얼마 전에 ATM 이용액이 19년 만에 최저라는 뉴스 기사를 접했는데요. 불과 5-6년 전만 해도 OTP 카드를 들고 다니기 귀찮아서 ATM을 찾아가 송금하던 게 생각났어요. 이제는 휴대폰에 등록한 지문이나 얼굴 생체인증으로 편리하고 빠르게 송금이 가능하죠.
금융, 개인정보와 같이 중요한 데이터를 관리하고 변경할 때 사용하는 생체인증, 과연 안전할까요?
생체인증이란?
생체인증(Biometrics authentication)은 사용자의 신체적 특징을 분석하고 인식해서 사용자를 인증하는 방법입니다. 얼굴, 지문, 홍채를 등록하면 간편하게 로그인하거나 보호된 데이터에 접근할 수 있어요. 비밀번호, 패턴과 같은 지식 기반 인증 방법과 대비되는 방법이에요.
생체인증은 Apple에서 2013년에 아이폰 5S에 Touch ID를 탑재하면서 보편화됐어요. 비밀번호를 기억하고 입력하는 것보다 빠르고 간편하고, 상대적으로 스푸핑이나 피싱 공격에 안전하기도 해요. 어깨너머 타인이 비밀번호를 보는 것도 방지할 수 있고요. 바이오매트릭스 리서치 그룹에 의하면 전 세계 생체인증 시장 규모는 2023년에는 478억 달러에 도달했으면 2024년에는 861억 달러로 성장할 것으로 추정합니다.
생체 정보가 정말 안전할까요?
안전한 비밀번호는 대문자, 소문자, 숫자, 기호를 조합해서 다른 사람이 추측하기 어려운 값을 만들어야 된다고 하는데요. 지문, 홍채, 얼굴과 같은 생체 정보가 복잡한 비밀번호를 대체할 수 있을 만큼 안전할까요?
지문은 사람마다 다르기 때문에 범죄 수사에도 사용되죠. 실제로 지문이 누군가와 같을 확률은 1000만 분의 1이라고 합니다. 사람의 홍채는 260여 개의 고유한 패턴을 가지고 있기 때문에 다른 어떤 생체적 특징보다도 개인 간의 차이가 더 뚜렷하다고 합니다. 게다가 왼쪽과 오른쪽 눈의 홍채를 조합하면 타인과 홍채가 같을 확률이 더 떨어져요. 일란성 쌍둥이도, 형제자매도 홍채는 모두 다르고 비슷하지 않아요.
얼굴은 어떨까요? 비슷하게 생길 수도 있고, 사진이나 영상으로 얼굴 기반 생체인증을 해킹당할 위험이 있다고 생각할 수 있는데요. Apple은 무작위로 선택된 사람이 Face ID를 해제할 수 있는 확률은 100만 분의 1 미만이라고 주장합니다. 눈, 코, 입의 특징뿐만 아니라 얼굴의 깊이도 세밀하게 인식하기 때문에 이미지로 잠금을 해제하기도 어렵고요.
생체 정보는 변조할 수 없나요?
하지만 휴대폰의 지문 센서는 크기가 작고, 전면 카메라는 화질이 상대적으로 낮아서 위・변조의 확률이 높아진다는 위험도 제기됐어요. 실제로 2014년에는 독일 해커 단체에서 사진으로 독일 국방부 장관의 지문을 추출하고 복제한 유명한 사례가 있었죠. 최근에는 AI가 발달되면서 딥페이크 기술로 사람의 얼굴을 쉽게 복제할 수 있다는 우려도 일어나고 있어요.
그래서 생체인증의 정확도를 잘 측정하는 것이 매우 중요한데요. 생체인증의 정확도를 측정할 때는 민감도와 오류를 고려해요. 생체인증의 민감도를 너무 낮게 설정하면 정확하지 않은 정보, 즉 다른 사람이 인증을 시도해도 허용될 확률(잘못된 승인, FAR)이 늘어나요. 하지만 보안을 높이기 위해 너무 민감하게 설정하면 올바른 요청도 거절할 확률(잘못된 거부, FRR)이 높아지죠.
이 두 지표가 만나는 교차 오차율(CER) 지점을 기준으로 생체인증의 정확도를 측정하고 있어요. CER이 낮을수록 위・변조 위험도 줄어들어요. 생체인증 기술이 발전하면서 CER도 낮아지고 생체인증 사용이 더욱 안전해지고 있어요. 이런 지표들을 사용해서 생체인증 시스템의 민감도를 적절히 조정하는 것이 해결해야 되는 문제이기도 해요.
