대부분의 사람들은 예전에 쓰던 기억하기 편한 비밀번호를 변함없이 계속 쓴다. 새 비밀번호를 만들면 필연적으로 그것을 기억하려고 애써야 하기 때문이다. 이것이 바로 해커들이 찾고 있는 보안 취약점이다.
멍청한 비밀번호를 만들지 않기 위한 3단계
2014년 최악의 비밀번호도 '123456'과 'password'…전년보다 감소
이로 인해 사람들은 좀더 나은 보안과 신원인증을 위한 비밀번호를 대체할 무언가를 찾고 있으며, 수없이 많은 방법들이 등장했다.
“비밀번호를 대체할” 차세대 신원 인증 기술 - IDG Tech Report
인텔과 맥아피, 비밀번호를 대체할 생체 인증 기술 개발
“암호를 버려라” 획기적인 보안 ID 기술 8선
이 가운데 가장 대표적인 차세대 신원 인증 기술이 바로 생체 인증이다. 생체 인식은 각 개인의 독특한 생체정보를 판별해 사용자를 인증하는 보안기술이다. 생체 인증에는 지문, 얼굴, 망막, 공막, 귀, 홍채, 정맥, 심박수, 뇌파 등 선천적인 신체 정보나 음성, 걸음걸이, 글씨체 등 후천적으로 습득한 특징의 패턴을 추출하는 것이 기본 원리다.
ITWorld 용어풀이 | 생체인식 기술
“비밀번호를 대체할” 생체인식 기술 동향
급속도로 성장하는 생체인식 보안 기술
“비밀번호의 시대는 안녕!” MWC 2015에 등장한 생체 인식 기술들
특히 마이크로소프트는 윈도우 10에서 비밀번호를 대체할 인증수단을 도입할 계획을 세우고 있다. FIDO(Fast Identity Online) 얼라이언스에 합류한 마이크로소프트는 윈도우 10에 생체인증 시스템인 윈도우 헬로(Windows Hello) 기능을 소개했다.
윈도우 헬로는 생체 인증 시스템으로 사용자의 얼굴, 홍채, 지문을 통해 기존 암호 방식보다 안전하게 기기의 잠금을 해제할 수 있다. 편리하고 간편한 방식이지만 일부 기관의 엄격한 요구와 규정을 준수하는 엔터프라이급 보안을 제공한다.
MS, 윈도우 10에 생체인식 기술 확장한다...”비밀번호보다 안전”
이처럼 생체인식 기술은 이미 우리 생활 속에 바짝 다가왔으며, 이 가운데 상용화된 기술은 지문인식, 안면인식, 홍채인식, 정맥인식 등이 있다. 특히 지문인식 기술은 가장 대표적인 생체인식 기술로 꼽힌다.
지문의 경우 평생동안 같은 형태를 유지하며, 상처가 생겨도 변하지 않는다는 고유한 특성과 다른 인식 수단보다 신뢰도와 안정성이 높다고 평가받는다. 1684년 영국 왕립 협회(Royal Society) 소속이었던 네에미아 크류가 처음으로 사람의 지문이 서로 다르다는 것을 알게 되면서 지문인식 기술이 발전하게 됐다.
ITWorld 용어풀이 | 지문인식
지문 인증된 사람만 쓸 수 있는 '스마트 건'
지문인식은 출입문 등에 설치해 기업의 출퇴근, 근무태도관리, 학원의 출결관리, 스마트 건 등에 쓰이곤 했으며 전자상거래 보안과 사용자 인증에서 신원 확인용으로 사용되고 있었다.
2013년 9월, 애플이 자사의 아이폰 5s에 지문인식 기술인 터치 ID(Touch ID)를 내장하면서 지문인식은 비밀번호를 대체할 강력한 주자로 발돋움했다. 애플의 터치 ID는 2012년 지문 센서 전문업체인 오쓴테크(AuthenTech)를 인수하면서 거둬들인 기술이다.
지문인식 기술은 크게 광학식과 정전식으로 나뉘는데, 광학 인식기는 디지털 카메라로 사용자의 지문 사진을 촬영한다. 애플은 정전식을 선택했는데, 이는 사용자의 피부를 활용하는 기술이다.
지문이 존재하는 피부의 바깥 층은 비전도성인 반면에 그 뒤의 피하층은 전도성이다. 아이폰의 지문 센서를 만지면 지문에서 튀어나온 부분으로 인해 야기되는 전도성의 미세한 차이를 측정하고 이 측정치를 이용해 이미지를 구성한다.
애플은 이 센서를 홈 버튼에 내장하고 센서를 켜면서 신호 오류 감소에 도움이 되는 링을 추가했다. 또한 이 링도 손가락에 약간의 전원을 가하여 신호를 증폭하고 정류하는 기능을 하는 것 같다.
애플의 오쓴테크 인수 : 생체인식 기술의 장점과 한계
애플이 아이폰에 지문센서를 추가하려는 이유
아이폰 5s 지문인식 터치 ID에 대한 모든 것
엄청난 관심 속에서 아이폰 5s에 탑재된 지문인식 기술은 그 편리함에 사용자 호감도는 상승했지만, 처음부터 예견되었던 여러가지 문제점과 한계에 봉착했다. 같은 손가락이더라도 갖다대는 방향에 따라, 날씨에 따라, 조건에 따라 인식을 실패하는 경우가 발생한 것이다.
