최신 비대면 인증기술 현황 및 보안 고려사항
1. 개요
아마존은 2019년 12월 미국에서 손바닥을 생체 인식에 활용할 수 있는 시스템 기술을 개발해 특허를 받았다. 신용카드 대신 사용자의 손바닥을 스캐너 위에 스치면 결제되는 방식이다. '비접촉식 스캔 시스템'이라고 하는 이 기술은 사용자의 손바닥 주름과 정맥의 세부 형태를 포착해 신원을 식별할 수 있다. 결제 속도도 기존 수단보다 빠르다. 모바일 결제는 평균 3~4초가 걸리지만, 아마존의 손바닥 인식 기술은 0.3초 만에 신원을 확인해 결제를 끝낸다. 아마존은 이 기술을 2017년 인수한 미국 최대 유기농 식료품 체인 '홀푸즈(Whole Foods)'에 도입할 계획이다. 이처럼 사람의 신체 일부를 인증 수단으로 활용하는 생체 인증 시장이 폭발적으로 성장하고 있다. 기존 비밀번호 방식만으로 개인 식별과 보안을 100% 보장하지 못하면서, 분실 위험이 없고 위조가 불가능한 신체 일부를 아예 인증 수단으로 활용하는 것이다. 지문 인식과 홍채 인식을 넘어 안면 인식, 손바닥 인식, 정맥 인식 등 다양한 생체 인증 시스템이 도입되고 있다. 특히 인공지능(AI)을 이용한 딥러닝을 통해 인증 정확도가 꾸준히 높아지면서, 스마트폰이나 각종 보안 시스템에 적용하는 사례도 많아지고 있다. 본 보고서는 최신 비대면 인증 기술 중 생체인증의 정의 및 특징을 살펴보고, 생체인증의 보안 요구사항을 살펴보도록 한다.
2. 생체인증의 정의 및 특징
생체 인증이란 인간의 신체적, 행동적 특성을 사용해 신원을 파악하고 시스템이나 기기, 데이터에 대한 액세스를 부여하는 기술을 말한다. 보통 지문, 안면 인식, 음성 인식 및 타이핑 습관 등이 생체 인증 자료로 활용된다. 이는 모든 개개인에게 저마다 다르게 주어지는 고유의 신체적 특성들이며, 식별의 정확도를 높이기 위하여 둘 이상의 생체 인증 방식을 함께 사용하기도 한다. 생체 인증 기술은 주로 모든 개인이 가진 고유의 특성을 사용한다. 이들은 크게 두 가지로 나뉠 수 있는데, 하나는 신체적 특성이고 다른 하나는 행동적 특성이다.
2.1. 신체적 특성을 통한 구분
신체적 특성을 통한 인증 기술은 변화가 어렵고, 기기에 구애받지 않는다. 대표적인 기술로는 지문, 이미지 및 영상, 신체 특성, 음성 등이 있다.
2.1.1. 지문
지문 인식은 최근 몇 년간 스마트폰에서 활발하게 사용되며 그 사용이 급격히 확산됐다. 스마트폰 화면, 컴퓨터 마우스, 터치패드, 도어락 등 손으로 터치가 가능한 기기는 모두 지문 인식을 사용할 수 있다. 스파이스 워크에 따르면 지문 인식은 기업에서도 가장 흔한 생체 인증 방식 가운데 하나로 이미 57%의 기업들이 이를 사용하고 있다.
2.1.2. 이미지 및 영상
이미지 및 영상 인식은 카메라가 달린 기기에서 카메라를 신원 확인에 사용하는 방법을 의미한다. 대표적인 사례로는 안면 인식과 망막 인식을 들 수 있다.
2.1.3. 신체 특성(Physiological recognition)
신체 특성을 활용한 인식 기술은 얼굴, 손 모양, 홍채 및 망막, 손바닥 혈관, 귀 인식 등이 있다. 또한 안면 인식은 지문 다음으로 널리 사용되는 생체 인증 방식으로 전체 기업의 14%가 이를 사용하고 있다.
