안면인식, 지문인식보다 더 편리하면서 매력적인 생체보안 기술
보안 기술 중에서 가장 기본이 되는 기술은 어떤 것이 있을까요? 무척이나 생뚱맞은 이야기일 수 있겠습니다만 보안 업계에 종사하는 사람들마다 다른 이야기를 할 수도 있겠습니다만 제가 생각하기에는 아마도 인증 기술이 아닐까 싶습니다. 어떤 사람들은 암호화 기술이 핵심이라고 얘기하는 사람들도 있고, 또 어떤 사람들은 악성코드를 막는 안티 바이러스 기술이 핵심이라고 말하는 사람들도 있겠습니다만 보안도 워낙 분야가 다양해서 어느 분야에 종사하느냐에 따라서 기준이 달라지는 것은 사실입니다. 그런데 암호화 기술은 보안 기술이기는 하지만 기술이라고 보는 것보다는 코어 기술에 가깝다는 생각이 듭니다. 그리고 인증 기술이 보안 기술의 기본이 되는 기술이라고 얘기할 수 있는 이유는 아래의 예시를 보면 알 수 있을 듯 합니다.
국내 굴지의 대기업에 다니는 A. 그는 아침마다 회사에 출근하면 본인의 ID 카드를 출입구에 대어 출입허가를 획득하고 문을 연 다음에 본인이 근무하는 층으로 엘리베이터를 타고 올라갑니다. 해당 층에 올라간 후, 다시 사무실 입구에서 본인의 ID 카드를 다시 문 옆에 있는 카드 인식기에 대어 사무실 문을 엽니다. A는 자기 자리에 앉고 그 앞에 있는 컴퓨터를 켠 후, 윈도가 부팅되고 윈도를 사용하기 위해 ID와 비밀번호를 입력합니다. 부팅이 된 컴퓨터의 웹 브라우저를 켜서 회사에서 사용하는 그룹웨어에 접속하면 로그인 화면이 나오며 본인의 ID로 사용하는 사원번호와 비밀번호를 입력하고 그룹웨어에 접속하여 퇴근 이후에 온 메일들을 확인합니다.
어떤 사람이 출근부터 본인의 업무를 시작하기까지의 모습을 예로 들어봤는데 내용을 보면 가장 많이 나오는 부분이 출입허가, 로그인입니다. ID 카드를 이용한 출입허가는 물리적인 인증을 뜻하며 로그인은 소프트웨어적인 인증을 뜻합니다. 즉, 사용자 인증이 업무의 시작을 의미하는 것처럼 보이는 것입니다. 백신이라 불리는 안티 바이러스 기술이나 위협으로부터 막는 IDS, IPS, 좀비PC 방지 시스템, 방화벽, DDoS 방지 기술 등은 어떻게 보면 그 이후에 적용되는 기술이라고 할 수 있을 듯 합니다(물론 24시간 내내 서버단에서 계속 사용되는 기술이기 때문에 이런 표현도 애매할 수 있겠습니다만). 어찌되었던 사용자 인증 기술은 보안 기술 중에서도 기본이면서 핵심이 되는 기술이라고 할 수 있습니다.
앞서 사용자 인증 기술에 대해서 얘기할 때 2가지 분야로 얘기되는 것을 알 수 있을 것입니다. 출입통제를 담당하는 물리적인 인증과 솔루션, 서비스 등을 이용할 때 사용하는 소프트웨어적인 인증입니다. 물리적인 인증은 보통 자신의 정보를 입력한 칩을 카드에 삽입해서 ID 카드를 만들어서 인증에 이용한다던지, 아니면 지문이나 홍채, 안면인식 방법 등의 생체정보를 이용한 생체보안 방법을 많이 사용합니다. 소프트웨어적인 인증은 ID, 비밀번호를 입력하는 방식으로 얘기되는 1차 인증 방식과 거기에 이메일이나 SMS를 더하는 2차 인증 방식이 있습니다. 이 2가지를 합쳐서 사용하는 것이 어떻게 보면 요즘 문제가 되고 있는 공인인증서 방식이라고 할 수 있지요. 보통은 소프트웨어적인 인증이 물리적인 인증 방식보다 상대적으로 보안성이 떨어진다고 합니다. 언제든지 유동적으로 변할 수 수 있는(즉, 변조가 가능한) 소프트웨어적인 인증 방식보다는 변질 불가능한 값으로 고정적인 값이나 다름없는 생체정보를 활용하는 물리적인 인증 방식이 더 보안성은 높다고 알려지고 있습니다. 오늘은 이 생체정보를 활용하는 생체보안에 대해서 살펴볼까 합니다.
