2015.10.26

"생체인식, 과용해서는 안된다"...프로테그리티 CEO

Maria Korolov | CSO
보안 업체 프로테그리티 USA(Protegrity USA)에 따르면, 지문인식과 같은 생체인식(Biometric) 데이터가 아무런 생각없이 너무 광범위하게 수집되고 있다.

프로테그리티 CEO 수니 문샤니는 "오늘날 주요 은행들 가운데 많은 수가 사용자들이 모바일 기기를 통해 자신의 계정에 로그인하기 위해 생체인식을 사용하고 있다"고 말했다.

수니 문샤니는 "생체인식 접속은 사용자들을 위한 편의를 위해 비밀번호를 대체하는 용도로 사용되면서 아무런 생각없이 너무 많은 기업이 배포하고 있다"며, "생체인식은 좀더 신중하게 사용되어야 한다"고 말했다.

가트너에 따르면, 2016년에는 스마트폰의 40%가 생체인식 센서를 장착할 것이라고 예측한 바 있다.

이와 반면, 파이어아이 연구원 타오 웨이와 위룽 장은 올해 여름 블랙햇 컨퍼런스에서 일부 기기로부터 대규모로 지문을 수거할 수 있다는 것을 시연한 바 있다.

웨이와 장은 자신들의 보고서에서 "모든 벤더들이 지문을 안전하게 저장하지 않는다"며, "일부 벤더들은 자신들이 사용자의 지문을 암호화된 시스템 파티션 내에 저장한다고 주장했지만, 이들은 실수로 사용자 지문을 평문 텍스트나 WORLD READABLE 형태로 저장하고 있다"고 전했다.

예를 들어, HTC 원 맥스(One Max)는 지문을 특권없는 프로세스 또는 앱으로 접속할 수 있는 인식가능한 이미지 파일 형태로 저장했다.

생체인식이 다른 곳에 저장된다면 리스크는 증폭된다. 이 위험은 단지 이론적인 것이 아니다. 지난달, 미국 인사처(the Office of Personnel Management)는 자체 서버에서 560만 개의 지문들을 도난당했다고 시인했다. 이 수치는 지난 여름에 보도한 바 있었던 110만 개를 훌쩍 넘어선 것이다.

이 지문 가운데 일부는 비밀사용허가를 받은 연방요원들도 포함되어 있는 것으로 드러났다.

하나의 비밀번호가 도난 당하면 이는 초기화해 다른 새로운 것으로 대체할 수 있어 비교적 간단하게 처리할 수 있다. 하지만 사용자들에게 새로운 지문, 음성, 또는 홍체를 제공하라고 요구하는 건 현실적이지 않다.

생체인식을 사회보장번호와 같은 다른 영구적인 개인 식별자와 같은 데이터 카테고리에 두고 있다. 생체인식의 사용이 확대되면서 이 데이터들은 공격자들의 주요 표적이 되고 있다.

문샤니는 생체인식을 좀더 바르게 사용하기 위해서는 2단계 제어에 저장되어야 한다고 주장했다.

문샤니는 "이 생체인식 데이터는 유일무이한 것으로 단 한 개뿐이다. 접속 관리를 위해 사용하던 비밀번호와 같은 방법으로 사용되어서는 안된다. 이는 인증(authentication) 대신 허가(authorization)를 위해 사용되어야 한다"고 말했다.

예를 들어, 생체인증은 비밀번호나 주소 변경을 검증하기 위해서나, 또는 새로운 벤더들의 지불결제, 또는 특별히 민감한 회사 시스템에 접속하는 용도로 사용될 수 있다.

문샤니는 "생체 데이터는 더 높은 수준의 관리 방법이 필요하다는데 의심의 여지가 없다"고 말했다. editor@itworld.co.kr


2015.10.26

"생체인식, 과용해서는 안된다"...프로테그리티 CEO

Maria Korolov | CSO
보안 업체 프로테그리티 USA(Protegrity USA)에 따르면, 지문인식과 같은 생체인식(Biometric) 데이터가 아무런 생각없이 너무 광범위하게 수집되고 있다.

프로테그리티 CEO 수니 문샤니는 "오늘날 주요 은행들 가운데 많은 수가 사용자들이 모바일 기기를 통해 자신의 계정에 로그인하기 위해 생체인식을 사용하고 있다"고 말했다.

수니 문샤니는 "생체인식 접속은 사용자들을 위한 편의를 위해 비밀번호를 대체하는 용도로 사용되면서 아무런 생각없이 너무 많은 기업이 배포하고 있다"며, "생체인식은 좀더 신중하게 사용되어야 한다"고 말했다.

가트너에 따르면, 2016년에는 스마트폰의 40%가 생체인식 센서를 장착할 것이라고 예측한 바 있다.

이와 반면, 파이어아이 연구원 타오 웨이와 위룽 장은 올해 여름 블랙햇 컨퍼런스에서 일부 기기로부터 대규모로 지문을 수거할 수 있다는 것을 시연한 바 있다.

웨이와 장은 자신들의 보고서에서 "모든 벤더들이 지문을 안전하게 저장하지 않는다"며, "일부 벤더들은 자신들이 사용자의 지문을 암호화된 시스템 파티션 내에 저장한다고 주장했지만, 이들은 실수로 사용자 지문을 평문 텍스트나 WORLD READABLE 형태로 저장하고 있다"고 전했다.

예를 들어, HTC 원 맥스(One Max)는 지문을 특권없는 프로세스 또는 앱으로 접속할 수 있는 인식가능한 이미지 파일 형태로 저장했다.

생체인식이 다른 곳에 저장된다면 리스크는 증폭된다. 이 위험은 단지 이론적인 것이 아니다. 지난달, 미국 인사처(the Office of Personnel Management)는 자체 서버에서 560만 개의 지문들을 도난당했다고 시인했다. 이 수치는 지난 여름에 보도한 바 있었던 110만 개를 훌쩍 넘어선 것이다.

이 지문 가운데 일부는 비밀사용허가를 받은 연방요원들도 포함되어 있는 것으로 드러났다.

하나의 비밀번호가 도난 당하면 이는 초기화해 다른 새로운 것으로 대체할 수 있어 비교적 간단하게 처리할 수 있다. 하지만 사용자들에게 새로운 지문, 음성, 또는 홍체를 제공하라고 요구하는 건 현실적이지 않다.

생체인식을 사회보장번호와 같은 다른 영구적인 개인 식별자와 같은 데이터 카테고리에 두고 있다. 생체인식의 사용이 확대되면서 이 데이터들은 공격자들의 주요 표적이 되고 있다.

문샤니는 생체인식을 좀더 바르게 사용하기 위해서는 2단계 제어에 저장되어야 한다고 주장했다.

문샤니는 "이 생체인식 데이터는 유일무이한 것으로 단 한 개뿐이다. 접속 관리를 위해 사용하던 비밀번호와 같은 방법으로 사용되어서는 안된다. 이는 인증(authentication) 대신 허가(authorization)를 위해 사용되어야 한다"고 말했다.

예를 들어, 생체인증은 비밀번호나 주소 변경을 검증하기 위해서나, 또는 새로운 벤더들의 지불결제, 또는 특별히 민감한 회사 시스템에 접속하는 용도로 사용될 수 있다.

문샤니는 "생체 데이터는 더 높은 수준의 관리 방법이 필요하다는데 의심의 여지가 없다"고 말했다. editor@itworld.co.kr


X