2.1.4. 음성
음성 기반 디지털 어시스턴트나 전화 기반 서비스 포털들은 이미 음성 인식 기술을 사용하여 사용자를 식별하고, 고객의 신원을 인증하고 있다. 스파이스워크에 따르면 전체 기업의 2% 정도가 기업 내 신원 확인에 음성 인식 기술을 사용하고 있다.
2.1.5. 서명(Signature)
디지털 서명 인식 기술은 주로 소매점이나 은행에서 많이 사용되며 사용자나 고객이 서명하는 것이 자연스러운 상황에서 사용되고 있다.
2.1.6. DNA(DeoxyriboNucleic Acid)
오늘날 DNA 인식 기술은 주로 법 집행 기관에서 용의자를 식별할 때 사용된다. 영화에서도 자주 나오는 인증기술이지만 현실적으로 DNA 염기서열화 과정은 상용화되기에는 그 발전 속도가 너무 느렸다. 하지만 2018년에 수분 내로 DNA 매칭을 해 줄 수 있는 스캐너가 1,000달러 가격에 시장에 출시된 바 있으며 앞으로도 가격은 더욱 떨어질 것이다.
2.2. 행동적 특성을 통한 구분
행동적 특성을 사용한 인증 방식은 비교적 새로운 기술로, 신체적 특성을 사용한 인증 보다는 신뢰도가 낮기 때문에 둘 이상의 인증 요소를 함께 사용하는 경우가 많다. 그러나 기술이 발전함에 따라 이런 상황도 개선될 수 있다. 이미 고정되어 있어 변경이 불가능에 가까운 신체적 특성과 달리 행동적 특성을 활용한 기술의 발전 가능성은 인간의 상상력만큼이나 무궁무진하다. 오늘날, 행동적 특성을 활용한 인증 방식은 주로 인간과 로봇을 구분할 때 사용된다. 이를 통해 스팸을 걸러내거나, 승인되지 않은 로그인 시도를 걸러낼 수 있다. 기술이 발전함에 따라 사용자 개개인을 식별해 내는 능력은 발전할 지 모르지만 인간과 로봇을 구분하는 능력은 덜 효율적으로 변해갈 것이다. 행동적 특성에 기반한 인증 방식으로는 다음과 같은 것들이 있다.
2.2.1. 타이핑 패턴(Typing patterns)
사람마다 타이핑 스타일이 다 다르다. 타자를 치는 속도는 물론이고 한 글자에서 다른 글자로 넘어갈 때 걸리는 시간, 키보드를 타격하는 힘의 정도 등으로 개개인을 구별한다.
2.2.2. 신체적 움직임(Physical movements)
사람마다 걸음걸이가 각기 다르며, 이 정보를 사용하면 건물 내에서 특정 직원의 신원을 확인할 수 있다. 보안상 민감한 장소에서 제2의 인증 수단으로 사용될 수도 있다.
2.2.3. 내비게이션 패턴(Navigation patterns)
마우스의 움직임, 트랙패드나 터치스크린 위에서 손가락의 움직임 등도 사람마다 차이가 있으며, 이런 차이는 별도의 하드웨어 없이 소프트웨어 만으로도 쉽게 탐지해 낼 수 있다.
2.2.4. 기기 사용 패턴(Engagement patterns)
우리는 저마다 다른 방식으로 테크놀로지를 사용한다. 어떤 앱을 얼마나 열고 사용하는지, 배터리 잔량은 어떻게 관리하는지, 하루 중 주로 어디에서, 언제 기기를 사용하는지, 웹사이트에서는 주로 무엇을 위주로 보는지, 폰을 쥘 때 어느 정도의 각도로 들고 있는지, SNS 계정은 얼마나 자주 사용하는지 등을 모두 행동적 특성 자료로 사용할 수 있다. 이런 행동 패턴은 사람과 봇을 구분하는 기준이 되기도 한다. 물론 봇들이 사람의 행동을 더 높은 정확도로 흉내낼 수 있게 된다면 무용지물이 되겠지만 말이다. 이 기술은 또한 다른 인증 방식과 결합해 사용하는 경우가 많지만 앞으로 기술이 발전할 경우 단독으로 사용할 수도 있다.