그래서 위・변조 위험을 해소하기 위해서 일부 운영체제는 생체 인증에 N번 이상 실패하면 비밀번호 입력을 요청을 해요. FAR을 0에 가깝게 운영하기 위해서죠. 또한 Android에서는 모달리티 테스트 설정을 가이드하고 있어요. 이미 알려진 생체인증 공격을 테스트하고 미리 대응하는 것을 추천하는 것이죠.
정리하자면 생체 정보는 충분히 사람마다 다르고, 그것을 구별하는 기술도 상당히 발달했기 때문에 일반적으로 사용할 때는 위험이 없어요. 하지만 악의적인 목적을 가지고 생체 정보를 위・변조한다면 생체 인증도 해킹당할 위험이 있습니다. 그래서 민감도를 적절히 조절해서 안전한 생체인증 시스템을 개발하는 기술이 중요해요.
생체 정보는 유출 위험이 없을까요?
하지만 비밀번호도 빈번히 유출되는 마당에 내 생체 정보가 해킹 당하거나 유출되지 않을까요? 비밀번호는 바꿀 수 있지만 생체정보는 바꿀 수 없기 때문에 유출되면 더 치명적인데요. 결론부터 말하자면 생체 정보는 비밀번호보다 유출되기 훨씬 어렵습니다. 비밀번호는 온라인상이나 특정 기업의 데이터베이스에서 저장되는 반면, 생체 정보는 사용자의 기기에만 저장됩니다.
조금 더 자세히 알아볼게요. 운영체제, 기기마다 차이가 있지만 일반적으로 생체 정보를 휴대폰에 등록하면 다음과 같은 과정이 일어나요.
-
사용자가 생체 정보를 센서 및 카메라에 등록해요.
-
알고리즘을 이용해서 생체 정보의 특징을 수학적 데이터로 표현해요.
생체 정보를 해싱 알고리즘으로 문자열로 바꿀 수도 있고, 암호화 알고리즘을 사용해서 복호화 키 없이는 읽을 수 없는 템플릿으로 만들 수도 있어요. 지문 및 얼굴 이미지가 저장되는 것이 아니라, 누군가 가로채도 해석하기 불가능한 데이터죠. -
변환된 데이터를 휴대폰 내에 안전하게 분리된 환경에 저장해요.
휴대폰의 메인 프로세서와 분리되어 보안이 높은 신뢰실행환경(TEE)에 데이터를 저장해요. TEE에 저장된 데이터는 외부에서 접근 및 변경할 수 없어요. 생체 데이터는 기기 내에 있는 TEE에만 저장되고, 운영체제를 만든 제조사 및 외부 서버에 일절 노출되지 않아서 유출 위험이 매우 낮아요. -
사용자를 인증할 수 있는 암호화 키 세트를 생성합니다.
생체 데이터의 비밀 키(Private Key)와 공개 키(Public Key) 세트가 생성됩니다. 비밀 키는 생체 데이터와 마찬가지로 기기의 TEE를 떠나지 않는 반면, 공개 키는 서버로 전달돼요. 서버에서 사용자 인증을 신청하면 기기는 비밀 키로 요청을 서명합니다. 서버는 공개 키로 서명을 확인하고 최종적으로 사용자를 인증합니다.
휴대폰 생체인증은 대체적으로 위와 같은 방법으로 소프트웨어, 하드웨어 측면에서 생체 데이터를 보호하기 때문에 일반 비밀번호를 사용하는 것보다 더 안전하다고 볼 수 있습니다. FIDO Alliance에서는 비밀번호의 의존도를 낮추고 생체인증 및 하드웨어 인증을 통해서 더 안전하고 편리한 서비스를 만드는 것을 목표로 표준 스펙을 공개하고 있어요.
생체인증의 미래
앞으로는 금융, 잠금 해제를 넘어서 더 많은 영역에 생체인증 기술이 적용될 예정이라고 합니다. 사물 인터넷(IoT)이 확대되면 생체인증도 같이 확장되어 자동차, 주택 등 생활 범위에 더 많이 적용될 것으로 예상돼요. 또한 주민등록증 대신 생체인증으로 내 신원을 증명하는 세대도 열릴 것으로 보여요.
Writer 박수연 Graphic 이은호, 이나눔
참고한 콘텐츠
토스페이먼츠 Twitter를 팔로우하시면 더욱 빠르게 블로그 업데이트 소식을 만나보실 수 있어요.
