"비밀번호 없이 음성과 행동양식을 통해 신원을 증명한다"…패스워드-프리 보안

뉘앙스 커뮤니케이션즈(Nuance Communications)가 제안하는 음성 기반의 계정 보안 기법이 전통적인 비밀번호 방식에 지친 사용자들에게 새로운 대안으로 주목받고 있다.

뉘앙스의 음성 인증 기술은 전통적인, 그리고 종종 취약점을 드러내는 비밀번호 인증 시스템을 대체할 차세대 기술 가운데 하나다. 뉘앙스 측은 이것이 기존의 비밀번호가 지닌 해킹의 가능성에서 좀더 자유로운 솔루션이라고 설명한다.


Credit: Nuance Communications

뉘앙스의 제품 전략 책임자 브렛 버라넥은 "사용자의 음성 검증을 위해 우리는 음성에 대한 100가지 이상의 특성을 분석한다"고 설명했다.

비밀번호의 한계
해커들의 비밀번호 도용이 일상화되며 이를 넘어선 인증 방법론을 개발하는 것은 시급한 과제로 대두되고 있다. 지난해만 해도 야후, 링크드인, 드롭박스 등 시장의 주요 IT 기업들이 이메일 계정, 해시화된 비밀번호가 담긴 계정 정보을 대규모로 유출한 바 있다.

이런 정보는 해커들이 이메일 계정을 통해 정보를 약탈하는데 이용될 수 있다. 지난해 미국 대선 기간에는 러시아의 사이버 스파이 집단이 이런 방식으로 정치인들의 정보를 유출해 논란이 되기도 했다.

보안 업체로서 뉘앙스는 이런 상황을 바꿀 방법을 고민해왔다. 이미 은행, 금융 업체들이 뉘앙스의 음성 인식 기술을 사용자 신원 확인에 이용하고 있다.
뉘앙스의 베라넥은 "이 방식은 비밀번호보다 안전하다. 도입한 기업에 따르면 이 솔루션을 도입한 이후 PIN, 비밀번호를 이용하던 때와 비교해 보안 사고가 유의미하게 감소한 것으로 확인됐다"고 말했다.

뉘앙스의 기술은 2001년 고객 콜센터를 첫 고객으로 삼아 시장에 진출한 후 금융 관련 모바일 앱, 기업용 보안 PC 등 그 지원 영역을 넓혀가고 있다.
베라넥에 따르면, 모든 인간은 자신의 후두, 비강, 치열 형태에 따라 각각의 고유한 목소리를 가지고 있다. 음조나 발화 리듬 등 역시 음성을 판단하는 기준이 될 수 있다.

뉘앙스의 음성 인식 기술은 이런 차이점들을 분석해 발화자의 신원을 확인한다. 베라넥은 "자사의 솔루션은 성대모사, 디지털 녹음, 인조 음성 등을 통해 시스템을 속이는 시도 역시 차단할 수 있다"며, "일란성 쌍둥이 간의 음성 구분 역시 대부분의 경우 문제없다"고 설명했다.

사용자 행동양식 검증
비밀번호를 대체하는 것을 넘어, 이미 침입한 해커를 보안 시스템이 감지하고 쫓아낼 수도 있을까?

시큐어어스(SecureAuth)는 이 분야를 연구하는 기업이다. 이 업체는 사용자의 계정에서 발생하는 비정상 활동을 감지하는 기능을 포함한 '비밀번호 없는(passwordless)' 기업용 시스템을 지원한다.


Credit: SecureAuth

시큐어어스 CTO 키스 그레이엄은 "자사의 솔루션은 지문 인식 스마트폰 등 사용자들이 이미 보유하고 있는 기기를 활용하는 방식으로 운영된다"고 설명했다.

이는 기본적으로 하드웨어가 비밀번호를 대체하는 방식이다. 시스템에 접속하면 지문 인식을 통해서만 잠금 해제가 가능한 알림이 사용자의 휴대폰으로 전송된다. 그리고 이 알림을 클릭하면 자동으로 시스템에 접속되는 것이다.

이에 더해 시큐어어스의 인증 프로세스는 로그온을 완료한 사용자라도, 이후 비정상적인 행동양식이 포착되면 이를 감시하는 기능까지 갖추고 있다. 키보드 입력, 마우스 이동, 로그인 장소 및 시간, 기기 인증 설정 등의 변화가 시스템이 감지하는 이상 징후다.

이런 방식을 통해 시큐어어스는 시스템에 접근한 사람이 정상적인 사용자인지, 해커인 지를 구분한다. 그레이엄은 "자물쇠가 아무리 튼튼하더라도 침입자는 들어올 수 있다. 이들을 신속히 감지, 추방하는 것 역시 보안 시스템에 요구되는 기능이다"고 강조했다.

잠재적 문제들
가트너의 분석가 데이빗 마흐디는 미래의 인증 시스템은 '부정 행위 감지자'에 좀더 가까운 형태로 진화할 것이라고 전망했다. IT 기업들이 수집하는 사용자에 대한 데이터가 증가함에 따라, 일반적인 행동양식과 의심스런 활동을 구분하고, 이를 통해 침입자를 감지하는 활동은 보다 보편화될 것이라는 게 마흐디의 시각이다.

마흐디는 "접근 가능한 데이터 포인트가 증가하면, 판단의 정확도 역시 향상된다"고 말했다.

구글, 마이크로소프트 등의 업체들 역시 안면 인식, 걸음걸이와 같은 생체 정보에 기반한 인증 시스템 개발에 투자하고 있다. 시장 전문가들은 이런 기술들이 상용화되며 비밀번호를 대체하는 것을 시간 문제라고 내다본다.

그러나 마흐디는 "이와 같은 인증 방식에 대한 산업 표준의 부재는 해결해야 할 문제"라고 말했다. 더불어 여전히 많은 기업이 레거시 시스템에 의존하고 있으며, 업그레이드로 인해 여기에 변화가 발생하는 것에 대해 거부감을 가지는 문제 역시 고민이 필요한 부분이다.

마흐디는 "지문 인식은 오늘날 많은 노트북이 지원하고 있는 기능이다. 하지만 기업 차원에서 이를 실제로 이용하는 곳은 극히 적다. 노트북들이 특정 드라이버를 가지고 있고, 이것들에 업데이트를 적용하기가 어렵다는 것이 이유였다"고 설명했다.

또한 지문인식, 음성인식 등 생체인식 시스템 자체의 한계 역시 분명히 존재했다. 예를 들어 휴대전화의 배터리가 소진되거나, 주변 소음이 지나치게 시끄러운 환경 등에서 인증에 제약이 있을 수 있는 것이다.

마흐디는 "모든 방식은 각자의 장단점을 지니고 있다. 만능 열쇠는 어디에도 없다"고 말했다.

뉘앙스 커뮤니케이션 역시 자신들의 시스템이 지닌 한계를 인정했다. 후두염을 비롯한 발성 기관 관련 질환이 발생하는 경우, 음성 인식 기술이 온전히 작동하지 못할 가능성이 존재하는 것이다.

그러나 이들 업체는 자신들의 솔루션이 유출, 망각의 위험이 존재하는 기존의 비밀번호에 비해서는 분명 한 단계 진일보한 방식이라 강조했다. 뉘앙스의 제품은 다른 기술과 결합해 2요소 인증 도구로 활용할 수 있다. 베라넥은 "우리의 솔루션은 지문 등 다른 생체인식 도구와 함께 이용할 수 있다"고 말했다. editor@itworld.co.kr