2015.07.03

토픽브리핑 | 생체인식의 대표 기술, '지문인식' 어디까지 왔나

이대영 기자 | ITWorld
지금까지, 그리고 앞으로도 신원확인을 위한 대표적인 수단은 단연코 비밀번호다. 하지만 비밀번호는 자주 뚫리고 도난당한다. 비밀번호가 자주 뚫리는 것은 비밀번호 보안이 원천적으로 어렵기 때문이 아니라 사용자들이 보안에 취약한 행동을 하기 때문이다.

대부분의 사람들은 예전에 쓰던 기억하기 편한 비밀번호를 변함없이 계속 쓴다. 새 비밀번호를 만들면 필연적으로 그것을 기억하려고 애써야 하기 때문이다. 이것이 바로 해커들이 찾고 있는 보안 취약점이다.

멍청한 비밀번호를 만들지 않기 위한 3단계
2014년 최악의 비밀번호도 '123456'과 'password'…전년보다 감소

이로 인해 사람들은 좀더 나은 보안과 신원인증을 위한 비밀번호를 대체할 무언가를 찾고 있으며, 수없이 많은 방법들이 등장했다.

“비밀번호를 대체할” 차세대 신원 인증 기술 - IDG Tech Report
인텔과 맥아피, 비밀번호를 대체할 생체 인증 기술 개발
“암호를 버려라” 획기적인 보안 ID 기술 8선

이 가운데 가장 대표적인 차세대 신원 인증 기술이 바로 생체 인증이다. 생체 인식은 각 개인의 독특한 생체정보를 판별해 사용자를 인증하는 보안기술이다. 생체 인증에는 지문, 얼굴, 망막, 공막, 귀, 홍채, 정맥, 심박수, 뇌파 등 선천적인 신체 정보나 음성, 걸음걸이, 글씨체 등 후천적으로 습득한 특징의 패턴을 추출하는 것이 기본 원리다.

ITWorld 용어풀이 | 생체인식 기술
“비밀번호를 대체할” 생체인식 기술 동향
급속도로 성장하는 생체인식 보안 기술
“비밀번호의 시대는 안녕!” MWC 2015에 등장한 생체 인식 기술들

특히 마이크로소프트는 윈도우 10에서 비밀번호를 대체할 인증수단을 도입할 계획을 세우고 있다. FIDO(Fast Identity Online) 얼라이언스에 합류한 마이크로소프트는 윈도우 10에 생체인증 시스템인 윈도우 헬로(Windows Hello) 기능을 소개했다.

윈도우 헬로는 생체 인증 시스템으로 사용자의 얼굴, 홍채, 지문을 통해 기존 암호 방식보다 안전하게 기기의 잠금을 해제할 수 있다. 편리하고 간편한 방식이지만 일부 기관의 엄격한 요구와 규정을 준수하는 엔터프라이급 보안을 제공한다.

MS, 윈도우 10에 생체인식 기술 확장한다...”비밀번호보다 안전”

이처럼 생체인식 기술은 이미 우리 생활 속에 바짝 다가왔으며, 이 가운데 상용화된 기술은 지문인식, 안면인식, 홍채인식, 정맥인식 등이 있다. 특히 지문인식 기술은 가장 대표적인 생체인식 기술로 꼽힌다.

지문의 경우 평생동안 같은 형태를 유지하며, 상처가 생겨도 변하지 않는다는 고유한 특성과 다른 인식 수단보다 신뢰도와 안정성이 높다고 평가받는다. 1684년 영국 왕립 협회(Royal Society) 소속이었던 네에미아 크류가 처음으로 사람의 지문이 서로 다르다는 것을 알게 되면서 지문인식 기술이 발전하게 됐다.

ITWorld 용어풀이 | 지문인식
지문 인증된 사람만 쓸 수 있는 '스마트 건'

지문인식은 출입문 등에 설치해 기업의 출퇴근, 근무태도관리, 학원의 출결관리, 스마트 건 등에 쓰이곤 했으며 전자상거래 보안과 사용자 인증에서 신원 확인용으로 사용되고 있었다.

2013년 9월, 애플이 자사의 아이폰 5s에 지문인식 기술인 터치 ID(Touch ID)를 내장하면서 지문인식은 비밀번호를 대체할 강력한 주자로 발돋움했다. 애플의 터치 ID는 2012년 지문 센서 전문업체인 오쓴테크(AuthenTech)를 인수하면서 거둬들인 기술이다.

지문인식 기술은 크게 광학식과 정전식으로 나뉘는데, 광학 인식기는 디지털 카메라로 사용자의 지문 사진을 촬영한다. 애플은 정전식을 선택했는데, 이는 사용자의 피부를 활용하는 기술이다.

