생체 정보는 많은 개인 및 기업 보안 시스템의 첨단 계층으로 부상하고 있습니다. 생체와 행동의 고유한 식별자이므로 속임수가 불가능한 것처럼 보일 수 있습니다. 그러나 생체 정보 신원으로 인해 많은 이들이 생체 정보를 단독 인증으로 사용하는 데 조심스러운 태도를 취해왔습니다.
최신 사이버 보안은 이 강력한 보안 솔루션의 위험을 줄이는 데 초점을 맞추고 있습니다. 기존 비밀번호는 오랫동안 보안 시스템의 약점이었습니다. 생체 정보는 신원 증명을 신체와 행동 패턴에 연결하여 이러한 문제에 답하는 것을 목표로 합니다.
이 문서에서는 사이버 보안에서 생체 정보를 사용하는 방식과 관련해 기본적인 내용을 알아봅니다. 상세한 설명을 위해 다음과 같은 생체 정보에 관한 몇 가지 일반적인 질문에 먼저 답을 해 볼 것입니다.
- 생체 정보의 의미는 무엇인가요?
- 생체 정보란 무엇입니까?
- 생체 정보 스캐너란 무엇인가요?
- 생체 정보 보안의 위험은 무엇인가요?
- 생체 정보를 더 안전하게 만들려면 어떻게 해야 하나요?
먼저, 기본적인 사항부터 살펴보겠습니다.
생체 정보란 무엇인가요?
생체 정보를 빠르게 정의해 보면 이렇습니다. 생체 정보란 개인을 식별하는 데 사용할 수 있는 생물학적 측정치 또는 신체적 특징입니다. 예를 들어, 지문 매핑, 안면 인식, 홍채 스캔은 모두 생체 정보 기술의 형태이지만, 이는 가장 잘 알려진 옵션에 불과합니다.
연구자들은 귀의 형태, 사람이 앉고 걷는 방식, 독특한 체취, 손의 혈관, 심지어 안면 윤곽까지도 고유한 식별자가 될 수 있다고 주장합니다. 이러한 특징은 생체 정보를 더 자세히 정의합니다.
생체 정보 보안의 세 가지 유형
다른 용도도 있을 수 있지만 생체 정보는 보통 보안에 사용되며, 생체 정보는 크게 세 가지 그룹으로 라벨링할 수 있습니다.
- 생물학적 생체 정보
- 형태학적 생체 정보
- 행동학적 생체 정보
생물학적 생체 정보는 유전자 및 분자 수준의 특징을 사용합니다. 여기에는 DNA 또는 혈액과 같은 특징이 포함될 수 있으며, 체액 샘플을 통해 측정할 수 있습니다.
형태학적 생체 정보는 신체의 구조와 관련이 있습니다. 눈, 지문, 얼굴의 형태와 같이 더 많은 신체적인 특징을 보안 스캐너에서 사용하도록 매핑할 수 있습니다.
행동학적 생체 정보는 사람마다 고유한 패턴을 기반으로 합니다. 걷거나 말하는 방식, 심지어 키보드를 입력하는 방식도 추적된다면 신원을 식별하는 요소가 될 수 있습니다.
생체 정보 보안의 활용
일상적인 보안에서 생체 정보 식별이 담당하는 역할이 점점 커지고 있습니다. 신체적인 특징은 비교적 고정되어 있고 심지어 쌍둥이라도 개인마다 다릅니다. 각자의 고유한 생체 정보 신원은 컴퓨터, 휴대전화 및 액세스가 제한된 방 및 건물의 비밀번호 시스템을 대체하거나 최소한 강화하는 데 사용될 수 있습니다.
생체 정보 데이터를 획득해 매핑하고 나면 향후 액세스 시도 시에 맞춰 볼 수 있도록 저장합니다. 대부분의 경우 이러한 데이터는 암호화되어 장치나 원격 서버에 저장됩니다.
생체 정보 스캐너는 신원 확인을 위해 생체 정보를 캡처하는 데 사용되는 하드웨어입니다. 이러한 검사는 저장된 데이터베이스와 대조하여 시스템에 대한 액세스를 승인하거나 거부합니다.
다시 말해, 생체 정보 보안은 사람의 몸이 액세스를 잠금 해제하는 '열쇠'가 되는 것이라 할 수 있습니다.
생체 정보에는 다음과 같은 두 가지 주된 장점 때문에 주로 사용됩니다.