생체 인증은 개인의 사생활 문제와 연결된 기술인 만큼 굉장히 민감하게 다루어야 할 사안이다. 편리하고 유용한 기술임에는 분명하지만 상용화와 안전을 반드시 같이 고려해야 한다. 행여 보안을 소홀했을 때에는 자칫 개인 정보 침해 문제로 번질 수도 있기 때문이다.
3. 생체인증 적용 사례(금융을 중심으로)
이제는 스마트폰을 잠금 해제할 때 지문 인식이나 얼굴 인식, 홍채 인식 등을 사용한다. 또한, 모바일 간편 결제 앱을 사용할 때에도 이러한 생체 인식으로 본인인증 과정을 거치는 것이 매우 흔한 일이 되었다. 보안을 중요하게 여기는 사업장에서도 출입문을 열 때 열쇠나 카드키 대신, 지문이나 얼굴을 인식하는 방식을 많이 사용한다. 이처럼 생체 인식 기술은 보안 분야에서 많이 쓰이며 보안이 매우 중요한 금융권에서도 이 기술을 도입해 발전시키고 있다. 금융권에서 사용하는 생체 인식 기술은 무엇이고, 어떻게 활용되고 있는지 살펴보도록 한다.
3.1. 모바일 슈랑스
스마트폰으로 보험을 조회하고 비교해 자신에게 가장 적합한 보험을 찾는 사람들이 늘고 있다. 굳이 은행에 가지 않고도 편하게 모바일로 보험을 드는 것을 ‘모바일 슈랑스’라고 한다. 이렇게 비대면으로 보험에 가입할 경우 본인임을 인증하는 절차가 매우 중요하다. 누군가 모바일 슈랑스의 편리함을 악용해 금융 범죄에 이를 이용하는 것을 막기 위함이다. 요즘은 비대면 보험 가입을 위해 생체 인식 기술을 활용한 본인 인증 방식을 활용한다. 케이뱅크는 홍채, 지문, 얼굴 인식 등 생체 인증만으로 모바일 슈랑스 보험에 가입할 수 있다. 케이뱅크와 제휴한 12개의 보험사 중 6개의 보험사 상품에 가입할 때 공인인증서나 비밀번호(OTP) 없이 지문이나 얼굴 인식 등으로 가입할 수 있도록 했다.
3.2. 간편 결제
PC로 쇼핑몰에서 결제를 할 때도 스마트폰과 연계해 생체 정보 인식만으로 결제할 수 있는 서비스가 있다. BC카드는 자체 결제 플랫폼인 ‘페이북(paybooc)’에 생체인증 기술을 도입했다. 페이북에 신용카드나 체크카드 등의 결제 정보와 지문, 목소리, 얼굴 등의 생체 정보를 미리 등록해 두면 사용할 수 있는데요. PC 쇼핑몰에서 결제 단계에 생체인증을 선택하고 스마트폰의 페이북 앱을 실행해 생체 정보를 인식하면 결제가 완료된다. 오프라인 매장에서 페이북의 바코드로 결제할 때에도 결제 전 보안 단계에서 지문 인식이나 목소리 인식, 얼굴 인식으로 본인 인증을 거쳐 결제를 진행할 수 있다. BC카드에 따르면 출시 1년째인 2018년 6월까지 페이북을 이용한 생체 인증 이용 건수가 2천만 건을 넘겼다고 한다.
