본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

인증의 완성판 생체인증에서 다중 생체인증까지 ①

2016.12.05

모바일의 기능 확대와 금융 접목, 사물인터넷, 웨어러블 디바이스의 융합서비스 확장으로 인해서 비대면 안전한 인증수단이 강하게 요구되고 있으며, 우리의 몸은 ‘편의’와 ‘보안’이라는 두 가지 핵심 요구 사항을 만족시키는 인증도구가 되어 가고 있습니다.

여기서 인증이란 사람이나 사물을 식별하고, 식별된 것이 본래의 것과 일치하는지 따져보는 절차와 결과를 말합니다. 그리고 인증방법들은 알고 있는 어떤 것을 확인하는 지식 기반, 가지고 있는 물리적 객체를 통한 소유 기반, 주체의 생물학적 특성을 보여주어야 하는 존재 기반과 주체가 하는 행동을 통한 행위 기반 등을 활용하는 것으로 나눌 수 있습니다.

그러나 기존의 비밀번호, 공인인증서, 스마트카드, OTP 등은 해킹이나 유출의 위험이 날로 커지고 있어 복제•위조•변조가 불가능한 존재 기반과 행위 기반의 생체인증(Biometric)이 크게 주목을 받고 있습니다.

생체인증이 범용적인 인증수단으로 사용되기 위해 필요한 항목은 무엇일까요?

  • 누구나 가지고 있고(보편성), 고유해야 하며(유일성), 시간이 지나고 나이가 들어도 변화하거나 변화시킬 수 없는 특징이어야 합니다(지속성).
  • 정량적으로 측정하기 쉬워야 하고, 실사용 환경에서도 인식의 정확도가 높고 속도가 빠르며(성능), 사용자들의 생체 정보를 저장하고 활용하는 데에 거부감이 없어야 합니다(수용성).
  • 생체정보 모방이나 해킹 등 외부로부터의 공격도 방어할 수 있어야 합니다(저항성).

위와 같은 항목을 가지고 있고 우리에게 익숙한 개별 생체인증 방법들을 알아보겠습니다.

홍채(Iris)인식

제일 먼저 ‘눈 속의 지문’이라 불리는 홍채인식입니다. 홍채는 눈 중앙의 검은 동공과 흰자위 사이에 존재하는 도넛 모양으로 동공의 크기가 변함에 따라 이완되고 수축되는 섬유조직을 말하는데요. 홍채의 무늬는 생후 24개월 안에 완전히 결정되며, 일란성 쌍둥이라도 서로 다르고 한 평생 변하지 않습니다.

홍채는 대략 400여 개의 측정 가능한 식별 특징을 지니고 있어 40개 정도의 식별 특징을 갖고 있는 지문보다 훨씬 복잡하고 정교합니다. 즉, 홍채가 다른 사람과 같을 확률은 0%라는 뜻입니다. 또한 안구를 추출하면 동시에 시신경이 끊어져 동공이 확대되고, 아무리 정교한 홍채 사진이나 질소에 곧바로 냉각시켜 홍채의 형상을 유지해 인식시킨다고 해도 도용이 불가능합니다.

콘택트렌즈나 안경을 착용해도 인식이 가능하고, 약 2~3미터 떨어진 곳에서도 카메라를 통해 포착이 가능한 비 접촉 방식이 가능해 위생적이고 편리합니다. 최근 출시되어 주목을 받았던 S사 스마트폰의 홍채인식은 13만 가지 이상의 패턴 정보로 인해 가장 오인식률이 낮은 생체 기관으로 평가되었고, 기술의 진화로 원가 절감이 빠르게 진행되고 있습니다.

지문(Finger Printer)인식

두 번째는 전 세계 생체인증 시장의 66%를 차지할 정도로 널리 사용되고 지문인식으로, 땀샘이 융기되어 일정한 흐름을 형성한 것으로 평생 동안 변하지 않는다는 특징을 이용합니다.

지문 인식은 손가락의 열, 압력, 전기장이나 초음파 등을 감지하는 ‘비 광학방식’과 프리즘이나 홀로그램 등을 이용해 지문에 빛을 쏴 반사된 모습으로 지문을 인식하는 ‘광학방식’ 등이 있고, 0.5% 이내의 비교적 낮은 에러율과 1초 이내에 이루어지는 빠른 검증 속도를 포함한 수용성, 편의성, 신뢰성 면에 장점이 있습니다.

