스마트폰에서 이용하는 생체보안 기술과 사용자 인증 기술
아이폰5S, 베가 LTE-A, 갤럭시 S5는 지문인식 기능을 탑재한 스마트폰으로 지문을 이용한 인증이 가능하다는 것을 보여준 첫 번째 사례라고 할 수 있다. 생체보안을 활용할 수 있는 1세대 생체보안 스마트폰이라고 얘기한다면 좀 과할지는 모르겠으나 그만큼의 의미를 부여할 수 있는 스마트폰들이다. 사용자들은 이 스마트폰을 통해 그동안 4개의 번호 입력이나 패턴입력이 아닌 자신의 지문을 이용하여 잠금화면을 풀고 앱을 다운로드 받을 때 편리하게 본인 인증을 할 수 있었다. 그리고 그것은 보안이라는 측면에서 봤을 때 정말 어마어마한 사건이라고 할 수 있다.
인증의 2가지 방식
보안에서 어쩌면 가장 중요하게 여기는, 또 기본이 되는 보안 기술은 다름아닌 인증 기술이다. 사용자 인증, 본인 인증이 먼저 진행되고 그 다음에 업무가 진행되는 것이 회사에서의 프로세스고 어떤 서비스나 솔루션을 이용하는 데 필수 코스이기 때문에 그렇다. 그리고 인증 방식은 자신의 정보가 담겨진 칩을 카드에 넣거나 다른 어떤 장치에 넣어서 인식기릍 통해서 인식을 시키는 방식이나 지문, 홍채, 얼굴 등의 생체정보를 이용하여 인식시키는 물리적인 인증 방식이 있고 ID, 비밀번호를 입력하거나 메일이나 SMS를 통해서 코드를 받아서 인증하거나 공인인증서 등을 통해서 인증하는 소프트웨어적인 인증 방식의 2가지 방식이 존재한다.
보통 물리적인 인증 방식은 어떤 장소에 대한 출입통제에 많이 사용된다. 회사의 출입문, 사무실의 출입문, 통제공간의 출입문에 보면 어김없이 ID 카드 인식기나 지문인식기가 있는 것을 보게 된다. 소프트웨어적인 인증 방식은 서비스나 솔루션을 이용할 때 사용된다. 회사의 그룹웨어에 들어갈 때나 포탈서비스를 이용할 때, 혹은 인터넷 뱅킹 등의 금융서비스 등을 이용할 때 처음에 하는 로그인이 바로 소프트웨어적인 인증 방식이다. 이렇듯 물리적인 인증 방식과 소프트웨어적인 인증 방식은 그동안 그 영역이 서로 다르다고 생각되었고 서로의 영역에 들어가기 어려울 것이라고 생각해왔다. 적어도 지금까지는 말이다.
깨지지 않을 것 같았던 인증 영역, 하지만…
하지만 이런 서로 분리된 영역에서 활약하고 있던 인증 방식의 고정관념을 깬 것이 다름아닌 위에서 언급한 1세대 생체보안 적용 스마트폰들이 되겠다. 얘네들은 물리적인 인증 방식인 생체보안 방식, 그 중에서 지문인식 기술을 이용하여 스마트폰의 잠금화면 해제나 앱스토어에서의 앱 구매, 페이팔이나 애플페이와 같은 금융서비스에서의 인증에 이용할 수 있게 했다. 그동안 앞에서 언급했던 서비스의 인증은 소프트웨어적인 인증 방식을 따라왔다. 비밀번호를 입력하거나 패턴을 입력하는 방식을 사용해왔는데 앞서 언급한 이 스마트폰들은 지문인식을 통해서 이런 작업이 가능하도록 했다는 것이다. 물리적인 인증 방식의 확장이라고 보면 될 것이다.
우리가 보통 물리적인 인증 방식이 소프트웨어적인 인증 방식보다 보안성이 더 높다고 평가한다. 소프트웨어적인 인증 방식은 사용자가 손쉽게 변경이 가능하다. 그 얘기는 곧 해킹을 통해서도 손쉽게 변경이 가능하다는 얘기다. 변경 가능성이 높은 방식이 소프트웨어적인 인증 방식이다. 하지만 물리적인 인증 방식, 특히 생체정보를 이용한 인증 방식의 경우에는 변조가 불가능한, 유일하면서도 불변인 값(지문, 홍채 등)을 이용한다. 그렇기 때문에 보안성이 상대적으로 물리적인 인증 방식이 더 높다고 얘기한다.