- 사용 편의성: 생체 정보는 사용자가 항상 가지고 있으며, 분실하거나 잊을 염려가 없습니다.
- 훔치거나 사칭하기 어려움: 생체 정보는 비밀번호나 키처럼 훔칠 수가 없습니다.
이러한 시스템이 완벽하지 않은 상황에서 생체 정보는 보안의 미래에 수많은 가능성을 제공해 줍니다.
생체 정보 보안의 예
다음은 생체 정보 보안의 일반적인 예입니다.
- 음성 인식
- 지문 스캔
- 얼굴 인식
- 홍채 인식
- 심박 센서
실제로 생체 정보 보안은 이미 다양한 산업에서 효과적으로 사용되고 있습니다.
고급 생체 정보는 민감한 문서와 귀중품을 보호하는 데 사용됩니다. Citibank는 이미 음성 인식을 사용하고 있고, 영국 은행인 Halifax는 고객 신원을 확인하기 위해 심박을 모니터링하는 장비를 테스트하고 있습니다. 심지어 Ford는 차량에 생체 정보 센서를 장착하는 안을 고려하고 있습니다.
전 세계적으로 생체 정보는 전자 여권에도 통합되고 있습니다. 미국의 여권에는 개인의 얼굴, 지문 또는 홍채의 디지털 사진이 포함된 칩과 권한 없는 데이터 리더가 이 칩을 읽어서 데이터를 빼가지 못하도록 막는 기술이 적용되어 있습니다.
이러한 보안 시스템이 출시되면서 우리는 장단점이 발휘되는 모습을 실시간으로 지켜보고 있습니다.
생체 정보 스캐너는 안전한가요? - 개선사항 및 우려사항
생체 정보 스캐너는 점점 정교해지고 있습니다. 이제는 휴대전화 보안 시스템에서도 생체 정보를 찾을 수 있습니다. 일례로, Apple의 iPhone X에 적용된 얼굴 인식 기술은 사용자의 얼굴에 30,000개의 적외선 점을 투사하여 패턴 매칭으로 사용자를 인증합니다. Apple에 따르면 iPhone X 생체 정보로 신원을 잘못 확인할 가능성은 1백만 분의 1이라고 합니다.
LG V30 스마트폰은 얼굴 인식 및 음성 인식을 지문 스캔과 결합했으며, 이 데이터를 휴대전화에만 유지해 보안을 더욱 강화했습니다. 센서 제조업체인 CrucialTec은 2단계 인증을 위해 심박 센서를 지문 스캐너와 연결했습니다. 이는 복제된 지문으로 시스템에 액세스하지 못하게 하는 데 도움이 됩니다.
얼굴 인식 시스템을 비롯한 생체 정보 스캐너를 속일 수 있다는 점이 문제입니다. 노스캐롤라이나 대학 - 채플 힐의 연구진은 소셜 미디어에서 지원자 20명의 사진을 다운로드하여 이들의 얼굴을 3D 모델로 구성했습니다. 이 연구진은 테스트한 다섯 개 보안 시스템 중 네 개를 뚫는 데 성공했습니다.
지문 복제의 예는 어디에나 있습니다. Black Hat 사이버 보안 컨퍼런스에서 있었던 시연에서는 몰딩 플라스틱이나 캔들 왁스에 지문을 찍기만 하면 10달러 상당의 재료로 약 40분만에 안정적으로 지문을 복제할 수 있음이 입증되었습니다.
독일의 Chaos Computer Club은 출시 이틀만에 iPhone의 TouchID 지문 리더를 스푸핑했습니다. 이 그룹은 유리 표면에 찍은 지문으로 iPhone 5s를 잠금해제했습니다.
생체 정보 - 신원 및 개인 정보 보호 우려사항
생체 정보 인증은 편리하지만 개인 정보 보호를 중시하는 사람들은 생체 정보 보안이 개인의 프라이버시를 침해할 것이라 우려합니다. 개인 정보를 손쉽게 동의 없이 수집할 수 있다는 점을 우려하는 것입니다.