그러나 여러 사람이 접촉한 곳에 대한 불쾌감, 지문이 닳아 없어진 사람이나 엄지나 검지 등 특정 손가락이 없는 경우 사용이 어렵다는 점과 가장 큰 문제점 중 하나였던 스캐너에 남아있는 지문 흔적을 복사하거나 실제 지문의 모형을 뜨는 것과 같은 유출•도용 문제입니다.

현재는 빛의 파장을 이용해서 손가락 모세혈관 내 혈액량을 측정하거나 헤모글로빈을 탐지하는 등의 실제 손가락•지문 여부를 구분할 수 있는 기술의 지원으로 해결의 실마리를 찾아가고 있습니다.

최근 국내에서는 2016년 11월 KB국민은행이 지문으로 스마트폰 뱅킹 거래가 가능한 ‘지문인증 서비스’를 시작했고, 안전한 지문인증 서비스 제공을 위해 생체인증 국제 표준인 FIDO(Fast Identity Online1)를 채택했다고 합니다. FIDO의 지문인증 정보는 고객 스마트폰에 암호화되어 저장되고, 은행 서버에는 인증된 결과만 전송돼 해킹•도용 위험을 최소화한다는 것입니다.

정맥(Vein)인식

정맥인식은 손등이나 손목의 정맥 모양으로 신원을 식별하는 방법으로, 혈관 인식 위치에 따라 손가락 정맥, 손등 정맥, 손바닥 정맥 등으로 세분되어 있는데, 적외선이 혈관 속의 헤모글로빈에 흡수되는 성질을 이용해서 정맥의 두께, 길이, 분포가 포함된 정맥의 이미지를 만들어 내는 방식입니다.

현재 소개된 생체 인식 가운데 유일하게 육안으로 관찰할 수 없는 생체 내부의 특징을 활용하고 있고, 전 세계은행이 채택한 생체인증 수단 2위를 기록하는 등 그 시장성에서 주목받고 있습니다. 최근 일본에서 생체인증 적용 ATM의 80%가 지정맥 인증이라고 합니다.

안면(Face)인식

안면인식은 인간이 타인의 신원확인을 할 때 가장 많이 사용하는 얼굴 형상이기 때문에 가장 자연스럽고 거부감이 적은 생체 인식 기술입니다. 안면인식 기술은 전체 얼굴보다는 코와 입, 눈썹, 턱 등 얼굴 골격이 변하는 각 부위를 분석•저장했다가 신원 확인 시에 대조하는 방식입니다.

얼굴의 특징을 추출하는 데에는 동맥과 정맥을 통한 피의 흐름에 의해 생기는 ‘Heat Spot'(열점)을 인식하는 적외선 카메라를 사용한 열상 이용 방식과 얼굴 형태의 3차원 측정기를 이용하는 방법이 있습니다.

최근 미세한 동작에서부터 다양한 각도에서의 얼굴인식 기술이 개발되고 있으며, 구글 ‘페이스 넷(Face Net)’과 페이스북 ‘딥 페이스(Deep Face)’가 100%에 근접한 인식율을 공개하면서 기술 수준이 빠르게 진화하고 있고, 애플도 최근 공개한 새로운 iOS에 사진 속 얼굴을 인식하는 서비스를 추가했다고 합니다.

음성(Voice)인식

음성인식 시스템은 개인의 독특한 말(Speech) 패턴과 특별한 단어가 말해져야 하는 텍스트(text)에 의존합니다. 사람의 목소리를 100분의 1초마다 한 번씩 샘플링 한 음성 주파수 그래프 형태로 저장하여 신원을 확인하는 방식입니다.

또 자연어 처리 기술과 인공지능이 융합한 대화형 자연어 처리 시장이 가까운 미래에 급성장할 것으로 전망되고 있습니다. 음성인식 시장을 선점하기 위해 애플(Siri), 구글(Google Now), 마이크로소프트(Cortana), 아마존(Alexa)등 IT 업체들이 전력을 다하고 있습니다.

걸음걸이(Gait)인식

걸음걸이에 의한 신원 파악은 걷는 속도, 보폭, 무릎이 구부러지는 각도, 허벅지가 윗몸과 이루는 각도 등이 사람마다 각각 다른 것을 이용합니다. 사람의 움직임을 카메라가 찍고 컴퓨터가 분석한 뒤 미리 입력된 개인별 걸음걸이 자료와 비교해 누구인지 알아내는 것입니다.

