삼성전자의 갤럭시노트7의 폭발사고가 연이어 알려지면서, ‘먹구름’이 끼고 있다. 정부(산업통산자원부)는 이를 ‘중대한결함’에 해당한다고 보고, 삼성전자에 폭발 사고 현황을 보고토록 통보했고, 리콜 등 후속 조치 여부를 논의키로 했다.
삼성전자는 48시간 이내에 폭파사고에 대한 보고서를 제출하지 않으면 3000만원 이하의 과태료에 처해지게 된다.
<>차세대 인증수단 ‘홍채인식’, 어떻게
하지만, 갤럭시노트7은 스마트폰을 통해 ‘홍채인식’을 차세대 인증 수단으로서의 생체인식을 알리는데 어느 정도 기여를 한 것으로 평가되고 있다. 경쟁사인 애플도 내년에 아이폰에 홍채인식 기술을 탑재할 것으로 예측되는 상황.
금융기관들도 앞다퉈 홍채인증에 관한 본인인증 도입을 앞다투고 있다. 지난 19일부터 신한은행, 우리은행, KEB하나은행은 모바일뱅킹 서비스에 홍채 인증을 도입했고, 우리은행, KEB하나은행은 모바일 뱅킹에서 삼성패스를 통한 홍채 인증으로 로그인, 계좌 조회나 이체 거래를 할 수 있게 했다.
생체인식은 말 그대로 지문, 홍체, 얼굴(안면인식) 등 개인 생체 정보를 활용한 보안기술을 의미한다. 이 중 홍채인식은 사람의 눈에서 중앙의 검은 동공과 흰자위 사이에 존재하는 도넛모양의 유기체 조직인 홍채를 이용해 사용자를 인증하는 기술이다. 사람의 홍채는 쌍둥이 조차 다르다고 한다. 또한 사람의 홍채는 복제가 거의 불가능하다고 알려져 있다.
홍채인식은 인식기에 사람 눈을 맞추면 적외선 카메라가 사용자의 홍채를 이미지화 하는데, 이를 개인고유의 홍채코드를 생성하고 등록한 후 비교하는 방식으로 이뤄진다.
통계학적으로는 DNA 분석보다 정확도가 높다고 알려져 있다. 기술력이 확보되면 콘택트렌즈나 안경을 착용하더라도 인식이 가능하기 때문에 활용범위가 넓은 것이 특징이다. 하지만, 홍채인식기는 가격이 비싸고, 직관적이지 않은 사용자 경험, 눈에 기기를 갖다 대야 하는 불편함은 단점으로 손꼽힌다.
<>홍채 인식 말고 또다른 생체인식은
홍채인식보다 일찍부터 널리 사용돼 왔던 것은 지문인식이다. 지문인식은 고대바빌론 시대부터 신분증명에 사용됐으며, 현대적 의미의 기술이 도입된 것은 1684년으로 거슬러 올라간다. 영국 왕립협회의 N.Gruw가 지문이 사람마다 다르다는 사실을 발견하면서부터 시작됐다.
지문인식은 지문융기의 분기점, 끝점 등으로 구성되는 특징점의 위치와 속성을 추출, 저장, 비교하는 알고리즘을 통해 이뤄진다. 범죄수사 뿐만 아니라, 실제 체이스맨해튼, 시티뱅크 등 대규모 금융기관의 ATM기기 등에서도 이용되고 있다. 다만, 땀이나 물기가 스캐너에 묻으면, 에러발생률이 높고, 지문이 닳아 없어지는 경우에는 사용할 수 없는 한계가 있다.
이밖에도 사람마다 고유한 혈관형태를 가지는 특성에 기초해 적용되는 정맥인식이 있는데, 정맥인식 장치는 근적외선이 헤모글로빈에 흡수되는 성질을 이용해 정맥 패턴을 추출해 내는데, 3센티미터 이상의 높이에서 근적외선을 방출해 피부에 대한 혈관의 밝기를 대비를 최대화 해 입력된 디지털영상으로부터 정맥분포 정보를 추출한다.
신체의 훼손 등을 통한 복제가 불가능하고, 지문이나 손각락이 없는 사람도 이용할 수 있다는 것이 장점이지만, 하드웨어 구성이 복잡하고 소형화가 불가능해 비용이 지나치게 비싸다는 단점이 있다.
