지문 인식과 홍채 인식, 편리함 속에 숨은 생체인식 기술의 보안 불완전성

여러분 중 대다수는 아마 이 글을 스마트폰을 이용해 읽고 계실 겁니다. 스마트폰이 널리 보급되면서, 이제는 PC보다 모바일 환경에 익숙한 분들이 더 많을 것 같습니다. 스마트폰으로 검색, 포털 사이트 이용뿐만 아니라 사진 촬영, 음악 및 영상 감상, 인터넷 쇼핑, SNS 활동, 각종 은행 업무까지 가능한 세상이 되었습니다. 특히나 모바일 뱅킹은 우리 일상에 어마어마한 변화를 불러일으키고 있는데요, 예금 가입부터 공과금 납부, 카드 발급, 외화 환전, 펀드 등 다양한 업무를 어플리케이션 하나로 수행할 수 있게 되었습니다.

노트북 없이는 살아도, 스마트폰 없이는 살 수 없는 세상이 되었다.

스마트폰이 널리 보급됨과 동시에 보안을 위해 은행 어플리케이션을 사용하기 위해서는 비밀번호 같은 안전장치를 설정해야 합니다. 4~8자리 숫자로 이루어진 PIN(Personal Identification Number) 비밀번호부터 패턴, 생체 인식에 속하는 지문이나 얼굴 인식 등 다양한 방법으로 현재 우리는 개인정보를 지키고 있습니다. 하지만 그 중에서도 최근에는 외부에 노출되기 쉬운 PIN이나 패턴 대신 생체 인식을 많이 요구하는 추세입니다. 간편함 측면에서도 여러 번 손가락을 움직이는 방식보다는,, 손가락 한 번 가져다 대는 지문 인식이나 얼굴을 한 번 보여주면 되는 안면 인식처럼 손쉬운 생체 인식 기능(바이오 인증)이 간편하면서도 확실한 보안 수단이 돼가고 있는 것입니다.

생체인식 기술 중 지문 인식 방법은 경제적으로 싸고 가장 효율적인 방법으로 많이 사용되고 있다.

생체 인식 기술(바이오 인증) 중에서도 가장 흔한 게 지문 인식이 아닐까 싶습니다. 스마트폰 잠금을 해제할 때에도 많은 기기들이 지문 인식 기능을 활용하고 있기 때문이죠. 지문 인식은 말 그대로 지문을 읽어 정보를 확인하는 것인데요, 스마트폰 액정이나 기기 뒷면에 손가락을 가져다대면 기기에 최초로 등록해놓은 지문을 읽어 잠금을 푸는 방식입니다. 노트북에도 흔히 사용되고 있고, 출퇴근 근태 관리 기록, 현관문 도어락에도 지문 인식이 활용되고 있습니다. 또 주민 센터에 방문해보신 분이라면 한 번쯤 무인민원발급기를 이용한 경험이 있으실 겁니다. 성인이라면 주민등록증을 발급할 때 등록한 지문으로 신원을 확인해 각종 서류를 발급받을 수 있을 뿐 아니라 요즘에는 미아 방지를 위해 ‘지문사전등록’이라는 제도를 운영 중입니다. 가족관계증명서를 지참하고 인근 경찰서나 지구대에 방문하면 아이들의 지문을 등록할 수 있는데, 실종 발생 시 빠르게 가족의 품으로 돌아갈 수 있도록 하는 좋은 제도입니다.

그런데, 지문 인식은 어떤 과정으로 이루어질까?