최근 삼성과 애플을 통해서 발표된 갤럭시 노트 4와 아이폰 6에서는 기존에 지원했던 지문인식을 통한 인증의 범위를 더 확대했다. 애플은 애플페이라는 자체 결제 시스템에서 터치 ID(지문인식을 통한 ID)를 이용할 수 있게 했다. 삼성은 지문을 통해 페이팔에서의 인증이 가능하도록 했다. 기존의 앱스토어(갤럭시앱스)에서 앱을 다운로드할 때 인증, 결제를 지원했는데 그 범위를 더 확대한 것이다. 그리고 더 확대할 수 있도록 관련된 API(명령어)들을 공개했다. 앱 개발자들은 공개된 API를 이용하여 지문을 이용한 더 확실한 보안 기술을 확보할 수 있고 자신의 서비스에 적용할 수 있게 되었다. 그 결과는 아마도 더 많은 서비스들이 지문을 통해 로그인을 하거나 결제를 할 수 있게 되지 않겠는가 하는 생각이 든다.
지문인식, 그 다음의 생체보안 기술은?
지문 뿐만이 아니다. 지문인식이 편리하고 시장에서 검증받아서 확산되고 있는 추세지만 여전히 지문인식이 갖고 있는 문제점들이 존재한다. 지문정보를 패턴화해서 비교하는 것이 지문인식의 알고리즘인데 패턴화 하는 과정에서 동일 패턴, 유사 패턴들이 생기곤 한다. 그래서 부정인식, 오탐 등이 종종 일어나게 되는데 지문인식의 수준을 높히면 오탐이 줄어들겠지만 사용자가 정확히 인식을 시켜야하기 때문에 불편해질 것이며 수준을 더 낮추면 인증의 의미가 없기 때문에 현재는 수준을 중간 수준으로 맞추고 탑재하고 있다. 즉, 지문인식이 100% 완벽하다고 보기가 어렵다는 얘기다. 그래서 지문인식 이후의 생체보안 기술에 대해서 얘기가 나오고 있는데 그 대표적인 예가 홍채인식과 얼굴인식이다. 최근 애플이 아이폰5S에 지문인식 기능을 추가한 이후에 삼성전자는 홍채인식 기술을 탑재하겠다는 뉴스를 내보냈다. 홍채인식 기술은 현존하는 생체보안 기술 중 가장 보안성이 높다고 알려져있다. 같은 홍채가 나올 확률이 20억분의 1 정도라고 하니 말이다. 그래서 더 보안성이 높은 기술을 탑재하겠다고 얘기했는데 아직 시장에 그 기술이 적용된 스마트폰은 나오지 않았다(아마도 내년쯤에는 나오지 않겠는가 예상해본다).
얼굴인식의 경우 이미 갤럭시 넥서스를 통해서 한번 시도를 해봤으나 그렇게 좋은 성과를 거두지는 못했다. 지문인식보다 더 편하다는 얼굴인식의 경우 그 보안성이 너무 낮고 오탐율이 높아서 시장에서 거의 사장되다시피 했던 기술이었다. 하지만 최근 CCTV를 통한 용의자 추적시스템에서 사용하는 얼굴인식 시스템의 수준을 보면 상당한 수준까지 올라와있음을 알 수 있다. 그 기술들이 얼굴인식을 이용한 인증 시스템에 적용되려고 하고 있다. 물론 그 기술을 이용하기 위해서는 스마트폰의 카메라 성능이 우수해야 하고 다양한 알고리즘과 기술을 처리할 수 있는 모바일 AP의 성능이 우수해야 하다는 조건이 있다. 그리고 최근에 나오고 있는 스마트폰들은 그 조건에 대부분 충족시키고 있는 상황이다. 100만 화소가 넘는 전면 카메라에 4코어, 8코어를 지원하는 모바일 AP의 성능이라면 충분히 CCTV의 용의자 추적 시스템에서 사용하고 있는 기술을 스마트폰에서 얼굴인식을 통한 인증 방식에 도입하더라고 처리가 가능할 것으로 보고 있다. 그래서 당장은 아니더라도 아마 조만간 얼굴인식 기술이 탑재된 스마트폰이 시장에 나오지 않겠는가 하는 생각이 든다.
홍채인식이든 얼굴인식이든, 또 시장에서 나름 각광을 받고 있는 지문인식이든 스마트폰에서 이런 생체정보를 이용한 인증 기술이 도입되면서 더 정확한 본인 확인이 가능해졌다는 것은 매우 고무적인 일이다. 사용자는 더 높은 보안성을 유지하면서도 더 편리하게 스마트폰을 사용할 수 있는 시대를 살 수 있게 된다는 얘기다. 이미 지문인식을 탑재한 스마트폰을 통해 그 높은 보안성과 더불어 편의성을 맛보았기 때문에 홍채인식과 얼굴인식이 스마트폰에서 대중화가 된다면 이보다 더 엄청난 사용자 경험을 맛볼 수 있지 않겠는가 하는 생각을 하게 된다.
출처원문 : 학주니 이학준 / 스마트폰에서 이용하는 생체보안 기술과 사용자 인증 기술