3.3. 키오스크
금융 키오스크는 ATM보다 더 많은 은행 업무를 처리할 수 있는 기기다. 이 기기는 기존 ATM 기능에 체크카드 신규 발급 또는 재발급, 비밀번호 변경, 인터넷뱅킹의 보안 매체 발급 등의 업무 서비스를 제공한다. 국민은행의 금융 키오스크인 ‘STM(Smart Teller Machine)’은 정맥 인식으로 본인 인증을 할 수 있으며 상담원과 화상 통화로 STM에서 정맥 정보를 등록한 뒤, 다음 이용부터는 비밀번호 없이 손바닥을 올려놓는 것만으로 본인 인증을 할 수 있다. 기업은행은 지난 3월부터 5개 영업점에 디지털 뱅킹 존을 설치했다. 편의성을 위해 음성 인식 기능을 도입했다. 원하는 은행 업무를 말하면, 키오스크가 음성을 인식하고 해당 메뉴의 화면으로 넘긴다. 통장 재발급이나 보안카드 발급 등의 업무도 키오스크에 음성을 인식해 처리할 수 있다. 또한 정맥 정보를 등록해 두면, 은행 카드가 없어도 송금이나 출금을 할 수 있다. 우리은행은 ‘위비 스마트’라는 키오스크를 운영하는데 은행권 최초로 홍채, 지문, 정맥 등 다양한 방식의 인증 기능을 도입했다.
3.4. 로그인 시스템
하나은행은 '하나원큐' 앱에 지문, 홍채를 활용한 간편 생체인증 방식의 로그인 시스템을 탑재했다. 하나은행은 지난 7월 외국인 고객 전용 앱 '하나 이지(Hana EZ)'에 생체인증 로그인 시스템을 탑재하기도 했다. 대구은행도 모바일 채널 혁신사업의 일환으로 뱅킹 앱 '아임(IM)뱅크'에 지문과 안면인식을 활용한 생체인증 로그인 시스템을 도입했다. 고객은 간단한 생체인증만으로 계좌 조회·이체, 간편결제, 부동산 시세 조회, 자산 확인 등 서비스를 이용할 수 있다. 국민은행은 모바일 뱅킹에 필요한 공인인증서를 대체하기 위해 생체인증 방식을 탑재한 'KB모바일인증서'를 출시했다. 고객이 지문이나 안면(아이폰 이용 고객)을 이용한 인식을 마치면 공인인증서가 발간된다. 이 인증서를 활용하면 고객은 은행의 모든 뱅킹 서비스를 간편하게 사용할 수 있다. 부산은행은 FIDO(Fast IDentity Online) 기반 간편 인증 서비스 모바일뱅킹 앱 '위젯뱅킹'을 출시했다. 이 앱은 신속한 온라인 인증을 의미하는 FIDO를 기반으로 지문이나 홍채 인증만으로 로그인부터 예금 조회·이체 간편 송금, ATM출금 등 은행 업무를 제공한다. SC제일은행도 모바일 앱에 안면, 홍채, 지문 인식 등 인증 시스템을 담았다. 유효기간이 3년인 생체 인증만으로 로그인을 하면 1일 누적 500만원까지 이체할 수 있다.
디지털 트랜스포메이션의 시대에서 은행들의 모바일 뱅킹 경쟁이 펼쳐지고 있는 만큼 은행권 앱 발전도 계속 빨라지고 있다. 현재 진행형으로 다양한 서비스를 개발하고 있으며 생체인증은 그 중 가장 중요한 경쟁력이 될 것이기 때문에 앞으로도 꾸준한 관심을 기울여야 한다.
4. 생체인증의 보안 요구사항
생체인증 기술은 기존 인증 방식에 존재하는 전송구간 도청 및 인증정보 위·변조, 클라이언트 및 서버 상의 악성코드 설치, 인증결과 조작 등의 보안 위협이 모두 존재하는데, 이는 대부분의 인증 시스템에 공통적으로 존재하며 대응방안 또한 대부분 유사하다.
4.1. 생체인증 시스템 보안 취약점
생체인증 시스템은 생체인증을 수행하는 정보시스템을 의미하며, 크게 4개의 모듈로 구분한다. 한편 생체인증 시스템의 취약점은 크게 8가지로 분류할 수 있다.
4.1.1. 생체인증 시스템
- 생체정보 입력부 : 센서를 통해 생체정보를 취득한다.
