[토요워치-4차혁명 마스터키 身用카드] '나만의 암호'지만···유출땐 대체 못해

獨 CCC, 지문·홍채인증 해킹 성공

음성도 녹음 통해 손쉽게 도용 가능

잦은 인식 오류에 운영비용도 비싸

"끊임없는 기술 고도화 노력 병행을"

지난 2014년 독일 해킹그룹 카오스컴퓨터클럽(CCC)은 우르줄라 폰데어라이엔 독일 국방장관의 위조 지문을 통해 아이폰5의 지문인식 잠금장치를 해제하는 동영상을 공개했다. CCC가 국방장관의 위조 지문을 얻는 데 필요했던 것은 3m 거리에서 디지털카메라로 찍은 본인 사진 한 장뿐이었다. 이들은 자신들이 찍은 사진을 확대해 장관의 지문을 확보한 뒤 이를 활용해 잠금장치를 풀었다고 주장했다. CCC는 지난해 이용자의 사진 속 눈동자 위에 콘택트렌즈를 올려 삼성전자의 최신형 스마트폰 갤럭시S8에 탑재된 홍채인증 잠금장치를 해제하는 동영상을 공개해 눈길을 끌기도 했다.

생체인증은 개인의 특성에 따른 것이기 때문에 별도의 암기나 보관이 필요 없다. 기술 발달로 비대면으로 다양한 서비스를 이용하게 되고 자연스레 인증의 횟수도 많아지면서 인증 편의성에 대한 요구가 커지는 상황에서 가장 간편한 인증수단인 생체인증의 확산은 시간 문제라는 장밋빛 전망도 나온다.

하지만 풀어야 할 숙제도 남아 있다. 가장 큰 문제는 역시 보안이다. 생체인증에 사용되는 정보는 신체정보와 행동정보로 나뉜다. 신체정보에는 지문과 홍채, 얼굴 인식, 행동정보에는 서명과 음성인식 등이 있다. 하지만 현재 기술로는 이 중 어느 하나도 보안 문제로부터 자유롭지 않다.

가장 기본적인 생체인증인 지문은 인증에 사용되는 입력장치에 개인의 지문 패턴을 등록한 뒤 사용한다. 하지만 이 경우 단순히 지문의 패턴을 확보하는 것만으로 이 지문을 사용한 이용자와 같은 사람인 척하며 보안을 뚫고 들어갈 수 있다. 홍채와 얼굴인식 등의 다른 신체정보도 마찬가지다.

음성의 경우 원격 활용이 가능하다는 것이 다른 생체인증 수단에 비해 장점으로 꼽히지만 녹음을 통해 손쉽게 본인 행세를 할 수 있다는 점이 불안요소다.

여기에 유출이 돼도 재설정이 가능한 비밀번호나 새로 발급하는 방식으로 복구가 가능한 공인인증서와 달리 생체인증에 사용된 정보는 한 번 유출되면 유출된 생체정보를 다시 생체인증에 활용하기가 어렵다.

보안업계에서는 정부의 공인인증서 의무 사용 방침이 생체인증 기술 발전을 막았다고 비판하지만 보안이 완벽하지 않다는 점 역시 생체인증의 확산을 막아온 이유다.

실제로 한국은행은 지난 2016년 8월 내놓은 ‘바이오인증기술 최신 동향 및 정책 과제’라는 제목의 보고서를 통해 “생체정보는 한 번 유출되면 재발급이 매우 제한되고 유출된 정보는 영구적으로 악용될 가능성이 있어 생체인증 기술이 1990년대부터 적용됐음에도 산업적으로 주목받지 못했다”고 지적했다.

인식 정확도도 높일 필요가 있다. 정확히 입력할 경우 인식 과정에서는 전혀 문제가 발생하지 않는 비밀번호나 일회용비밀번호(OTP), 공인인증서 등의 수단에 비해 생체인증의 오류율은 여전히 높은 수준이다. 인식 정확도는 다른 사람을 이용자로 잘못 인식하는 타인수락률과 이용자를 다른 사람으로 잘못 인식하는 본인거부율로 나뉜다. 금감원에 따르면 가장 인식 정확도가 낮은 얼굴의 경우 타인수락률은 1.3%, 본인거부율은 2.6%에 이른다. 100번에 1번꼴로 다른 사람의 얼굴도 본인의 얼굴로 인식한다는 얘기다. 생체인증은 사용을 검토하는 분야가 단 한 번의 인식 오류로도 엄청난 피해를 일으킬 수 있는 금융이라는 점에서 문제가 더 심각하다.

비싼 운영 비용도 문제다. 생체인증에 필요한 단말기는 개당 수백만원에 달한다. 특히 높은 인식정확도가 요구되는 금융권의 생체인증 솔루션의 경우 인식 정확도가 높은 바이오센서를 탑재한 기기를 갖추기 위해서는 비용도 많이 든다. 많은 사람을 대상으로 인증 시스템을 구축해야 하는 금융사 입장에서는 생체인증이 기존 인증수단인 공인인증서와 비교해 비용경쟁력이 크게 떨어진다는 비판도 나온다.

이 밖에 일부 방식의 경우 사용이 불편하다는 점과 생체인증 과정에서 이용자의 신체에 부정적 영향을 미칠 수 있다는 우려도 있다. 박수용 서강대 컴퓨터공학부 교수는 “영화 속 모습처럼 인증을 위해 얼굴이나 홍채까지 활용하는 게 신기하기는 하지만 과연 이런 방법이 이전 방법보다 쉽고 편리할지는 의문”이라며 “홍채 인식의 경우 홍채에 빛을 쏘는 과정이 이용자에게 안 좋은 영향을 미칠 수도 있다는 보고서도 있다”고 설명했다.

전문가들은 이러한 단점들로 인해 생체인증을 바로 실제 현장에 적용하기보다 적용 영역에 대한 공론화 과정과 끊임없는 기술 고도화 노력이 병행돼야 한다고 입을 모은다.

김승주 고려대 정보보호대학원 교수는 “지금으로서는 기능 면에 신원인증만 가능한 생체인증이 문서 위변조 방지 기능까지 가진 공인인증서를 완벽하게 대체하기는 힘들다”며 “생체인증을 활용할 영역과 인식 정확도를 높이기 위한 연구를 꾸준히 해나가야 한다”고 강조했다. /양사록기자 sarok@sedaily.com

[ⓒ 서울경제, 무단 전재 및 재배포 금지]