얼굴인식은 얼굴 혈관에서 발생하는 열을 적외선 카메라로 촬영해 디지털정보로 변환한다. 얼굴에 외과적 손상이 있더라도 변치 않는다는 점과 비접촉 방식으로 위생적이라는 점은 좋지만, 사용자의 기분에 따라 표정이 변할 수 있고, 조명에도 민감해서 변장 및 노화에 따른 얼굴 변화에 취약하다.
<>떠오르는 생체인증, 믿고 사용해도 될까
생체인증 기술은 간편결제뿐만 아니라, 비대면 금융거래를 위한 핀테크 전 분야로 확산되고 적용될 것으로 보인다. 한국과학기술정보연구원은 생체인식시장 규모는 2012년 62억 300만달러 규모였으나, 올해에는 117억 1800만달러 규모로 성장할 것으로 추정했다.
하지만, 아직 성숙기가 아니라 보안성에 대한 의구심이 짙다. 한국인터넷진흥원은 '2016 인터넷 및 정보보호 10대 이슈 전망'에서 국내에서는 공인인증서 의무사용 폐지, 인터넷은행 허가 등 생체인증 기술 확산의 정책적 기반이 계속 마련되면서 생체인증 기반 서비스들이 다수 등장할 것으로 전망했다.
하지만, 개인 생체 정보를 활용한 기기, 서비스의 보급이 확대되면서 시장에 혼란이 야기 될 것으로 전망되고, 프라이버시 침해 방지를 위한 표준화 및 제도적 보완이 필요할 것으로 내다봤다.
지난 25일 한국은행은 보관할 필요가 없고, 이용이 편리한 바이오인증 기술이 부각되고 있는 상황에서, 사이버 침해사고, 전자금융 사기 등의 지속적 증가로 인한 기존의 2-Factor인증체계의 한계가 보이고 있어, 선진국에서 생체인식이 대안으로 떠오르고 있다고 밝히며, ‘바이오인증기술 최신 동향 및 정책과제’ 보고서를 발표하기도 했다.
이 보고서에서 한국은행은 생체정보를 해킹 등의 공격으로부터 보호하기 위한 저장, 접근 및 전송 등과 관련한 보안문제가 매우 중요하다며 생체 정보의 암호화를 비롯한 다양한 보안수단 적용이 필요하다고 밝혔다.
또한 생체정보는 매번 변경되는 것이 아니라, 고정된 정보를 매 거래 시 마다 전송하므로 해커가 정상적인 메시지를 도청해 복사한 후, 나중에 재전송하여 정당한 사용자로 가장하는 ‘재전송공격’에 취약할 수 있다고 설명했다.
때문에 온라인 금융거래를 할 때에는 생체정보를 독립적으로 사용하기 보다는 매번 변경되는 정보와 결합해 사용해야 높은 보안성을 유지할 수 있다고 조언했다.
그래서 2015년 6월 개정된 EU의 지급서비스지침(PSD2) 제97조를 보면, 지급서비스 제공자가 온라인 인증기술을 제공할 때 수취인, 금액 등 거래와 연동된 인증정보를 이용하도록 하고 있는데, 이 경우 바이오인증기술과 거래정보가 결합된 인증정보 체계가 필요하다는 것이다.
한국은행은 개인정보 유출로 인한 프라이버시 문제도 있다고 지적했다. 생체정보가 금융기관 등 고객 소유기기 이외의 장소에 보관 될 경우, 정보 유출의 위험성이 높고, 유출된 정보는 영구적으로 악용될 가능성이 있기 때문이다.
최근 FIDO (Fast IDentity Online) 표준방식이 주목을 받는 것은 고객 생체정보의 전송 없이 개인기기내에서 인증이 이루어지고 금융기관 등은 인증 결과값만을 수취하는 방식에 기인하고 있기 때문이다. 스마트폰에서도 지문, 영상(안면인식 등), 음성 등 다양한 생체정보 기술을 개인기기 내에서 처리할 수 있는 환경이 조성되어 FIDO기반 서비스가 가능하다.
그러나, 보고서에는 “해킹기술의 발전으로 악성코드가 스마트폰 내 생체정보에 접근할 경우 문제가 된다”며 “스마트폰의 특성상 고성능 생체인식 센서 부착이 어려워 위조된 생체모형 및 오류에 취약할 가능성이 있다”고 밝혔다.
