바이오 인식 기술(Standardization for Biometrics)은 사람의 지문, 얼굴, 홍채, 정맥 등 신체적 특징(Physiological characteristics) 또는 음성, 서명, 자판, 걸음걸이 등 행동적 특징(Behavioral characteristics)을 자동화된 IT 기술로 추출•저장해 다양한 IT 기기로 개인의 신원을 확인하는 사용자 인증 기술입니다.
전통적으로 바이오 인식 기술은 출입국심사(전자여권, 승무원, 승객 신원확인), 출입통제(도어락, 출입, 근태관리), 행정(무인 민원발급, 전자조달), 사회복지(미아 찾기, 복지기금관리), 의료(원격의료, 의료진•환자 신원확인), 정보통신(휴대폰 인증, PC, 인터넷 로그인), 금융(온라인 뱅킹, ATM 현금 인출) 등 여러 방면에서 폭넓게 보급되어 실생활 깊숙이 자리 잡게 되었습니다. 그림 1 은 바이오 인식 기술의 분류 및 핀테크 적용사례를 나타내고 있습니다.
2001년 미국 911 테러 사건으로 인해 2006년부터 국제공항(전자여권), 항만(선원 신분증), 국경관리(국제운전면허증) 등 바이오 정보가 탑재되는 국제 용 ID 드 기반 대면인증을 통하여 테러리스트 색출을 위해 전 세계적으로 지문, 얼굴, 홍채 등 바이오 정보를 이용한 출입국심사가 보편화됨과 동시에 ISO/IEC JTC1 SC37(Biometrics) 국제표준화기구를 중심으로 표준화가 급속도로 진행되어 왔습니다.
특히, 핀테크 등 금융권에서 활발히 바이오 인식 기술을 도입하고 있는데요. 이러한 추세는 지난 2011년 5월 미국 911 테러의 주범인 오사마 빈라덴이 사망 이후 바이오 인식 기술이 ‘대면 인증 기술’에서 스마트폰을 이용한 ‘모바일 바이오 인식 기술’로 발전됨에 따라 비대면 인증 기술로 진화되고 있기 때문입니다.
이러한 모바일 바이오 인식 기술은 스마트폰을 통한 비대면 인증 기술 수단으로서 핀테크의 중요한 요소 기술로 작용할 전망입니다.
바이오 인식 기술 발전 추세
2015년부터 LG페이, 애플페이 등 스마트폰에 지문인식 기술을 적용하여 모바일 지급 결제 서비스가 일반 대중에 널리 보급됨에 따라 모바일 바이오 인식 기술에 대한 상용화가 활발히 진행되고 있습니다.
특히, 핀테크 등 금융권에서 활발히 바이오 인식 기술을 도입하고 있는데요. 이러한 추세는 지난 2011년 5월 미국 911 테러의 주범인 오사마 빈라덴이 사망하면서 바이오 인식 기술이 대면 인증 기술에서 스마트폰을 이용한 모바일 바이오 인식 기술로 발전됨에 따라 비대면 인증 기술로 진화되고 있기 때문입니다.
대포통장, 대포폰 등과 같이 비인가 사용자에 의한 스마트기기의 도용과 서비스 불법사용 등의 보안 위협은 날로 증가하고 지능화, 고도화된 공격기법들이 출현됨에 따라 보다 안전한 비대면 인증 기술에 대한 진화와 발전이 요구되는 실정입니다. 2018년에 접어들면서 정부에서는 20년 만에 공인인증서 사용의무화를 폐지하면서 본인 인증 수단으로 바이오 인식 기술을 선호함에 따라 보급이 급물살을 탈것으로 전망됩니다.
공인인증서의 분실 및 비밀번호 유출, 액티브X 보안 취약점 등의 위협에 따라 공인인증서의 보안 기능 강화 측면에서 스마트폰 내에 안전한 저장매체에 복잡한 비밀번호 대신에 바이오 인식 기술을 결합해 액티브X 없이 공인인증서를 이용할 수 있도록 FIDO 기반의 공인인증서비스를 실시하고 있는데요.
2017년 7월 현재, 한국인터넷진흥원(KISA)에서 이와 같은 PKI와 바이오 인식 기술을 결합하여 발급된 공인인증서는 359,508건으로 대부분 금융권에서 스마트폰 뱅킹, 온라인 증권 서비스 등에 활용되고 있습니다.
최근 들어 뇌파, 심전도, 근전도, 맥박 등 살아있는 사람의 행동적(신체의 기능적) 특징을 이용하는 생체 신호를 스마트워치 등 웨어러블 디바이스에서 측정해 스마트폰으로 건강정보와 개인식별기능을 제공할 수 있는 차세대 텔레바이오 인식 기술에 대하여 국내외적으로 깊은 관심과 연구가 활발히 진행되고 있습니다.