최근 미국 카네기멜론대 연구팀은 걸음걸이 신원확인이 95%의 정확도를 보이는 수준에 이르렀다고 발표했고, 걸음걸이 신원 파악 기술은 테러 위험을 크게 줄일 수 있어 미국 첨단국방기술연구소(DARPA)가 개발에 박차를 가하고 있고 이를 이용하면 테러리스트가 목표물에 접근하기 전에 멀리서 걷는 모양새를 보고 요주의 리스트에 오른 인물인지 아닌지 확인할 수 있는 것입니다.

앞에서 언급한 생체인증 방식은 적용될 산업에 따른 추가로 고려되어야 할 것이 오거부율과 오인식률입니다.

  • 오인식률(FAR: False Acceptance Rate): 등록되지 않은 사용자를 등록된 사용자로 잘못 인식하는 에러(타인의 지문을 내 지문으로 인식해 버린 현금인출기)
  • 오거부율(FRR: False Rejection Rate): 등록된 사용자를 거부(정상 데이터를 비정상으로 잘못 판단)하는 에러(내 지문이 맞는데 계속 오류가 나는 현금 인출기)
  • CER(Crossover Error Rate): 교차 오류율
  • EER(Equal Error Rate): FAR = FRR

이 두 개는 비슷해 보이지만 탐지 오류 관점에서 이것들은 확연히 다릅니다. 오인식률(FAR)은 보안 관점에서 문제가 발생한 것이고, 오거부율(FRR)는 사용의 편의성에 문제가 발생한 것입니다.

보안 관점으로만 보면 분명히 오인식이 중요해 보이지만, 사업 관점에서는 사용자의 불편이 고객을 잃게 됩니다. 흥미로운 것은 이 두 가지 오류로 인해서 생체 인식 기술이 유행•쇠퇴가 반복되고 있고, 앞으로도 반복될 것입니다. 적용 산업과 활용 목적에 맞춘 교차오류율(CER)을 지속적으로 찾아가야 한다는 것입니다.

l 생체인증 유형별 장단점 (출처: 다중 생체 인식 기반의 인증기술과 과제_조병철, 박종만)

지금까지 유형별 생체인증에 대해 알아보았는데요. 다음에는 다중 생체인증 기술에 대해 알아보겠습니다.

글 ㅣ LG CNS 보안컨설팅팀

[‘보안, 이렇게 하면 된다’ 연재 현황]

[1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
[2편] ISMS 인증을 위한 보안솔루션 구성 방안
[3편] ISMS 인증 주요 결함사항 및 대응방안
[4편] 정보보호 관련 인증 및 평가 제도
[5편] 스마트폰의 보안 위협과 대응 방안
[6편] IoT 보안 취약점 사례 소재 및 취약점 진단
[7편] 스마트폰 앱 서비스 보안의 현재와 미래
[8편] 중국 개인정보 보호법 제도 동향 및 대응방향
[9편] 출입 보안을 위한 보안 설계
[10편] 소프트웨어 개발 보안 – 시큐어 코딩
[11편] 당신의 출입카드는 안녕하십니까?
[12편] 통합 보안 관리 동향 및 활용 방안
[13편] 비대면 실명인증이란 무엇인가?
[14편] 프로젝트에서 소스 코드 보안 점검하기
[15편] 차세대 행위 기반 위협 탐지 방식에 관하여
[16편] 핀테크 보안 위협과 대응 방안
[17편] 인공지능과 보안
[18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
[19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
[19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
[20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
[20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
[21편] 유전자 정보 보안 안전한가?

  • FIDO(Fast Identity Online)는 지문, 홍채, 안면인식 등 생체인증을 접목한 사용자 인증 방식이다. 공인인증이나 아이디 방식보다 안전하고 편리한 것으로 평가받고 있다. 공인인증서 해킹 등에 대한 대안으로 제시되고 있다. 간편결제나 인터넷 전문은행, 전자상거래 등에서 비밀번호 및 공인인증서 대신 쓰일 전망이다. 2012년 7월 온라인 환경에서 생체 인식 기술을 활용한 인증 방식에 대한 기술표준을 정하기 위해 FIDO 연합체가 설립되었다. FIDO(Fast Identity Online) 연합체는 구글, MS, 인텔, 퀄컴, 비자카드, 페이팔 등 250여 글로벌 업체가 참여하여, 생체 기반 인증, 소유 기반 인증 등 다양한 인증수단을 지원하는 유니버셜 인증 프레임워크 기술규격을 발표(2014년 FIDO 1.0 정식표준)했다. 이 표준에 따라 개발된 인증 플랫폼은 사용자에게 안전하고 편리한 인증을 제공할 것으로 보인다. [본문으로]

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

목록

관련 아티클

챗봇과 대화를 할 수 있어요