[내몸이 비밀번호, 생체인증]③4자리 비밀번호보다 안전할까

by이유미 기자
2017.07.07 04:54:08

[이데일리 이유미 기자] 생체인증 수단은 보안이 강한 것으로 알려져 있지만, 인터넷에 지문을 위조하는 동영상이 등장하는 등 안전성이 이슈가 되기도 한다. 사진을 찍을 때 지문이 보이도록 손가락 브이(V) 포즈를 취하면 안된다는 얘기까지 나온다.

비밀번호는 한 번 유출되고 나면 변경할 수 있지만 지문이나 홍채는 내 몸의 일부여서 평생동안 바꿀 수 없으니 자신의 생체 정보가 유출되는 것에 공포심을 가질수 밖에 없다.

실제로 독일 해커그룹 카오스컴퓨터클럽(CCC)은 독일국방장관을 3미터 거리에서 촬영해 위조지문 제작과정을 동영상으로 촬영해 유튜브에 올린 적이 있다. CCC는 지난 5월 가짜 눈동자를 만들어 갤럭시S8의 홍채인식 보안을 해제하는 모습을 공개하기도 했다.

독일 해커그룹 CCC가 가짜 눈으로 갤럭시S8의 홍채인식 보안을 해제하는 모습. (자료=CCC)

생체인증은 기존에 사용자가 자신의 생체정보를 저장한 것과 센서를 통해 현재 인식하는 생체정보가 일치하는지 여부를 판단하는 방식이다. 이에 따라 생체인증의 보안성은 △저장된 생체정보와 읽어들이는 생체정보가 일치하는지를 판단하는 센서의 정확도와 △기존에 저장된 생체정보가 유출되지 않도록 방지하는 보관 등 두 가지로 나눠 볼 수 있다.

생체정보가 유출돼 위변조되더라도 센서의 정밀도에 따라 악용되는 것을 막을 수 있다. 해커가 내 지문정보를 유출해 가짜 지문을 만들었다고 하더라도, 센서가 이를 감지해서 거부하면 된다. 최근에는 홍채나 정맥 등이 위변조된 2D 인쇄물이나 실리콘인지 아니면 실제로 살아있는 사람인지를 구분할 수 있는 수준으로 생체인증 기술이 발전하고 있다.



김승주 고려대 정보보호대학원 교수는 “생체인식 기술은 어떤 기술이든 그 생체정보를 읽는 센서의 정확도가 많은 영향을 준다”면서 “생체정보가 유출이 됐다고 해도 센서가 위변조된 생체정보를 식별해 인식을 하지 않으면 보안성을 높일 수 있다”고 말했다.

센서의 정확도외에 생체인증의 보안성을 높이려면 보관 방식도 중요하다.최근의 추세는 생체정보를 개인 스마트폰이나 태블릿PC의 안전영역(트러스트 존)에 보관하는 방식이다.

중앙서버에 생체정보를 보관하면 해커 입장에서 목표물이 명확하기 때문에 공격하기 쉽고 한번 뚫리면 수많은 사용자들의 생체정보가 유출돼 위험성이 크다. 하지만 개인 단말기에 저장하면 정보유출이 발생해도 한 명의 정보만 유출된다. 또 스마트폰을 잃어버렸다 해도 트러스트 존에 저장된 생체정보는 암호화되기 때문에 이를 빼내기 쉽지 않다는 게 전문가 설명이다.

이순형 라온시큐어 대표는 “해커가 사진에 찍힌 지문 정보를 통해 생체정보를 위조하더라도 이를 실제로 악용하기 위해서는 해당 지문 소유자의 스마트폰을 훔쳐 금융서비스를 진행해야 하는데 이 모든 것을 하기는 쉽지않다”면서 “만약에 모든 과정을 성공하더라도 한 명의 금융정보만 탈취되는 것이어서 해킹의 노력에 비해서 얻는 수익이 없어 공격할 의지가 그만큼 약해진다”고 말했다.