그 중 미국의 워싱턴대학에서는 사람의 뇌파를 통해 신원을 확인하는 인증 기술을 개발 중이며, 캐나다 기업 Nym에서 개발한 손목밴드 형태의 웨어러블 디바이스는 심박수를 통하여 인증하는 기술로 각광을 받고 있습니다. 영국 모 은행에서는 이미 심박수를 통해 은행 이용자에 대한 신원확인 서비스를 제공하고 있다고 합니다.
한국인터넷진흥원(KISA)에서는 지난 2016년 5월 29일 대학병원, 웨어러블 디바이스, 바이오 인식 개발업체, 통신사업자, 핀테크, 헬스케어 연구기관 등 국내 전문가로 구성된 ‘모바일 생체신호 인증 기술 표준연구회’를 발족했는데요. KISA 표준연구회에서는 뇌파, 심전도 등 생체신호에 대한 개인식별 기술 연구, 생체신호 인증 알고리즘 개발, 개인식별을 위한 웨어러블 디바이스 인터페이스 표준규격 및 생체신호 인증 기술 관련 표준 개발에 박차를 가하고 있습니다.
최근 부상하고 있는 사물인터넷(IoT)에서 생체신호를 측정하는 스마트워치, 밴드형 또는 패치 형태의 웨어러블 디바이스에 대한 기기인증 및 융합서비스의 중요한 비대면 인증수단으로서 차세대 바이오 인식 기술에 활용이 될 것으로 전망됩니다.
바이오 인식 위변조 보안 위협 증가
2010년 미국 펜실베이니아 주립대학교에서 애플사의 아이폰5의 터치스크린 감금기능을 위하여 스마트폰에 지문 인식 기술을 적용함에 따라 모바일 바이오 인식 기술의 진화가 급물살을 타게 되었습니다. 2006년 전자여권 국제화 추세에 발맞추어 사람의 외부에 노출된 신체 부위인 지문, 얼굴, 홍채 등에 대한 인위적 모조체 등으로 위장하여 사용자 인증을 시도하는 바이오 인식 위변조 침해 사고 또한 증가하는 추세인데요.
특히, 국내에서도 2007년도에 전국 동사무소, 지하철 역내에 설치한 무인 민원발급기에서 위조 지문으로 민원서류 발급을 시도함에 따라, 행자부 주관 하에 KISA와 한국바이오인식협의회(KBID)에서 국산 지문 인식 제품에 대한 위조탐지 판별시험을 시행한 바 있습니다.
전 세계적으로 민간•공공분야에서 실생활 속에 바이오 인식 기술이 광범위하게 널리 활용되고 특히, 스마트폰을 통해 비대면 인증수단으로 주목을 받는 추세이지만 바이오 정보 위변조 침해 사고 및 유일성으로 인해 민감한 개인정보에 대한 프라이버시 침해 위협 또한 증가함에 따라 그림 2, 그림 3과 같이 대응 기술에 대한 국제표준화가 활발히 진행되고 있습니다.
이에 따라, 국내에서도 2018년 1월 방통위에서 ‘바이오 정보보호 가이드라인 개정안’을 공표했으며, 개정안에 바이오 정보 보호를 위한 기술적•관리적 지침(KSX 1966), 생체인식 제시형 공격 탐지 기술(KSXISOIEC 30107-1) 등 KISA가 개발한 KS 국가표준에 대한 국내 준용을 권고하고 있습니다.
국제표준화기구 동향 및 한국의 활동 현황
바이오 인식 기술 표준화 전담기구인 ISO/IEC JTC1 SC37은 2002년 12월, 미국 플로리다 올랜도에서 창립총회를 거치면서 전자여권 등에 필요한 바이오 인식 핵심 기술 및 시험 기술에 대한 국제표준화에 미국을 중심으로 주요 선진국에서 관련 표준을 개발 중인데요. 2002년 12월부터 한국이 참여해 그림 4처럼 주요 국제표준을 개발하고 있습니다.
최근 미국, 영국, 독일, 프랑스 등 주요 선진국에서는 모바일 환경에서의 바이오인식 응용 기술, 바이오인식 위변조 탐지기술, 지능형 CCTV와 연계한 바이오인식 응용 기술에 대한 표준을 개발하고 있습니다. 바이오 정보 보호 기술과 관련해 ISO/IEC JTC1 SC27 WG5 분과에서 2005년 12월부터 한국이 참여하고 있으며, 그림 5에서 보는 바와 같이 주요 국제표준을 개발하고 있습니다.