모바일 디바이스의 생체보안, 그 시작은 지문인식부터
최근 스마트폰에 지문인식 기술이 적용되기 시작하면서 서비스나 솔루션의 인증 방식에 기존의 소프트웨어적인 인증 방식과 더불어 물리적인 인증 방식이 더해지고 있습니다. 앞서 얘기했듯 이 두가지 인증 방식은 서로 영역이 그동안 달라서 서로의 적용이 어려울 것이라고 많이들 예상을 했습니다. 대표적인 예가 지문인식기를 컴퓨터에 연결해서 금융거래를 할 때, 혹은 그룹웨어에 접속할 때 지문인식을 이용한다던지, 카드리더를 연결해서 자신의 ID 카드를 이용한 인증을 하는 방법을 예전에 도입해서 시도를 했지만 불편하다는 이유로, 또 기술력이 현재와 같이 높은 수준이 아니었기 때문에 실패했었습니다. 그래서 언젠가는 되겠지만 현재로서는 어렵지 않겠는가 하는 얘기가 많았던 것이 사실입니다. 하지만 애플의 아이폰5S, 그리고 팬택의 베가 LTE-A, 삼성의 갤럭시 S5에서 지문인식 기능이 본격적으로 들어가면서 이런 고정관념이 점점 깨지기 시작합니다.
확실히 지문인식은 편리합니다. 하지만 문제가 있습니다. 예전에 비해서 인식률, 분별력이 높아진 것은 사실이지만 여전히 지문을 패턴화하는 과정에서 동일 패턴, 유사 패턴으로 인해 오탐되는 경우가 종종 발생합니다. 그리고 스마트폰에 적용된 지문인식 기능의 수준은 레벨을 상, 중, 하로 봤을 때 중 정도입니다. 상으로 맞춰놓으면 오탐은 줄어들겠지만 정확한 인식을 요구하기 때문에 사용자들이 불편해합니다. 하로 맞춰놓으면 오탐이 더 심해지기 때문에 인증의 의미가 없지요. 그래서 나름대로 합리적인 수준이라고 생각되는 중(중보다는 상과 중의 사이 정도의 레벨로 맞춰둡니다) 정도로 레벨을 맞춰놓습니다. 그래서 가끔 아이폰5S나 갤럭시 S5에서 지문인식으로 잠금화면을 풀 때 잘 안되는 경우를 당하곤 하는데 이런 이유 때문입니다. 편의성과 보안성 사이의 딜레마는 여전히 보안업계에서는 큰 이슈가 되지요.
지문인식의 한계점, 그리고 그 다음의 생체보안 기술은?
그래서 지문인식보다 더 보안성이 강하고 편리한 생체보안 방식을 찾아나서게 되는데 여기서 많이 언급되는 것이 홍채인식과 안면인식(얼굴인식) 기술입니다. 홍채인식 기술은 현존하는 생체보안 기술들 중에서 가장 보안성이 높다고 알려져 있습니다. 지문의 경우 동일한 지문이 나올 수 있는 열손가락의 지문이 모두 같을 확율은 640억분의 1이라고 하지만 하나의 손가락 지문이 같을 확률은 1천만분의 1이라는 얘기가 있습니다. 손바닥 전체가 같은 확률은 거의 없지만 손가락 하나만의 지문이 같을 확률은 있다는 얘기입니다. 그런데 같은 홍채가 나올 수 있는 확율은 20억분의 1이라고 합니다. 전체 손바닥이 같을 확률보다는 높지만 보통 지문은 하나의 손가락으로만 체크하기 때문에 그런 확율로 따진다면 홍채가 훨씬 더 정확하다고 할 수 있다는 얘기입니다. 물론 지문정보를 추출하여 패턴화 시키는 과정과 홍채정보를 추출하여 패턴화 시키는 과정, 즉 알고리즘의 차이일 수도 있겠습니다만 현재로서는 홍채인식이 지문인식보다 더 보안성이 높다는 것은 일반화된 얘기라고 할 수 있을 듯 싶습니다.