지문이 존재하는 피부의 바깥 층은 비전도성인 반면에 그 뒤의 피하층은 전도성이다. 아이폰의 지문 센서를 만지면 지문에서 튀어나온 부분으로 인해 야기되는 전도성의 미세한 차이를 측정하고 이 측정치를 이용해 이미지를 구성한다.

애플은 이 센서를 홈 버튼에 내장하고 센서를 켜면서 신호 오류 감소에 도움이 되는 링을 추가했다. 또한 이 링도 손가락에 약간의 전원을 가하여 신호를 증폭하고 정류하는 기능을 하는 것 같다.

애플의 오쓴테크 인수 : 생체인식 기술의 장점과 한계
애플이 아이폰에 지문센서를 추가하려는 이유
아이폰 5s 지문인식 터치 ID에 대한 모든 것

엄청난 관심 속에서 아이폰 5s에 탑재된 지문인식 기술은 그 편리함에 사용자 호감도는 상승했지만, 처음부터 예견되었던 여러가지 문제점과 한계에 봉착했다. 같은 손가락이더라도 갖다대는 방향에 따라, 날씨에 따라, 조건에 따라 인식을 실패하는 경우가 발생한 것이다.

‘지문인식이 잘 안돼요!’ 아이폰 5s 터치 ID 문제 해결 가이드

특히 고해상도로 촬영해 이를 인쇄한 지문으로도 터치 ID 인식시스템을 작동시킬 수 있는, 치명적인 보안상 결함이 발생했다. 애플은 터치 ID를 적용한 아이폰 5s에 공개하면서 "지문은 항상 휴대할 수 있고 똑같은 사람이 아무도 없어 현존하는 최고의 비밀번호"라고 설명했다. 그러나 한 해커는 지문 해상도를 높여 촬영하는 방식으로 터치 ID를 해킹하는 시연을 보였다.

"애플 터치 ID, 촬영해 인쇄한 지문으로도 해킹 가능"

보안 전문가들은 지문인식이 유일한 보안 수단으로 사용돼서는 안되며 다른 방식과 함께 사용해야 한다고 지적해 왔다. 지문을 촬영해 비슷하게 만들면 지문 인식기를 통과할 수 있다는 것이다.

지문인식시스템, 일주일 만에 해킹

갤럭시 S4에서 안면인식 기술을 도입했던 삼성은 2014년 2월 출시한 갤럭시 S5에서부터 지문인식 기술을 도입했다. 삼성은 지문인식 기술인 패스(Pass)을 통해 잠금 화면 해지, 갤러리 내 사진 보호 등을 설정할 수 있으며, 특히 모바일 결제 서비스를 지원했다. 또한 갤럭시 S5의 지문 센서를 서드파티 개발자들이 사용할 수 있도록 개방하면서 애플의 터치 ID와 차별화를 꾀했다.

삼성전자, '갤럭시 S5' 공개 ... MWC 2014서 삼성 모바일 언팩 개최
삼성, 갤럭시 S5 지문 센서 개발자에게 개방

그러나 갤럭시 S5 또한 애플 아이폰 5s와 같은 방법으로 지문인식 기능이 뚫렸다. 진짜 손가락 대신 이를 복제한 가짜 지문으로 잠금해제를 성공한 것이다. 이런 삼성 지문인식의 취약점이 애플 터치 ID보다 심각하게 받아들여진 것은 바로 페이팔(Paypal) 결제와 연동되어 있기 때문이다.

갤럭시 S5 지문인식, 가짜 지문에 뚫려… 아이폰 5s 때와 같은 방식

이런 논란에도 불구하고 지문인식 기술은 스마트폰의 핵심 기능으로 자리잡았다. 구글이 차세대 안드로이드 운영체제인 안드로이드 M에 지문인식 기술을 통합함으로써 앱 개발자와 서비스 제공자가 이 기술을 자사의 서비스에 손쉽게 적용할 수 있게 될 것으로 보인다. 예를 들면, 타깃(Target) 계정에 로그인할 때 아이디와 비밀번호를 입력하는 대신 손가락을 '터치'만 하면 된다.

지문인식 센서, 더 많은 스마트폰에 탑재된다

특히 안드로이드 M의 표준형 지문인식 지원은 스마트폰의 잠금을 손쉽게 해제하고 안드로이드 페이(Android Pay) 결제를 인증하고 플레이 스토어에서 아이템을 구매할 수 있게 됐다.