- 특징정보 추출부 : 취득된 생체정보로부터 특징정보를 추출한다.
- 특징정보 저장소 : 특징정보 및 개인정보 등을 저장한다.
- 특징정보 정합부 : 저장된 특징정보와 새로 입력된 특징정보를 비교하여 인증여부를 결정한다.
4.1.2. 생체인증 시스템 보안 위협
- 위조지문, 고해상도 사진 등 위조된 생체정보를 센서에 입력하여 인증을 우회할 수 있다.
- 특징 저장소에 침투하여 기 저장된 생체정보를 조작, 삭제, 유출할 수 있다.
- 불법적으로 취득한 생체정보를 재생(replay)하여 인증에 이용할 수 있다.
- 위조된 특징정보를 임의로 생성하여 인증을 우회할 수 있다.
- 정상적인 특징정보를 임의의 위조된 특징정보로 대체하여 인증에 이용할 수 있다.
- 특징 정합부에서 인증 결과값을 임의로 변경하여 인증을 우회할 수 있다.
- 최종 인증결과를 조작할 수 있다.
- 특징정보 저장소에서 특징정보 정합부로 전송되는 특징정보를 중간에 절취하거나 타인의 정보로 대체할 수 있다.
4.2. 생체정보의 위조 및 유출
다른 인증기술과 비교하여 생체인증 기술에서 더 심각한 보안위협은 생체정보 위조 및 유출이다.
4.2.1. 생체정보의 위조
생체정보의 위조는 타인의 생체정보를 위조하여 불법적으로 인증을 시도하는 것이다. 생체정보는 개인의 신체적·행동적 특징으로 불법 복제 및 도용으로부터 안전한 것으로 알려져 있었다. 하지만 최근 프린트 된 지문, 실리콘 지문, 고해상도 사진 등 위조된 생체정보를 통해 인증에 성공하는 사례들이 발표됨에 따라 위조 위협으로부터 안전하지만은 않다는 것이 밝혀지고 있다. 위조된 생체정보를 악용하여 인증 우회가 가능한 이유는 미리 등록된 특징정보와 비교 특징정보가 완전히 일치하지 않고 일부 차이가 있더라도 인증에 성공할 수 있기 때문이다. 또 다른 이유는 생체정보 센싱의 기술적 수준이 부족할 수 있기 때문이다. 예를 들어, 일란성 쌍둥이의 생체정보 중 얼굴의 경우 지문과는 달리 유사성이 매우 높기 때문에 눈· 코·입의 상대적인 위치 및 크기 등과 같은 비교적 단순한 특징으로 비교한다면, 쌍둥이 서로 간의 얼굴인증이 성공할 수도 있다. 생체인증 기술 도입 초기, 생체인증 우회를 위해 생체정보를 위조하기 보다는 타인의 손가락 등 신체 일부분을 절단하는 등의 비윤리적 범죄가 우려되었다. 하지만 최근 위조 기술의 발달에 따라 점차 더 간단한 위조 방법을 통해 인증을 우회하는 시연 및 사고 사례가 발표되고 있다. 먼저 스마트폰 등을 통해 가장 보편적으로 사용되고 있는 지문의 경우, 2005년 지문 전자회로를 손쉽게 프린트할 수 있도록 고안된 특수 잉크 및 용지로서, 이를 통해 출력한 그림은 전도성을 갖게 된다. 시스템이 적용된 고급차량 절도를 위해 차주의 손가락을 절단한 사고를 시작으로 지능화된 위조 방식이 등장하고 있다. 2008년 이후에는 목제용 접착제, 실리콘, 점토, 3D 프린터 등을 활용하여 제작한 위조지문으로 공공기관에서 불법 본인인증 및 온라인 결제 등을 성공한 사례가 발표된 바 있다. 그리고 2016년에는 총 비용 $500 미만으로 일반 2D프린터를 이용하여 출력한 위조 지문을 통해 최신 스마트폰의 생체인증을 우회한 사례가 미국 미시간주립대 연구진들에 의해 발표되었다.