안면인식 기술의 경우에는 보안성보다는 편의성을 더 앞세우는 경우에 많이 나옵니다. 홍채인식 기술이나 안면인식 기술은 수십년전부터 존재해왔던 기술입니다. 하지만 홍채인식 기술의 경우 그 보안성을 인정받아서 중요한 장소의 출입통제를 위해 종종 사용하곤 했지만 안면인식 기술의 경우 그 보안성이 지문인식보다 더 떨어졌고 인식율 자체도 매우 낮았기 때문에 한동안 잘 사용하지 않았던 기술입니다. 그런데 최근에 방식이 많이 바뀌면서 인식율이 높아지고 보안성도 높아지면서 기존의 강점이었던 편의성이 다시 부각되기 시작합니다.
안면인식(얼굴인식)의 과거, 그리고 현재
과거 안면인식 기능은 얼굴의 모습을 사진을 찍어서 그것을 패턴화하여 비교하는 방식이었습니다. 초창기에는 2차원 사진을 그냥 패턴화시켰습니다. 그래서 반드시 정면을 바라봐야만 했습니다. 각도가 조금이라도 달라지면 다른 사람으로 인식되기 십상이었지요. 그래서 탐지율이 많이 떨어졌습니다. 그리고 동일한 사진을 인식기 앞에 두면 인식되는 경우도 존재했습니다. 이런 문제점을 해결하기 위해 많은 기술들이 도입되었습니다.
일단 다각도에서 찍도록 하여 3차원적인 처리를 통한 패턴화를 시도했습니다. 3차원 카메라를 이용하는 방법도 선보였지요. 그리고 단순히 2차원 사진을 찍어서 패턴화 시키는 것이 아니라 사람의 얼굴에 있는 굴곡과 빛과 각도로 인해 생기는 얼굴 안의 그늘을 인식하는 방법이 도입되었습니다. 또한 인식될 때 당연히 사람이 완전히 멈춘 상태에서 인식될 수는 없습니다. 약간의 움직임이 존재하지요. 그런 움직임까지도 함께 인지하여 패턴화하는 방법을 도입하면서 보안성을 높혔습니다.
스마트폰의 경우에는 예전에 갤럭시 넥서스에서 얼굴인식이 도입되었는데 그렇게 크게 인기를 끌지 못했습니다. 방식이 위에서 언급했던 문제점들을 고스란히 갖고 있었기 때문입니다. 그 이후에 몇개의 스마트폰들이 얼굴인식 기능을 도입했지만 이번에 나온 지문인식 기능을 탑재한 스마트폰처럼 사람들의 주목을 끌지는 못했습니다. 하지만 위에서 얘기한 다양한 보완책이 적용된 기술이 아마도 조만간 나오게 될 것으로 보입니다. 이유는 스마트폰의 카메라 성능이 점점 발전하고 있으며 위의 다양한 기술을 처리할 수 있는 모바일 AP의 성능이 점점 높아지고 있기 때문에 충분히 처리할 수 있는 수준까지 올라왔다고 판단될 수 있기 때문입니다. 특히 전면 카메라의 화소수가 100만 화소가 넘어가면서 충분히 고성능의 얼굴인식 센서가 탑재되는 스마트폰이 나올 수 있는 가능성이 높아졌습니다.
