 일반 사용자를 받아드릴 확률이 높아짐을 의미한다. 즉, 보안적인 측면만 고려한다면 FAR을 낮추고 FRR을 높이는 것이 안전하지만 인가된 사용자가 거부되는 상황을 염두에 두어야 한다.

현재 학계나 업계에서는 이러한 확률을 근거로 생체인식기술을 발전시켜 나가고 있으며 균형 있게 FRR와 FAR 비율을 맞추는 것을 권고하고 있지만, 이러한 사항을 준수하지 않아 발생한 피해가 있다.

일례로, Hitoshi Kokumai는 인도의 전자주민등록증(Adaharr-based PDS) 생체인증시스템이 등록된 사용자를 거부하여 발생한 피해 사례는 위의 기준을 준수하지 않았기 때문이라 하고 있다.

5. 생체인증의 보안적 문제

앞서 정확성에 대해 살펴봤다면 이제는 보안적인 측면(security concern)에서 생체인증의 우려사항에 대해 알아보겠다. 

전문가들은 생체인식기술이 본질적으로 안전하다고 말하고 있지만 이에 대한 반론도 끊임없이 제기되고 있다. 조지아 대학 교수 Alvara Bedoya는 생체정보는 본질적으로 신용카드나 비밀번호와 달리 공개되어 있어 쉽게 공격 타깃이 될 수 있다고 한다. 즉 "나는 당신의 귀가 어떻게 생겼는지 알 수 있고, 멀리에서도 고해상도의 사진을 찍을 수 있으며, 또한 음료를 마시고 남은 유리잔에 남아있는 지문을 통해 쉽게 해킹할 수 있다."라고 주장한다.

실제로 독일의 해커 Jan Krissler는 아이폰 화면에서 사용자 지문을 채취한 뒤 애플의 지문인증기술인 Touch ID를 무력화하였다. 또한 그는 기자회견에서 어느 정치가의 엄지손가락을 찍은 고해상도의 사진을 이용하여 공인의 신원을 도용하는 일이 얼마나 쉬운 지를 증명하였다. 최근에는 사용자의 눈을 찍은 사진 위에 콘택트렌즈를 씌워 특정 핸드폰의 홍채인식 보안을 뚫고 접근에 성공한 사례도 있었다.

생체인식은 사용자의 신분을 밝혀낼 수 있는 수단이기 때문에 신용카드나 금융비밀번호보다 훨씬 더 큰 피해를 줄 수 있는 공적 문서, 예를 들어 여권 또는 범죄기록을 위조하는데 사용될 수도 있다. 따라서 이러한 신체정보를 저장하고 있는 데이터베이스의 보안도 우려되는 사항 중 하나이다. 지난 2015년에는 미국의 인사 관리처(Office of Personnel Management)가 APT 공격에 의해 데이터베이스에 저장되어 있던 560만 명의 지문이 유출된 사례가 있었다. 생체정보는 유일무이한 것이기 때문에 암호 또는 신용카드와 달리 재발급이 불가능하므로 정보가 유출되게 되면 막대한 피해를 입을 수 있다.

6. 마무리

지금까지 생체인식 기술의 정확성과 보안적 우려사항에 대해 알아보았다. 생체인식기술은 우리에게 편의성과 효율성을 제공해주고 있고 앞으로도 무궁무진한 발전가능성을 증명하였다. 하지만 앞서 설명했듯이 여러 전문가들의 반론이 지속적으로 야기되는 것은 아직 완벽하지 않음을 반증한다. 따라서 모든 정황을 고려했을 때 훗날 생체인식기술은 강력한 인증수단이 될 수 있고 사용자에게 편리함을 보장하지만 현재로서는 앞서 말한 생체인식의 정확성 문제와 보안적 우려 사항들로 인해 독단적인 인증수단이 되기에는 다소 미흡하다. 현 시점에서 생체인식기술만을 이용하여 다방면의 인증문제를 해결하기 보다는 여러 인증수단과 복합적으로 사용함으로써 안전성을 확보하는 것이 중요할 것으로 보인다. 

현재의 비약적인 보안기술발전과 확산 속도를 보면 희망적 예측이 가능하다. 생체인식기술이 보안인증의 대체 수단으로 계속 사용되면서 폭발적으로 증가하는 적용분야와 함께 성장하고 서로를 보완할 수 있는 단계에 도달할 것이다. 또한 신체인식 기술의 보안문제를 개선하기 위해 블록체인을 이용하여 데이터베이스에 저장된 생체정보의 기밀성을 유지하려는 연구가 늘어나고 있고, 인공지능과 생체인식기술을 융합하여 비정상적인 패턴을 탐지하고 예방하는 Artimetrics(AI + Biometrics 합성어)라는 용어가 생겨나는 등 각종 시도가 끊임없이 이루어지고 있다. 이에 그 가능성 또한 긍정적이다. 따라서 생체인식기술은 머지않아 독단적인 인증수단 뿐만 아니라 전자상거래, 접근통제 등 다양한 분야에서 지속적으로 주목 받게 될 것이다.

7. 참고자료

[1] http://oaji.net/articles/2017/786-1509075793.pdf

[2] https://www.bayometric.com/increasing-importance-of-biometric-security/

[3] https://www.gemalto.com/govt/inspired/biometrics

[4] https://heimdalsecurity.com/blog/biometric-authentication/

[5] https://www.esecurityplanet.com/trends/biometric-authentication-how-it-works.html