이론상 안면 인식은 지문 인식보다 더 정확해야 한다. 수학적으로 봤을 때 안면 인식이 지문 인식보다 더 많은 데이터 포인트를 검사하기 때문이다. 하지만 안면 인식을 실제로 사용하다 보면 문제가 발생한다. 휴대폰과 얼굴 사이의 거리가 정확해야 하지만, 사용자는 휴대폰이 안면을 인식하는 정확한 시점을 알 수 없다. 안면 인식을 요청하고 2초 후에 스캔이 진행된다고 해도, 필자의 경험상 40%의 확률로 안면 인식에 실패한다.
애플이 안면 인식을 처음 도입했을 당시에는 다른 가족 구성원의 휴대폰 잠금을 해제할 수 있었다. 일란성 쌍둥이에 국한된 경우가 아니라 부모와 자식 사이에서도 가능했다.
최근 중국에서 발생한 한 사례도 애플의 안면 인식 기술에 고질적인 문제점이 있다는 사실을 증명한다. 중국에서 한 남성이 잠든 여성(전 여자친구)의 눈꺼풀을 강제로 당겨서 안면 인식으로 휴대폰 잠금을 해제한 뒤, 여성의 통장에서 돈을 인출한 사건이다.
우선 이런 사례는 헤어진 여자친구와 다시 만나는 좋은 방법이 아니다. 사이버보안 관점에서 본다면, 모바일 기기에서 사용하는 인증 방법이 다른 기기보다 훨씬 더 엄격해야 한다는 의견에 힘을 실어준다.
가장 좋은 방법은 비밀번호나 핀 번호, 상대적으로 취약한 생체 인증 방식을 날씨 확인과 같은 중요도가 낮은 작업에만 적용하는 것이다. 은행 업무나 소셜 미디어 로그인, 엔터프라이즈 시스템 연결과 같은 작업에는 행동 분석 정보까지 인증해야 한다.
행동 분석 정보를 인증하면 악의적인 행위자가 개인을 흉내 내기 어렵다. 악의적 행위자가 사용자의 휴대폰에 물리적으로 접근할 수 있다는 가정하에, 의식 잃은 사람의 손가락을 갖다 대거나 눈꺼풀을 올려야 잠금을 해제할 수 있기 때문이다. 핀 번호 같은 숫자는 어깨 너머로 알아내기 쉽다.
행동 분석은 핀 번호의 안전도 높일 수 있다. 사용자의 오타 빈도나 정확한 입력 속도, 핸드폰을 잡는 각도 같은 요소는 사용자마다 천차만별이며 흉내 내는 것도 어렵다. 물론 사용자의 IP 주소나 위치, 휴대폰에 묻은 지문은 위조하기 쉽다. 그렇기 때문에 행동 분석을 도입하고, 조작이 쉬운 방법과 어려운 방법을 최대한 섞어서 사용해야 한다.
행동 분석의 대표적인 장점은 백그라운드에서 조용하게 작동한다는 점이다. 마찰 없이 사용할 수 있어 사용자 입장에서 실용적이다. 비밀번호나 생체 인증보다 사용하기 쉽지만, 훨씬 더 엄격하고 신뢰할 수 있는 인증 방법인 셈이다.
마찰이 없다는 것은 사용자가 해당 기술을 더욱 잘 받아들일 수 있다는 의미다. 또한, 백그라운드에서 작동하는 특성으로 인해 악의적 행위자는 시스템이 무엇을 어느 시점에 인증하는지 확신할 수 없다.
CIO와 CISO가 생체 인증에 큰 믿음을 가져서는 안 되는 이유가 여기에 있다. 행동 분석은 범죄자가 사용자의 머리에 총을 겨누고 중요한 기업 파일에 접근하도록 명령하는 것처럼 가장 폭력적이고 공격적인 방법도 막을 수 있다. 협박을 당하는 사용자가 공포감으로 인해 평소보다 오타를 많이 내거나 천천히 입력한다면 IT 담당자가 연락을 취할 것이고, 영상 확인까지 요청하게 되면 공격자는 떠날 것이다. 공격자는 IT 담당자가 이미 경찰을 부른 뒤에 시간을 끄는 것이라고 생각할 수도 있다.
2022년 생체 인증이 매우 중요한 문제가 되는 이유는 모바일 기기를 통해 기업의 데이터베이스에 접근하는 경우가 꾸준히 증가하기 때문이다. 이제 IT팀은 데스크톱에 설치한 보안 도구가 충분하다고 확신할 수 없는 상황에 이르렀다. 또한 보안 도구를 충분히 설치한 노트북을 모든 직원에게 제공하더라도 모바일 기기를 통한 접근을 금지하는 기업은 없다. 코로나19 팬데믹으로 인한 여행 제한이 풀리면서 노트북을 들고 출장을 가는 상황도 점차 생기겠지만, 지금은 공격자, 특히 기업의 특정 시스템에 관심을 갖는 공격자가 모바일을 통한 상호작용에 더욱 집중할 것이라는 사실에 주목해야 한다.
최근 사이버보안 업계에서 가장 화두가 되는 것은 제로 트러스트다. 유의미한 제로 트러스트는 접근 관리와 권한 제어를 엄격하게 검토하고, 강력한 인증 방법을 고민하는 것에서 시작한다. 특히 모바일 기기에서는 인증을 최우선 요소로 여겨야 한다. 모바일 기기에 탑재된 인증 방식에 의존하는 것은 사이버 공격에 가장 최소한으로 저항하는 것이며, 생체 인증을 다양한 인증 절차 가운데 한 단계로 활용해야 한다. editor@itworld.co.kr