신원 확인과 튜링 테스트의 평행 이론
영화의 주된 흐름은 1950년 튜링 테스트(Turing Test)와 연결된다. 현대 컴퓨팅의 아버지 앨런 튜링은 사람이 AI와 대화하면서 대화 상대가 AI임을 알아채지 못할 때 진정한 AI가 완성될 것이라고 말했다. 즉, 대화에서 AI 봇이 실제 인간 파트너로 인식되는 것이다.
이 튜링 테스트와 오늘날의 디지털 신원 확인 간에는 흥미로운 평행 이론이 성립한다.
시티그룹(Citigroup)의 글로벌 정보 보안 책임자인 밥 블레이클리는 신원 문제에 대한 흥미로운 사고 모델을 제시했다. "3명을 위해 차려진 테이블"이라는 이 모델은 다음과 같다.
3명에 맞춰 준비된 저녁 식사 테이블이 있다. 여기서 3명이란 온라인 은행, 고객, 그리고 사기꾼이다. 그런데 불이 꺼졌다. 여러분은 은행이라고 가정하고 대화를 통해 누가 고객이고 누가 사기꾼인지 판단해야 한다. 고객과 사기꾼 모두 자신이 존 스미스이며 1960년 7월 2일생이라고 주장한다. 은행은 질문을 한다. 그러나 사기꾼과 고객은 현재와 과거의 주소, 생년월일, 모친의 결혼 전 성, 이전 및 현재의 자동차 대출금과 모기지 관계, 출신 학교, 좋아하는 색에 대한 질문에 동일하게 설득력있는 답을 제시한다.
이 기법을 지식 기반 인증(knowledge-based authentication, KBA)이라고 한다. KBA의 개념은 정당한 고객만이 알 법한 질문만 하는 것이다. 고객은 쉽게 대답하겠지만 사기꾼은 답하기 어려울 것이다. 그러나 지금은 아이러니하게도 그 양상이 뒤바뀌었다. 즉, 이런 질문은 고객에게는 어려운 질문이고 사기꾼에게는 쉬운 질문이다. 사기꾼은 소셜 미디어와 다크 웹에서 수집한 풍부한 신원 정보로 무장하고 있다.
예를 들어 고객은 최근 대출 계약을 한 상대방이 누구인지 금방 잊기 때문에 이 테스트를 통과하지 못하는 경우가 많다. 게다가 정당한 사용자는 누군가가 신원을 도용하고 있다는 것을 알 방법이 없다.
이것이 현재 디지털 신원 확인의 현실이다.
지금 필요한 것은 서비스 공급자 관점에서 신뢰할 수 있고 효과적인 동시에 고객이 수행 가능하고 편안하게 느낄 수 있는 디지털 신원 확인 방법이다. 무엇보다 고객의 개인정보 보호 수준을 낮추는 것이 아니라 더 높여야 한다.
고전적인 튜링 테스트는 AI 페르소나가 인간을 속일 수 있을 때 충족된다. 디지털 신원에서 우리의 목표는 다크 웹이 인간을 속일 수 없을 때 충족되는 평행 테스트를 만드는 것이다.
성공적인 디지털 신원 확인은 고객을 서비스에 등록시키기 위한 프로세스가 정립되고 이 프로세스에서 고객이 자신이 공유하는 정보에 대한 완전한 통제권을 가질 때 충족된다.
현재 고객은 서비스에 등록할 때 자신의 신원을 입증하고 이후 방문에서 접근 권한을 얻기 위해 본인에 대한 일부 정보를 노출해야 한다. 더 안전한 디지털 신원 확인으로 발전하기 위한 방법은 이렇게 공유되는 정보의 양과 민감도가 제공되는 서비스의 가치와 비례하도록 하는 것이다.
성공적인 인증 솔루션의 좋은 예이자 글로벌 결제 시스템을 안전하게 유지하는 데 기여한 것은 복제와 변조가 어렵고 4자리 핀 코드로 손쉽게 사용할 수 있으며, 은행과 사용자가 함께 문제를 모니터링하고 해결하는 EMV 칩 카드의 사용이다. 은행은 분석과 사용자 행동을 통해 패턴을 벗어난 거래를 신속하게 탐지하고 카드가 분실되거나 도난당한 경우 카드 사용을 정지시킨다.
이는 복구에 대한 동기(motivation to recover)라는 개념을 중심으로 한다. 복구에 대한 동기는 두 가지 프로세스로 구성된다. 먼저 사용자가 문제를 인지하고, 그 다음 신속하게 행동해서 신뢰할 수 있는 서비스 측, 즉 은행에게 문제를 알린다.
고객은 방어 메커니즘과 같은 중요한 항목에 대해서는 적극적으로 신고하고 교체하지만 사소한 항목에 대한 비정상적 활동은 신고하지 않는 경우가 많고, 이는 악의적 공격자가 손쉽게 정보를 해킹하거나 훔칠 수 있는 기회가 된다.
이 개념을 디지털 신원 확인에 적용하려면 어떻게 해야 하는가? 사용자가 적극적으로 참여할 만큼 간편하면서도 무단 거래에 속아넘어가지 않도록 보호할 수 있는 사용자 절차를 어떻게 구축할 것인지를 결정해야 한다.
사용자가 적극적으로 복구하고자 하는 요소(예: 은행 카드, 휴대 전화, 운전면허증 등)를 바탕으로 한 신원 확인 서비스는 공격자를 무력화시킨다. 해커는 1)사용자의 정보를 훔쳐야 하고 2)훔친 정보에 침투해야 하며 3)사용자가 자신이 분실한 것을 비활성화하기 위해 행동하는 것을 막아야 한다. 이를 모두 무력화하는 신원 시스템을 구현한다면 해당 시스템은 신원을 위한 튜링 테스트에 통과할 것이다.
올해 최대 유행어 가운데 하나이며 안전한 디지털 신원 확인을 향한 일보 전진은 블록체인(blockchain)이다. 블록체인은 소비자 개인정보, 보안, 디지털 신원 확인을 위한 새로운 접근 방법의 근본적인 요소가 될 잠재력을 가졌다.
전세계 기업과 정부는 분산 원장(distributed ledger) 방법론이 결제부터 신원 확인, 보안에 이르기까지 모든 부분을 개선할 수 있다는 점을 본격적으로 인지하기 시작했으며, 다음 세대의 온라인 서비스를 위한 상품을 구축하는 혁신적인 새로운 접근 방법을 계획하기 시작했다.
이는 현재의 디지털 신원 확인을 개선하기 위한 훌륭한 첫 걸음이며, 개인적이고 안전한 디지털 신원 확인 생태계를 달성할 날이 머지 않았다는 인식에 확신을 더해주는 현상이다. editor@itworld.co.kr