4.2.2. 생체정보의 유출
모든 인증 방식에서 인증정보의 유출은 심각한 보안위협으로 인식되지만, 생체정보의 유출은 더욱 심각하다. 생체정보의 변하지 않는 특성(불변성)으로 인해, 한번 유출될 경우 비밀번호 및 공인인증서 등과 같이 폐기 후 변경 및 재발급하는 것은 매우 어렵기 때문이다. 그나마 지문의 경우 다른 손가락의 지문으로 대체 가능하지만, 홍채 및 정맥 등은 더욱 제한적이다. 생체정보 유출 위협은 생체인증 시스템 전반에 존재하며, 생체인증 단계에 따라서 생체정보 샘플, 특징정보 및 템플릿 형태로 유출될 수 있다. 먼저 생체정보 획득 단계에서 생체정보 샘플 형태로 유출될 경우, 앞서 기술한 위조 방식을 통해 손쉽게 인증 우회에 악용될 수 있다. 생체 특징정보 및 템플릿 형태로 유출될 경우에도 재전송 공격에 악용될 수 있다.
4.3. 생체인증 보안위협의 대응방안
생체인증 기술과 관련된 보안 위협을 예방 및 대응하기 위해 다양한 기술들이 연구되고 있으며, 크게는 위조 판별, 다중 생체 인증, 재발급 가능한 템플릿 기술로 구분할 수 있다.
4.3.1. 위조 판별
위조 판별(Liveness detection)은 생체정보가 실제 사람의 것인지 또는 위조된 것인지 여부를 판별하는 기술로서 크게 하드웨어 및 소프트웨어 기반 기술로 분류된다. 하드웨어 기반 방식은 센서를 통해 맥박 및 체온 등을 추가로 측정하여 획득한 생체정보가 살아있는 사람의 것인지 여부를 확인하는 방식이다. 대표적으로 빛 투과율, 정전용량, 혈류 및 혈중 산소함량 등을 측정하여 위조 지문을 탐지하는 특허들이 등록되어 있다. 하드웨어 방식은 소프트웨어 방식에 비해 위조 판별 성능은 더 높지만 새로운 신체적 특징을 측정하기 위해 기존 센서를 변형하거나 새로운 센서가 추가되어 시스템 소형화가 어려워지는 한계가 존재한다. 소프트웨어 기반 방식은 획득한 생체정보 샘플을 분석하여 위조 여부를 확인한다. 대표적으로 실제 지문에만 존재하는 땀샘을 짧은 시간 동안 두 번 이상 측정하여 발한현상을 검출하거나, 센서에 지문을 접촉한 채로 손가락을 일정각도 회전하도록 하여 회전 전/후 피부의 왜곡정도를 측정함으로써 실제 지문과 위조 지문의 구분한다. 또한 샘플의 품질을 기준으로 위조 여부를 판단하는 방식이 존재한다. 소프트웨어 방식 적용을 위해서는 분석 소프트웨어를 추가 또는 업데이트하면 되기 때문에 적용은 쉽지만, 하드웨어 방식에 비해 정확도가 떨어지는 단점이 존재한다.
4.3.2. 다중 생체 인증
다중 생체인증 기술은 인증 시 다수의 생체정보를 융합하는 방식으로, 하나의 생체정보만을 사용하는 단일 생체인증 기술과 비교하여 본인거부율 및 타인수락률을 낮춤으로써 정확성을 개선하기 위한 방식이다. 보안 측면에서는 다수의 생체정보를 동시에 사용함으로써, 사용된 모든 생체정보 위조에 성공하지 않는 이상 인증 우회가 어려운 장점이 있다. 또한 생체정보가 유출된다 하더라도 다수의 생체정보가 융합되어 있기 때문에 템플릿 등의 구조 파악이 어려우며, 복원 공격 등으로부터 더 안전하다. 하지만 특징정보 간의 호환성 문제, 융합된 생체정보 비교 시, 복잡도 문제 등 기술적으로 해결해야 할 문제점들이 존재한다.