중국의 도시에서는 얼굴 인식이 일상적인 구매에 사용되는 생활의 일부이며, 런던은 곳곳에 CCTV 카메라가 있는 것으로 유명합니다. 이제 뉴욕, 시카고, 모스크바에서도 지역 경찰이 범죄를 퇴치하는 데 도움이 되도록 CCTV 카메라를 얼굴 인식 데이터베이스에 연결하고 있습니다. 카네기 멜론 대학에서는 기술을 한층 더 발전시켜 10미터 거리에서도 군중 속에서 사람들의 홍채를 스캔할 수 있는 카메라를 개발하고 있습니다.
2018년에는 얼굴 인식이 두바이 공항에 도입되었는데, 여행객들이 가상 아쿠아리움 터널을 지나면 80개의 카메라가 사진을 찍습니다.
얼굴 인식 카메라는 헬싱키, 암스테르담, 미니애폴리스-세인트폴, 템파 등 전 세계의 다른 공항에서도 사용되고 있습니다. 이 모든 데이터는 어딘가에 저장되어야 하므로 지속적인 감시와 데이터 남용의 공포에 불을 붙이고 있습니다…
생체 정보 데이터 보안 관련 우려사항
보다 시급한 문제는 개인 정보의 데이터베이스가 해커의 표적이 된다는 점입니다. 일례로 미국 연방 인사관리처가 2015년 해킹 당했을 때 당시 사이버 범죄자가 560만 명에 달하는 정부 직원의 지문을 가지고 가면서 이들이 신원 도용에 취약해지는 일이 있었습니다.
iPhone의 TouchID나 Face ID처럼 생체 정보 데이터를 장치에 저장하는 것은 데이터가 암호화되더라도 서비스 제공업체를 통해 저장하는 것보다 안전한 것으로 여겨집니다.
이러한 위험은 비밀번호 데이터베이스의 위험과 비슷하며, 이 경우에도 해커는 시스템을 침해하여 효과적으로 보호되지 않는 데이터를 훔쳐갈 수 있습니다. 그러나 결과는 상당히 다릅니다. 비밀번호가 유출되면 변경할 수 있습니다. 반면 생체 정보 데이터는 영원히 그대로 남습니다.
생체 정보 신원을 보호하는 방법
개인 정보 보호와 안전에 대한 위험이 있기 때문에 생체 정보 시스템에 보호 기능을 반드시 사용해야 합니다.
시스템에서 여러 인증 수단을 요구하고 암호화된 도메인 내의 사용자와 인코딩된 샘플을 일치시켜야 하면 무단 액세스가 더 어려워집니다.
해커를 좌절시키기 위해 일부 보안 시스템에서는 연령, 성별, 키와 같은 추가적인 특징을 생체 정보 데이터에 포함시키기도 합니다.
인도의 UIDAI(Unique ID Authority of India Aadhaar) 프로그램이 좋은 예입니다. 2009년에 시작된 이 다단계 인증 프로그램은 홍채 스캔, 열 손가락 지문, 얼굴 인식을 통합합니다.
이 정보는 인도의 12억 인구에게 발급된 고유한 신분증에 연결됩니다. 머지 않아 이 카드는 인도에서 사회 서비스를 이용하는 모든 사람에게 의무화될 예정입니다.
생체 정보는 2단계 인증 전략의 일환으로 사용자 이름을 대체하는 좋은 수단입니다. 생체 정보는 다음을 통합합니다.
- 나인 것(생체 정보)
- 내가 가진 것(예: 하드웨어 토큰) 또는 내가 아는 것(예: 비밀번호)
2단계 인증은 특히 IoT 장치가 확산되면서 강력한 조합을 만들어냅니다. 보호 기능을 겹겹이 쌓으면, 보안된 인터넷 장치는 데이터 침해에 덜 취약해 집니다.
또한 비밀번호 관리자에 기존 비밀번호를 저장하면 한층 더 안전하게 보호 받을 수 있습니다.
생체 정보에 대한 요약
요약하면 생체 정보는 사이버 보안 시스템을 위해 신원을 인증하는 방식으로 여전히 성장하고 있습니다.
신체적 또는 행동적 시그니처를 다른 인증과 결합한 보호 기능은 알려진 것 중 가장 강력한 보안을 제공합니다. 현재는 최소한 문자 기반 비밀번호를 단독 인증으로 사용하는 것보다는 더 낫습니다.
생체 정보 기술은 보안에도 매우 매력적인 솔루션을 제공합니다. 그 위험에도 불구하고 이 시스템은 편리하며 복제하기가 어렵습니다. 또한 이 시스템은 향후에도 오랫동안 발전을 지속할 것입니다.