iOS / 모바일 / 보안 / 스마트폰

애플이 아이폰에 지문센서를 추가하려는 이유

Marco Tabini | Macworld 2013.08.22


애플이 다음 달 경 신형 아이폰을 발표할 것이라는 소문이 돌면서 끝나지 않는 스무고개가 다시 시작됐다. 애플이 홈(Home) 버튼에 직접 통합하거나 지난 2012년 취득한 특허처럼 단말기 전면의 특정 영역에 위치시키는 방식으로 아이폰에 지문 인식기를 추가할 가능성에 대해 다양한 의견이 나오고 있다. 이런 기술은 공상과학 영화에 나오는 이야기가 아니며, iOS 기기 소유자들에게 실질적인 유형의 혜택을 제공할 수 있다.

모든 엄지손가락
영화 미션 임파서블(Mission Impossible)에나 나올 법한 기술이라 생각하겠지만, 지문 인식기는 이미 다양한 산업 분야에서 널리 사용되고 있다. 예를 들어, 최근에 국제선을 이용한 적이 있다면, 도착한 나라의 대사관 직원들이 사증을 발급하기 전에 여러분의 생체 정보를 기록하기 위해 지문 인식기를 사용하는 것을 본 적이 있을 것이다.

애플이 이런 기술을 통합할 것이라는 소문이 전혀 근거 없는 것은 아니다. 지난 2012년 애플은 지문 인식 기능 지원에 필수적인 하드웨어 기술을 확보한 오쎈텍(AuthenTec)을 인수했다. 일부 코드 전문가들은 iOS 7 개발자 베타 버전에서 지문 인식과 관련된 소프트웨어 증거를 발견하기도 했다.

단일 인증, 이중 인증, 적색 인증, 청색 인증
그렇다면 지문인식기는 어떤 용도로 사용할 수 있을까? 바로 사용자 인증이다. 사용자의 신원을 밝히는 것은 놀랍도록 까다로운 사업분야이다. 최적의 환경에서도 오랫동안 인증을 위한 주된 수단으로 사용되어 온 암호는 로그인하는 사람이 정확한 암호를 알고 있다는 것밖에 확인하지 못한다. 그리고 수년 동안 일반적인 사용자들이 적절한 암호를 사용하도록 촉구했음에도 불구하고, 무수히 많은 사람이 여전히 'password'를 암호로 사용하고 있다.

암호는 이런 식으로 사용하라고 있는 것이 아니다. 보안 용어로 암호는 하나의 '인자'(factor)이다. 해당 사용자가 알고 있는 것을 확인하는 것이다. 효과를 보기 위해서는 암호를 반드시 사용자가 소유하고 있는 것 혹은 사용자의 존재 같은 추가적인 인자를 조합해야 한다.

휴대폰은 이상적인 '소유권' 인자로 구글, 트위터, 애플의 아이클라우드 등이 이미 2개의 인자를 사용하는 이중인증 메커니즘을 도입해 활용하고 있다. 개인의 휴대폰 번호를 각 기기와 연동시키는 공식적인 인증기관이 존재하기 때문에 SMS를 통해 등록된 단말기로 코드를 전송하고 이를 입력하도록 해 로그인하는 사람을 인식하는 것이다.

내 손가락이 곧 나의 신원
하지만 이런 이중 인증도 단점이 있다. 현재 휴대폰을 가진 사람이 정당한 사용자라는 보장이 없다. 아이폰은 쉽게 도난당하고 있으며 암호로 보호되지 않는 아이폰은 절도범에게 보물과도 같다. 특히 다른 서비스의 암호가 저장되어 있을 때는 더욱 그렇다.

지문 등의 생체 서명을 입력하도록 하면 '현재 특정 기기를 소유하고 있는지' 여부가 아니라 '사용자의 존재' 자체를 확인할 수 있다. 로그인할 때 이 3가지 인자를 모두 입력하도록 하는 웹 사이트 또는 앱은 사용자 사칭에 대해 강력한 보호수단을 제공한다. 절도범이 보호장치가 전혀 마련되어 있지 않고 사용자 암호를 여과 없이 보여주는 단말기를 훔쳤더라도 피해자의 지문이 없다면 필요한 인증절차를 통과할 수 없기 때문이다.

생체 인증은 기기에 '연동'해 인식기 센서에 정확한 손가락을 인식시킨 경우에만 잠금이 해제되도록 할 수 있다. 이렇게 하면 훔친 단말기를 사고파는 장물 아이폰 시장이 큰 타격을 입게 될 것이다.

안전과 프라이버시
하지만 아이폰에 생체 기능을 추가하면 프라이버시 문제가 대두할 가능성이 있다. 특히 애플이 사용자 지문 데이터베이스를 어떻게 안전하게 보호할지에 대한 우려가 가장 크다. 다행히도 대부분의 기존 생체 인식기는 지문의 개별적인 특징들을 단방향 알고리즘을 사용해 계산한 디지털 서명으로 압축한다. 즉 지문을 사진의 형태로 저장 또는 전송하지 않으며, 디지털 서명을 소유하고 있어도 이 특정 지문의 특성을 서명에서 역설계 할 수는 없다.

따라서 애플은 지문 자체를 저장하지 않고도 지문 데이터베이스를 손쉽게 구축할 수 있고, (사용자의 동의를 얻은 후) 앱 개발자들에게 전달하기 전에 특별한 방법으로 암호화함으로써 특정 개발자 또는 웹 사이트가 획득한 지문 서명을 절도하거나 다른 서비스에서 다시 사용할 수 없도록 해 사용자의 프라이버시를 추가로 보호할 수 있다.

더 실질적인 우려는 절도범들이 피해자들로부터 사용 가능한 지문을 추출할 방법을 찾을 수 있느냐이다. 실제로 인기 리얼리티 쇼 '호기심해결사'(MythBusters)의 출연자들이 CD에서 얻은 피해자 지문의 사본만을 이용해 생체 잠금장치를 해제한 일은 유명하다. 그 외에 젤리를 이용해 지문을 복제한 사례도 있었다. 범죄자들이 지문 인식을 해제하기 위해 피해자의 손가락을 자르는 끔찍한 범죄를 저지를 수도 있다고 우려하기도 한다.

하지만 큰 칼을 든 강도가 나타날 가능성은 낮고 무엇보다 휴대폰 절도 대부분이 은밀하게 작업해야 하는 (그리고 적발되면 가중처벌 가능성이 높은) 공공장소에서 이뤄지기 때문에 크게 걱정할 필요는 없을 것 같다. 게다가 애플의 센서는 정상적인 혈류를 확인하는 등 실제 손가락으로 만졌을 때에만 반응할 수도 있다.

따라서 아이폰에 생체 센서를 추가하면 사용자와 앱 개발자들에게 모두 이익이 될 것이다. 적절한 프라이버시 보호장치가 마련되어 있다면 은행거래 등 모든 것의 보안을 크게 강화시키고 휴대폰 도난의 가능성을 낮추는 데도 크게 도움이 될 것이다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.