4.3.3. 재발급 가능한 템플릿 기술
재발급 가능한 템플릿 기술은 생체정보 유출 위협에 대한 대응기술로서 생체정보 템플릿이 유출되더라도 이를 폐기하고 새로운 템플릿을 재발급이 가능하도록 하는 기술이다. 재발급 가능한 생체인식(Renewable Biometric) 기술이라고도 불리며, 이에 대한 내용이 ISO/IEC 표준으로도 제정된 바 있다. 재발급 가능한 템플릿 기술의 가장 큰 특징은 생체정보 템플릿 대신 별도의 비교정보를 사용한다는 점이다. 비교정보는 템플릿을 이용하여 생성하며, 재발급(생성) 가능한 알고리즘에 의해 생성되기 때문에 유출되더라도 폐기 및 재발급 가능하며 비교정보로부터 템플릿 역추출 및 복원은 불가능하기 때문에 템플릿은 안전하다. 세부적으로는 생체정보 등록 및 비교 시 생체정보 템플릿을 그대로를 저장 및 비교하지 않는다. 그 대신, 등록 단계에서 템플릿을 이용하여 별도의 비교(인증)정보를 생성하고, 이 비교정보를 본래 템플릿 대신 등록(저장)한 후에 인증 단계에서 비교한다. 이때 생체정보 샘플 및 템플릿은 비교정보 생성 직후 안전하게 폐기하기 때문에 유출 우려가 적다.
비교정보 생성 전까지는 생체정보 샘플 및 템플릿에 대한 유출 위협이 여전히 존재하지만, 일반적으로 생체정보 샘플 획득부터 템플릿 및 비교정보 생성까지는 원자적(Atomic)으로 수행되기 때문에 템플릿이 그대로 저장 및 전송되는 것 보다는 더 안전하다. 인증 단계에서는 등록 단계에서 생성한 보조데이터와 인증 요청자의 템플릿을 결합하여 비교정보를 생성(복구)하고, 이를 비교정보와 비교하여 인증 여부를 판정한다. 인증 요청자의 샘플 및 템플릿 역시, 비교정보 생성 직후 폐기한다. 재발급 가능한 템플릿 기술은 생체정보 유출에 대한 효과적인 대응기술이지만 실제 활용을 위해서 계속 연구가 진행 중이다
5. 결론
생체인증 기술은 금융, 공공·사회복지 등 다양한 분야에서 적극적으로 활용되고 있다. 특히 스마트폰 상에서의 스마트 뱅킹 및 간편결제 시 본인인증 방식으로 적극 활용 중이며, 은행, 카드사, 전자상거래 및 핀테크 업체 등 금융 관련 전 분야에서 도입 중이다. 하지만 생체인증의 편리함 이면에 생체정보 위조 및 유출과 같은 위협이 존재한다. 안전한 생체인증 활용을 위한 정보보호 가이드와 바이오 인증 시험기준 및 요구사항 등의 보안위협을 상쇄하기 위한 관리적, 기술적인 보안요소들이 적용되고 있지만 어디까지나 현존하는 해킹 기술을 기준으로 한 평가기준이며 날이 갈수록 진화해가는 해킹기술에 의해서 생체인증은 늘 악용될 수 있는 상황에 놓여 있다. 향후 생체인증의 신뢰성을 보증하기 위해서는 관련 기술의 고도화와 생체인증을 도입 및 활용하는 기업의 인식개선이 이뤄져야 할 것이다.
References
1. 금융보안원, 바이오인증 최신 활용 및 보안 동향, 2016. https://www.fsec.or.kr
2. 금융보안원, 바이오정보 사고사례 및 대응방안 조사, 2016. https://www.fsec.or.kr
3. 인터넷진흥원, 바이오 정보보호 가이드라인, 2017, www.kisa.or.kr
4. 금융보안원, 금융서비스 바이오정보 인증 및 관리 가이드라인, 2016. https://www.fsec.or.kr