[테크M=글  김재성 한국정보보호학회 바이오인증연구회 위원장 ]

2016년 세계경제포럼에서 언급된 4차 산업혁명은 정보통신기술(ICT) 기반 새로운 산업시대 출현을 예고하고 있다. 

인공지능, 사물인터넷(IoT), 빅데이터, 클라우드 컴퓨팅, 모바일 등 지능정보기술이 기존산업과 서비스에 융합돼 스마트 팩토리, 스마트시티, 핀테크, 자율주행차, 맞춤형 원격의료서비스 등 사회전반에 걸쳐 새로운 서비스 창출이 기대된다.

이와 관련해 주목할 만한 국가는 독일이다. 지멘스, BMW, SAP 등 독일의 글로벌 기업들은 2013년부터 ‘인더스트리 4.0’이란 슬로건 아래 사업 구조를 재편하고 있다.

인더스트리 4.0은 실물과 디지털 영역이 서로 융합되어 실물에서 디지털로, 다시 디지털에서 실물로 연결되는 ‘사이버-물리시스템(CPS)’이 핵심.  컴퓨팅과 네트워크, 센서와 구동장치, 여기에 ICT가 잘 녹아들어야 제대로 된 CPS 구현이 가능해진다.

CPS는 보안 측면에서도 시사하는 바가 크다. CPS에 담긴 개념은 사이버 영역의 보안 피해가 현실 세계 보안 및 안전문제로 전이될 수 있다는 것을 의미한다.

가트너는 2020년까지 전체 보안위협의 20%가 IoT와 관련 있을 것으로 전망하고 있다.

새로운 서비스와 스마트 기기를  안전하고 편리하게 이용할 수 있도록 지원하는 정보보호기술의 진화가 더욱 요구되고 있는 상황이다. 이런 가운데 생체인증이 CPS 보안 구현을 위한 매력적인 기술로 떠오르고 있다.

4차산업혁명에 적합한 인증 인프라

특히, CPS 기술 환경 변화에 따라 스마트폰, 웨어러블 디바이스 등과 같은 스마트 기기를 이용하는 제4차 산업혁명에서의 사물과 사람에 대한 비대면 인증기술의 중요성은 점점 커지고 있다.

비대면 인증기술은 스마트폰, 태블릿 PC 등을 이용한 모바일 지급결제 서비스, 스마트워크, 스마트홈, 인터넷 전문은행, 웨어러블 디바이스를 이용한 심박수 측정 등 건강정보 모니터링서비스 등 일상 생활 속에서 이미 널리 사용되고 있다.

이러한 환경에서 대포통장, 대포폰 등과 같이 비인가된 사용자에 의한 스마트기기 도용과 서비스 불법사용과 같은 보안 위협이 크게 늘었다. 지능화· 고도화된 공격기법들이 출현함에 따라 보다 안전한 비대면 인증기술에 대한 진화·발전이 요구되는 상황이다.

비대면 인증기술 중 현재 일반적으로 쓰이는 것으로는 공인인증서에서 활용되는 소지 기반 공개키기반구조(PKI) 기술과 사람의 생체특징을 이용한 생체인식 기술이 있다.

최근 공인인증서 분실 및 비밀번호 유출, 액티브X 보안 취약점과 같은 위협이 늘면서 공인인증서 보안 기능 강화 측면에서 스마트폰 저장매체에 복잡한 비밀번호 대신에 생체인식기술을 결합, 액티브X 없이 공인인증서를 이용할 수 있는 FIDO기반 공인인증서비스가 나와 있다.

2017년 7월 현재, 한국인터넷진흥원(KISA)에서 이같은 PKI와 생체 인식 기술을 결합해 발급한 공인인증서는 35만9508건으로 대부분 금융권 스마트폰 뱅킹, 온라인 증권서비스 등에 활용되고 있다.

공인인증 방식과 달리 사람의 신체를 곧바로 비밀번호로 활용 가능한 생체인식 기술은 사람의 신체와 행동적 특징을 이용한다.

이를 기반으로 스마트폰· 웨어러블 등 스마트 기기에 대한 기기 인증 및 핀테크, 개인 맞춤형 원격진료 분야, 스마트카, 스마트 시티, 스마트 팩토리 등 광범위한 분야에서 편리한 비대면 인증수단으로 활용될 수 있다.

생체인식은 온라인을 넘어 오프라인까지 디지털화하는 4차 산업혁명 환경에 적합한 기술이라고 할 수 있다.

차세대 기술로 진화하기 위한 조건

생체인식도 보안 위협으로부터 100% 안전하다고 볼 수는 없다. 최근 들어 스마트폰에 생체인식 기술이 널리 보급됨에 따라, 이를 겨냥한 공격도 확산되는 추세다. 독일 해커 그룹이 최신 스마트폰에 탑재된 지문·얼굴·홍채 등 생체정보에 대한 위조 공격을 시도한 사례도 등장했다. 

생체 정보 위·변조 방지를 위해 2015년 12월 미국 국립기술표준원(NIST)은 국제표준인 PAD(Biometric Presentation Attack Detection)를 제정했다.

미국·유럽 등 주요 선진국에서는 모바일 생체인식 제품에 대한 위·변조 탐지를 위해 금융권을 중심으로 PAD 시험 기술 및 정부차원의 시험 인증서비스를 준비 중이다. 국내서도 KISA, 한국바이오인식협의회(KBID).를 중심으로 관련 기술에 대한 KS국가표준 제정과 생체인식 위·변조 방지 기술을 개발 중이다.

방통위(민간분야)· 행안부(공공분야) 등 정부기관도 생체정보보호 가이드라인 개정안에 이에 대한 기술적· 관리적 보호조치를 반영할 계획이다.

KISA는 현재 신체적 특징의 생체인식 기술에 대한 위·변조 위협에 능동적으로 대응하기 위해 지속적인 인증이 가능하고 위변조에 강한 심전도·심박수 등 생체 신호를 이용하는 텔레 생체 인식 기술을 스페인·미국과 공동으로 준비하고 있다.

2016년 6월부터 연구에 착수했고, 2018년 말 상용화를 목표로 개발을 진행 중이다.

지문·심전도·심박수 등 다중 생체신호 인증 플랫폼이 개발되면, 웨어러블 디바이스를 통한 생체 신호 측정과 함께 스마트폰 등을 통해 모바일 지급결제, 개인 맞춤형 원격진료, 자율주행차에 대한 원격시동 등의 차세대 인증 기술로 발전될 전망이다.

충북대와 KISA가 공동 개발한 ITU-T SG17 X.bhsm. 국제 표준을 접목해 PKI 국산 기술에 생체 인식 기술을 융합·발전시킨다면 주요 개발도상국 시장에 진출하는 것도 가능하다는 판단이다.

 <본 기사는 테크M 제55호(2017년 11월) 기사입니다>