“안드로이드 페이와 지문인식, 개별 권한 설정 등” 안드로이드 M 미리보기

주니퍼 리서치의 연구 책임자 윈저 홀든은 생체인식 정보를 보관하고 있는 서버가 해킹되는 것이 가장 큰 걱정이라며, "한 개인의 생체인식 정보를 도난당하면, 도난 당사자에 매우 심각한 결과를 초래할 수 있다"고 말했다. 사용자의 비밀번호가 유출되면 사용자는 비밀번호를 바꿀 수 있지만, 생체인식 정보는 그렇지 못하기 때문이다.

하지만 이는 생체 정보가 저장되는 것이 스캔한 정보를 그대로 저장하는 것이 아니라 수학적 알고리즘을 거친다. 예를 들어, 지문을 스캔하면 수학적 알고리즘을 거쳐 지문 템플릿을 생성하는데, 이 템플릿은 손가락의 일부를 대변하며, 저장된 이미지가 아니다. 그래서 지문을 스캔하면 템플릿으로 변환될 뿐 이미지로 저장되지는 않는다는 의미다.

또한 대부분의 고급 시스템들은 이 템플릿에 비밀번호와 마찬가지로 암호 해싱(Cryptographic Hashing) 알고리즘을 적용하고 그 결과를 저장한다. 여기에 보안을 강화하기 위해 해싱 중에 독특한 또는 무작위 숫자를 조합하여 복구를 더욱 어렵게 만든다.

지문을 스캔할 때마다 휴대폰은 같은 알고리즘 과정을 거치게 되고 그 결과는 저장된 해시(Hash)와 비교한다. 실제 지문이 저장되지 않을 뿐 아니라 NSA가 사용자의 휴대폰을 획득하더라도 지문을 복구하는 것이 불가능에 가깝다.

아이폰은 이미 비밀번호에 이런 과정을 적용하고 있기 때문에 애플이 사용자의 지문 템플릿을 처리할 때도 같은 방법을 사용할 것이라는 추측이다.

지문인식 기술이 현존 최고의 신원인증 방법인 비밀번호를 완전히 대체하기는 어렵겠지만, 상호보완적으로 확장될 것으로 예상된다. 또한, 스마트폰에 지문 스캐너가 탑재되는 사례가 증가함에 따라 지문인식 시장은 점차 확대될 것으로 보인다. editor@itworld.co.kr


2015.07.03

토픽브리핑 | 생체인식의 대표 기술, '지문인식' 어디까지 왔나

이대영 기자 | ITWorld
지금까지, 그리고 앞으로도 신원확인을 위한 대표적인 수단은 단연코 비밀번호다. 하지만 비밀번호는 자주 뚫리고 도난당한다. 비밀번호가 자주 뚫리는 것은 비밀번호 보안이 원천적으로 어렵기 때문이 아니라 사용자들이 보안에 취약한 행동을 하기 때문이다.

대부분의 사람들은 예전에 쓰던 기억하기 편한 비밀번호를 변함없이 계속 쓴다. 새 비밀번호를 만들면 필연적으로 그것을 기억하려고 애써야 하기 때문이다. 이것이 바로 해커들이 찾고 있는 보안 취약점이다.

멍청한 비밀번호를 만들지 않기 위한 3단계
2014년 최악의 비밀번호도 '123456'과 'password'…전년보다 감소

이로 인해 사람들은 좀더 나은 보안과 신원인증을 위한 비밀번호를 대체할 무언가를 찾고 있으며, 수없이 많은 방법들이 등장했다.

“비밀번호를 대체할” 차세대 신원 인증 기술 - IDG Tech Report
인텔과 맥아피, 비밀번호를 대체할 생체 인증 기술 개발
“암호를 버려라” 획기적인 보안 ID 기술 8선

이 가운데 가장 대표적인 차세대 신원 인증 기술이 바로 생체 인증이다. 생체 인식은 각 개인의 독특한 생체정보를 판별해 사용자를 인증하는 보안기술이다. 생체 인증에는 지문, 얼굴, 망막, 공막, 귀, 홍채, 정맥, 심박수, 뇌파 등 선천적인 신체 정보나 음성, 걸음걸이, 글씨체 등 후천적으로 습득한 특징의 패턴을 추출하는 것이 기본 원리다.

ITWorld 용어풀이 | 생체인식 기술
“비밀번호를 대체할” 생체인식 기술 동향
급속도로 성장하는 생체인식 보안 기술
“비밀번호의 시대는 안녕!” MWC 2015에 등장한 생체 인식 기술들

특히 마이크로소프트는 윈도우 10에서 비밀번호를 대체할 인증수단을 도입할 계획을 세우고 있다. FIDO(Fast Identity Online) 얼라이언스에 합류한 마이크로소프트는 윈도우 10에 생체인증 시스템인 윈도우 헬로(Windows Hello) 기능을 소개했다.