‘지문인식이 잘 안돼요!’ 아이폰 5s 터치 ID 문제 해결 가이드
특히 고해상도로 촬영해 이를 인쇄한 지문으로도 터치 ID 인식시스템을 작동시킬 수 있는, 치명적인 보안상 결함이 발생했다. 애플은 터치 ID를 적용한 아이폰 5s에 공개하면서 "지문은 항상 휴대할 수 있고 똑같은 사람이 아무도 없어 현존하는 최고의 비밀번호"라고 설명했다. 그러나 한 해커는 지문 해상도를 높여 촬영하는 방식으로 터치 ID를 해킹하는 시연을 보였다.
"애플 터치 ID, 촬영해 인쇄한 지문으로도 해킹 가능"
보안 전문가들은 지문인식이 유일한 보안 수단으로 사용돼서는 안되며 다른 방식과 함께 사용해야 한다고 지적해 왔다. 지문을 촬영해 비슷하게 만들면 지문 인식기를 통과할 수 있다는 것이다.
지문인식시스템, 일주일 만에 해킹
갤럭시 S4에서 안면인식 기술을 도입했던 삼성은 2014년 2월 출시한 갤럭시 S5에서부터 지문인식 기술을 도입했다. 삼성은 지문인식 기술인 패스(Pass)을 통해 잠금 화면 해지, 갤러리 내 사진 보호 등을 설정할 수 있으며, 특히 모바일 결제 서비스를 지원했다. 또한 갤럭시 S5의 지문 센서를 서드파티 개발자들이 사용할 수 있도록 개방하면서 애플의 터치 ID와 차별화를 꾀했다.
삼성전자, '갤럭시 S5' 공개 ... MWC 2014서 삼성 모바일 언팩 개최
삼성, 갤럭시 S5 지문 센서 개발자에게 개방
그러나 갤럭시 S5 또한 애플 아이폰 5s와 같은 방법으로 지문인식 기능이 뚫렸다. 진짜 손가락 대신 이를 복제한 가짜 지문으로 잠금해제를 성공한 것이다. 이런 삼성 지문인식의 취약점이 애플 터치 ID보다 심각하게 받아들여진 것은 바로 페이팔(Paypal) 결제와 연동되어 있기 때문이다.
갤럭시 S5 지문인식, 가짜 지문에 뚫려… 아이폰 5s 때와 같은 방식
이런 논란에도 불구하고 지문인식 기술은 스마트폰의 핵심 기능으로 자리잡았다. 구글이 차세대 안드로이드 운영체제인 안드로이드 M에 지문인식 기술을 통합함으로써 앱 개발자와 서비스 제공자가 이 기술을 자사의 서비스에 손쉽게 적용할 수 있게 될 것으로 보인다. 예를 들면, 타깃(Target) 계정에 로그인할 때 아이디와 비밀번호를 입력하는 대신 손가락을 '터치'만 하면 된다.
지문인식 센서, 더 많은 스마트폰에 탑재된다
특히 안드로이드 M의 표준형 지문인식 지원은 스마트폰의 잠금을 손쉽게 해제하고 안드로이드 페이(Android Pay) 결제를 인증하고 플레이 스토어에서 아이템을 구매할 수 있게 됐다.
“안드로이드 페이와 지문인식, 개별 권한 설정 등” 안드로이드 M 미리보기
주니퍼 리서치의 연구 책임자 윈저 홀든은 생체인식 정보를 보관하고 있는 서버가 해킹되는 것이 가장 큰 걱정이라며, "한 개인의 생체인식 정보를 도난당하면, 도난 당사자에 매우 심각한 결과를 초래할 수 있다"고 말했다. 사용자의 비밀번호가 유출되면 사용자는 비밀번호를 바꿀 수 있지만, 생체인식 정보는 그렇지 못하기 때문이다.
하지만 이는 생체 정보가 저장되는 것이 스캔한 정보를 그대로 저장하는 것이 아니라 수학적 알고리즘을 거친다. 예를 들어, 지문을 스캔하면 수학적 알고리즘을 거쳐 지문 템플릿을 생성하는데, 이 템플릿은 손가락의 일부를 대변하며, 저장된 이미지가 아니다. 그래서 지문을 스캔하면 템플릿으로 변환될 뿐 이미지로 저장되지는 않는다는 의미다.
또한 대부분의 고급 시스템들은 이 템플릿에 비밀번호와 마찬가지로 암호 해싱(Cryptographic Hashing) 알고리즘을 적용하고 그 결과를 저장한다. 여기에 보안을 강화하기 위해 해싱 중에 독특한 또는 무작위 숫자를 조합하여 복구를 더욱 어렵게 만든다.
지문을 스캔할 때마다 휴대폰은 같은 알고리즘 과정을 거치게 되고 그 결과는 저장된 해시(Hash)와 비교한다. 실제 지문이 저장되지 않을 뿐 아니라 NSA가 사용자의 휴대폰을 획득하더라도 지문을 복구하는 것이 불가능에 가깝다.
아이폰은 이미 비밀번호에 이런 과정을 적용하고 있기 때문에 애플이 사용자의 지문 템플릿을 처리할 때도 같은 방법을 사용할 것이라는 추측이다.
지문인식 기술이 현존 최고의 신원인증 방법인 비밀번호를 완전히 대체하기는 어렵겠지만, 상호보완적으로 확장될 것으로 예상된다. 또한, 스마트폰에 지문 스캐너가 탑재되는 사례가 증가함에 따라 지문인식 시장은 점차 확대될 것으로 보인다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.