스마트폰이 아닌 일반 산업분야에서 얼굴인식을 이용하는 출입통제 시스템들이 최근 조금씩 늘어가고 있다는 뉴스들도 나옵니다. 그리고 무엇보다도 인증하고는 좀 다른 이야기지만 CCTV를 통해서 감시를 할 때 얼굴인식 기능을 이용하여 용의자를 추적하는 기술은 이미 상당히 높은 수준에 올라와 있습니다. 그 기술이 조만간 사용자 인증에 얼굴인식이 적용될 때 쓰이게 될 것으로 보입니다(아마도 일부 업체에서 이 기술을 활용하는 얼굴인식 출입통제 시스템을 만들고 있을지도 모릅니다. 국내에서 열리는 보안박람회에서 종종 이런 시스템들이 선보이기 때문에 시장에 지금 확산되고 있다고 생각할 수도 있지요). 실제로 CCTV를 이용한 용의자 추적 시스템에서 활용되는 기술들이 위에서 언급했던 얼굴인식 시스템의 보안성을 높히기 위한 방식들을 적용한 것들입니다. 물론 그 외에 더 많은 기술들이 들어갔겠지만 말입니다.
얼굴인식 기술의 장점은 따로 지문을 인식기에 갖다대거나 눈동자를 카메라에 가까에 대야 하는 불편함이 없다는 것입니다. 그냥 카메라 앞에 서 있으면 알아서 인식을 해준다면 그 편리함이 강점이지요. 그래서 초창기에는 많이 보편화될 것으로 예상했습니다만 의외로 많은 변수들(그 중에서 인식률이 떨어진다는 점이 가장 큰 이유가 되겠지요)로 인해서 한동안 사장되다시피 했던 기술입니다. 하지만 최근에 이런 문제점들을 보완하고 다시 시장에 들어오려고 하고 있습니다. 위에서 언급했던 것처럼 다양한 보완 기술과 알고리즘을 더해서 말이죠. 그리고 그 복잡한 알고리즘과 기술을 처리해줄 수 있는 수준의 시스템 성능도 갖춰졌습니다.
모바일 디바이스에서의 얼굴인식을 활용한 인증 시스템의 가능성
모바일 분야에서 사용하는 인증 시스템이라는 제한을 두고 다시 얘기를 해볼까 합니다. 지문인식의 경우 이미 시장에서 검증을 받았습니다. 앞서 언급한 스마트폰들에서 나름 좋은 평가를 받고 있기 때문이지요. 그리고 그 기술을 이용하여 결제시스템 연동까지 이끌어내고 있습니다. 홍채인식과 얼굴인식은 이제 본격적으로 모바일 분야에 뛰어들려고 하고 있는거 같습니다. 홍채인식의 경우 지문인식보다 더 우수한 보안성으로 인해 차세대 생체보안 시장의 리더로 생각하고 있는 듯 싶습니다. 하지만 얼굴인식의 경우에는 어쩌면 오히려 그 편리성으로 인해 지문인식보다 더 확장될 수 있는 가능성이 높다고 생각이 되어집니다. 특히 위에서 언급했듯 카메라 성능이 높아졌고 모바일 AP 성능이 높아졌기 때문에 기존의 얼굴인식 기술이 가졌던 문제점을 보완할 기술, 알고리즘을 충분히 처리할 수 있는 상황이 되었습니다. 홍채인식 수준의 보안성은 아니겠지만 적어도 지문인식 수준의 보안성은 확보했다고 할 수 있을 듯 싶습니다. 거기에 편리성은 지문인식보다 더 좋으니 이 기술이 제대로 정착만 된다면 지문인식보다 더 보편화될 수 있지 않겠는가 하는 생각이 듭니다. 물론 시장에서 검증을 받아야 하는데 그 기간이 얼마가 될지는 모르겠습니다만.
얼굴인식을 이용한 생체보안 시장은 어떻게 보면 지문인식이나 홍채인식을 이용한 생체보안 시장보다 더 매력적으로 다가올 수 있지 않겠는가 하는 생각을 해봅니다.