윈도우 헬로는 생체 인증 시스템으로 사용자의 얼굴, 홍채, 지문을 통해 기존 암호 방식보다 안전하게 기기의 잠금을 해제할 수 있다. 편리하고 간편한 방식이지만 일부 기관의 엄격한 요구와 규정을 준수하는 엔터프라이급 보안을 제공한다.

MS, 윈도우 10에 생체인식 기술 확장한다...”비밀번호보다 안전”

이처럼 생체인식 기술은 이미 우리 생활 속에 바짝 다가왔으며, 이 가운데 상용화된 기술은 지문인식, 안면인식, 홍채인식, 정맥인식 등이 있다. 특히 지문인식 기술은 가장 대표적인 생체인식 기술로 꼽힌다.

지문의 경우 평생동안 같은 형태를 유지하며, 상처가 생겨도 변하지 않는다는 고유한 특성과 다른 인식 수단보다 신뢰도와 안정성이 높다고 평가받는다. 1684년 영국 왕립 협회(Royal Society) 소속이었던 네에미아 크류가 처음으로 사람의 지문이 서로 다르다는 것을 알게 되면서 지문인식 기술이 발전하게 됐다.

ITWorld 용어풀이 | 지문인식
지문 인증된 사람만 쓸 수 있는 '스마트 건'

지문인식은 출입문 등에 설치해 기업의 출퇴근, 근무태도관리, 학원의 출결관리, 스마트 건 등에 쓰이곤 했으며 전자상거래 보안과 사용자 인증에서 신원 확인용으로 사용되고 있었다.

2013년 9월, 애플이 자사의 아이폰 5s에 지문인식 기술인 터치 ID(Touch ID)를 내장하면서 지문인식은 비밀번호를 대체할 강력한 주자로 발돋움했다. 애플의 터치 ID는 2012년 지문 센서 전문업체인 오쓴테크(AuthenTech)를 인수하면서 거둬들인 기술이다.

지문인식 기술은 크게 광학식과 정전식으로 나뉘는데, 광학 인식기는 디지털 카메라로 사용자의 지문 사진을 촬영한다. 애플은 정전식을 선택했는데, 이는 사용자의 피부를 활용하는 기술이다.

지문이 존재하는 피부의 바깥 층은 비전도성인 반면에 그 뒤의 피하층은 전도성이다. 아이폰의 지문 센서를 만지면 지문에서 튀어나온 부분으로 인해 야기되는 전도성의 미세한 차이를 측정하고 이 측정치를 이용해 이미지를 구성한다.

애플은 이 센서를 홈 버튼에 내장하고 센서를 켜면서 신호 오류 감소에 도움이 되는 링을 추가했다. 또한 이 링도 손가락에 약간의 전원을 가하여 신호를 증폭하고 정류하는 기능을 하는 것 같다.

애플의 오쓴테크 인수 : 생체인식 기술의 장점과 한계
애플이 아이폰에 지문센서를 추가하려는 이유
아이폰 5s 지문인식 터치 ID에 대한 모든 것

엄청난 관심 속에서 아이폰 5s에 탑재된 지문인식 기술은 그 편리함에 사용자 호감도는 상승했지만, 처음부터 예견되었던 여러가지 문제점과 한계에 봉착했다. 같은 손가락이더라도 갖다대는 방향에 따라, 날씨에 따라, 조건에 따라 인식을 실패하는 경우가 발생한 것이다.

‘지문인식이 잘 안돼요!’ 아이폰 5s 터치 ID 문제 해결 가이드

특히 고해상도로 촬영해 이를 인쇄한 지문으로도 터치 ID 인식시스템을 작동시킬 수 있는, 치명적인 보안상 결함이 발생했다. 애플은 터치 ID를 적용한 아이폰 5s에 공개하면서 "지문은 항상 휴대할 수 있고 똑같은 사람이 아무도 없어 현존하는 최고의 비밀번호"라고 설명했다. 그러나 한 해커는 지문 해상도를 높여 촬영하는 방식으로 터치 ID를 해킹하는 시연을 보였다.

"애플 터치 ID, 촬영해 인쇄한 지문으로도 해킹 가능"

보안 전문가들은 지문인식이 유일한 보안 수단으로 사용돼서는 안되며 다른 방식과 함께 사용해야 한다고 지적해 왔다. 지문을 촬영해 비슷하게 만들면 지문 인식기를 통과할 수 있다는 것이다.