또한 일본, 영국 등에서는 모바일 바이오 인식 보안성 평가 기술, 바이오 인식 위변조 방지 기술에 대한 표준을 개발하고 있습니다. UN 산하 스위스 제네바에서는 Q9 분과에서 유무선 정보통신 환경에서의 바이오 인식 응용 기술인 텔레바이오 인식 기술에 대한 국제표준화가 진행되고 있는데요. 2005년 4월부터 한국이 참여해 그림 6. 에서 보는 바와 같이 주요 국제표준을 개발하고 있습니다.
최근 미국, 한국, 스위스, 덴마크 등 주요 선진국에서는 생체신호를 이용한 텔레바이오 인식 기술, 비대면 인증 기술(B2M)에 대한 표준을 개발하고 있습니다. 특히, 지난 2018년 3월에는 KISA에서 정보보호 교육을 받은 말리, 세네갈 공화국에서 화자 인식을 이용한 텔레바이오 인식 기술에 대한 국제표준을 제안했으며, 중국 알리바바에서 더욱 적극적인 국제표준화 활동을 추진하고 있습니다.
ISO/IEC JTC1 SC17(바이오인식을 이용한 ID 카드 보안 기술), ISO TC68(핀테크 보안 기술), ISO TC215(스마트 의료정보 보안 기술) 등 바이오 인식과 관련된 국제표준에 대해서는 부합화 국가표준을 개발해 대부분 국내에 수용하고 있습니다. KISA에서는 2012년부터 아시아(ABC), 미국(BC), 유럽(EAB) 등 사실 표준화 기구와 국제협력체계를 구축해 운영하고 있습니다.
2002년도부터 TTA TC5(정보보호기술) 산하 PG505에서는 바이오 인식 기반 정보보호기술(CCTV, IC 카드), 응용 기술, 시험 기술 및 스마트 의료정보 보안 기술 등에 대하여 국내 단체표준 및 KS 국가표준을 개발 및 보급하고 있습니다. 그림 7은 최근에 개발한 바이오 인식 관련 국내표준을 나타내고 있습니다.
바이오 인식 기술의 향후 계획
최근 들어 주목을 받는 LG페이, 애플페이 등과 같이 스마트폰에서의 모바일 지급 결제 서비스는 지문 인식 기술을 이용하여 사용자 인증을 하고 있지만 전 세계 10% 인구가 지문 손상 등의 이유로 지문 패턴을 취득할 수 없고, 가짜 지문 등 위변조 등의 보안 취약점이 존재하고 있습니다.
지난 2016년부터 KISA를 중심으로 심전도(심박수) 등과 같은 가장 개인식별성이 우수하고 위변조에 강인한 생체신호를 이용한 차세대 텔레바이오 인식 기술 관련 표준 개발과 함께 스페인, 미국 등과 국제 공동 연구를 통해 지문 인식, 심전도, 심박수 등 다중 생체신호 인증 플랫폼을 개발하고 있습니다.
최근에는 독거노인, 1인 가구 증가로 고독사가 급증함에 따른 사회적인 이슈가 급부상했는데요. 심전도, 심박수, 뇌파 등 웨어러블 디바이스를 통해 생체신호를 측정하여 심장질환, 뇌 신경 장애 등 헬스 모니터링 분석과 동시에 개인식별을 수행하는 차세대 인증 기술과 결합한 의료정보 보안 기술에 대한 표준개발에 대한 필요가 절실합니다. 그림 8 에서는 KISA가 추진하고자 하는 생체신호 인증 기반의 헬스 모니터링 서비스 플랫폼을 보여주고 있습니다.
향후 모바일 지급 결제, 헬스케어, 스마트카 등 IoT 융합 보안 서비스에 비대면 인증 기술로써 이를 활용할 수있습니다. 그리고 글로벌 전자인증산업에서 차세대 핵심 인증 기술에 대한 새로운 시장을 창출하고, 글로벌 기술 경쟁력을 확보하여 국제사회에서 선도적 역할을 수행할 수 있을 것으로 기대합니다.
글 l 김재성 연구위원 l 한국인터넷진흥원 보안기술확산팀
저자 김재성 연구위원은 1996년 7월부터 한국인터넷진흥원(KISA)에서 바이오 인식 기술 개발 및 표준화 업무를 수행하는 연구위원으로 재직 중이다. 2005년 8월에 인하대 정보통신대학원에서 우리나라 바이오 인식 기술 관련 국내 1호 박사학위를 취득하였고, 20년 간 바이오 인식 기술 한 분야에 전문가로서 기술 개발과 국내, 국제표준화 활동을 진행 중이다.