지문인식시스템, 일주일 만에 해킹

갤럭시 S4에서 안면인식 기술을 도입했던 삼성은 2014년 2월 출시한 갤럭시 S5에서부터 지문인식 기술을 도입했다. 삼성은 지문인식 기술인 패스(Pass)을 통해 잠금 화면 해지, 갤러리 내 사진 보호 등을 설정할 수 있으며, 특히 모바일 결제 서비스를 지원했다. 또한 갤럭시 S5의 지문 센서를 서드파티 개발자들이 사용할 수 있도록 개방하면서 애플의 터치 ID와 차별화를 꾀했다.

삼성전자, '갤럭시 S5' 공개 ... MWC 2014서 삼성 모바일 언팩 개최
삼성, 갤럭시 S5 지문 센서 개발자에게 개방

그러나 갤럭시 S5 또한 애플 아이폰 5s와 같은 방법으로 지문인식 기능이 뚫렸다. 진짜 손가락 대신 이를 복제한 가짜 지문으로 잠금해제를 성공한 것이다. 이런 삼성 지문인식의 취약점이 애플 터치 ID보다 심각하게 받아들여진 것은 바로 페이팔(Paypal) 결제와 연동되어 있기 때문이다.

갤럭시 S5 지문인식, 가짜 지문에 뚫려… 아이폰 5s 때와 같은 방식

이런 논란에도 불구하고 지문인식 기술은 스마트폰의 핵심 기능으로 자리잡았다. 구글이 차세대 안드로이드 운영체제인 안드로이드 M에 지문인식 기술을 통합함으로써 앱 개발자와 서비스 제공자가 이 기술을 자사의 서비스에 손쉽게 적용할 수 있게 될 것으로 보인다. 예를 들면, 타깃(Target) 계정에 로그인할 때 아이디와 비밀번호를 입력하는 대신 손가락을 '터치'만 하면 된다.

지문인식 센서, 더 많은 스마트폰에 탑재된다

특히 안드로이드 M의 표준형 지문인식 지원은 스마트폰의 잠금을 손쉽게 해제하고 안드로이드 페이(Android Pay) 결제를 인증하고 플레이 스토어에서 아이템을 구매할 수 있게 됐다.

“안드로이드 페이와 지문인식, 개별 권한 설정 등” 안드로이드 M 미리보기

주니퍼 리서치의 연구 책임자 윈저 홀든은 생체인식 정보를 보관하고 있는 서버가 해킹되는 것이 가장 큰 걱정이라며, "한 개인의 생체인식 정보를 도난당하면, 도난 당사자에 매우 심각한 결과를 초래할 수 있다"고 말했다. 사용자의 비밀번호가 유출되면 사용자는 비밀번호를 바꿀 수 있지만, 생체인식 정보는 그렇지 못하기 때문이다.

하지만 이는 생체 정보가 저장되는 것이 스캔한 정보를 그대로 저장하는 것이 아니라 수학적 알고리즘을 거친다. 예를 들어, 지문을 스캔하면 수학적 알고리즘을 거쳐 지문 템플릿을 생성하는데, 이 템플릿은 손가락의 일부를 대변하며, 저장된 이미지가 아니다. 그래서 지문을 스캔하면 템플릿으로 변환될 뿐 이미지로 저장되지는 않는다는 의미다.

또한 대부분의 고급 시스템들은 이 템플릿에 비밀번호와 마찬가지로 암호 해싱(Cryptographic Hashing) 알고리즘을 적용하고 그 결과를 저장한다. 여기에 보안을 강화하기 위해 해싱 중에 독특한 또는 무작위 숫자를 조합하여 복구를 더욱 어렵게 만든다.

지문을 스캔할 때마다 휴대폰은 같은 알고리즘 과정을 거치게 되고 그 결과는 저장된 해시(Hash)와 비교한다. 실제 지문이 저장되지 않을 뿐 아니라 NSA가 사용자의 휴대폰을 획득하더라도 지문을 복구하는 것이 불가능에 가깝다.

아이폰은 이미 비밀번호에 이런 과정을 적용하고 있기 때문에 애플이 사용자의 지문 템플릿을 처리할 때도 같은 방법을 사용할 것이라는 추측이다.

지문인식 기술이 현존 최고의 신원인증 방법인 비밀번호를 완전히 대체하기는 어렵겠지만, 상호보완적으로 확장될 것으로 예상된다. 또한, 스마트폰에 지문 스캐너가 탑재되는 사례가 증가함에 따라 지문인식 시장은 점차 확대될 것으로 보인다. editor@itworld.co.kr


X