지문이 기기에 인식되는 원리

먼저 지문 샘플을 기기에 입력해야 합니다. 입력 과정에서는 빛과 전기, 소리가 사용됩니다. 빛을 사용하는 광학식의 경우에는 지문의 굴곡에 따라 밝기 차이가 나는 원리를 사용합니다. 스캐너 유리판에 맞닿을 때 볼록하게 나온 곳은 또렷하게 표현이 되지만, 움푹 들어간 부분은 흐릿하게 표현이 됩니다. 그렇기 때문에 초창기 스마트폰의 광학식 지문 인식 센서로는 이물질이 있거나 혹은 습할 경우 쉽게 인식이 되지 않는 등의 문제가 발생하였습니다. 이를 보완하여 적용된 기술이 바로 전기 신호를 읽는 센서로 지문을 인식하는 전기식입니다. 전기식은 센서에 손가락을 문지르면 몸에 흐르는 전기 신호의 양을 확인하는 정전식이 있고, 손가락을 대고 있으면 센서가 손가락의 온도를 확인하고 온도 차이로 지문을 확인하는 에어리어식으로 나뉩니다. 기술을 적용하는데 필요한 가격도 저렴할 뿐 아니라 정확도 측면에서도 매우 높은 효율을 지녀 많은 스마트폰이 채택하고 있습니다. 여기에 더하여 삼성 갤럭시 S10에서는 소리로 지문을 확인하는 초음파식 지문인식 방법이 사용되고 있습니다. 이 방법은 초음파를 쏘아 지문에 맞고 반사되는 속도 차이에 따라 이미지 샘플을 제작하게 됩니다. 초음파는 고체 매질을 통과할 수 있기 때문에, 초음파 센서는 액정 바로 아래에 심을 수 있다는 장점이 있어 액정 패널의 종류에 상관없이 투과될 수 있는 장점을 가지고 있지만 부품 가격 및 기술 구현에 발생되는 비용이 높다는 단점을 가지고 있습니다.

지문 인식이 완벽하게 안전한 것일까?

앞서 말한 원리를 통해 기기에 입력된 지문은 암호화되어 저장되고, 다음 인식 시부터 저장된 데이터베이스와 비교해 인식하는 과정을 거치게 됩니다. 그렇기 때문에 지문 인식의 가장 큰 장점은 편리성입니다. 일일이 번호를 입력하는 번거로움이 없고, 별다른 도구를 소지하지 않아도 된다는 점에서 매우 편리합니다. 그저 손가락 하나만 가져다대면 인증이 완료되는 것이니까요. 많은 인원이 짧은 시간 내에 신원을 체크해야 하는 상황이라면 지문 인식만큼 간편한 방식은 또 없을 거라 생각됩니다. 하지만 이러한 편리함 속에 안전성도 함께 할 수 있을까?라는 질문이 들기 마련입니다.

영화에서나 나오는 테이프에 찍힌 지문으로 열려버린 스마트폰

아쉽게도, 지문 인식은 복제가 가능하다는 치명적인 단점이 존재합니다. 유리판이나 끈끈한 면이 있는 투명 셀로판테이프만으로도 복제가 가능하고, 외부에 노출되어 있는 신체 일부분이기에 유출 가능성도 공존합니다. 실제로 테이프에 찍어 복제한 지문으로 보안을 뚫은 사례가 존재하기도 합니다. 또 정보 샘플을 인식하는 상황에서 100% 일치율을 요구하는 것이 아니기 때문에, 일부가 비슷하더라도 인식이 되는 경우가 있습니다. 그래서 공항 자동출입국심사의 경우 티켓과 여권>지문>안면 인식 세 단계를 거치게 해 이중, 삼중으로 보안을 하고 있습니다.

젤리케이스 하나에 보안이 뻥 뚤린 삼성 갤럭시 10

일례로 지난해 모 기업의 스마트폰 지문 인식이 시중에서 쉽게 구할 수 있는 실리콘 케이스를 덮자 등록되지 않은 모든 지문을 인식하고, 손가락이 아닌 다른 신체 부위에도 잠금이 열리는 사태가 벌어지며 긴급하게 소프트웨어 개선에 나선 바 있습니다. 지문은 평생 한 사람이 같은 무늬를 갖고 살아가기 때문에 수정이 불가능하고, 이러한 이유로 지문 정보가 유출될 경우에는 막대한 피해가 생길 가능성이 높습니다. 또한 반복적으로 손가락을 사용하는 노동을 할 경우 지문이 지워지기도 하며, 몸에 흐르는 전류를 이용해 지문을 인식하는 기기의 경우 손에 땀이 많은 사람은 스캔 과정에서 인식률이 떨어지기도 합니다.

그렇다면 홍채 인식은 어떨까?

인간의 홍채는 신만이 창조할 수 있다고 할만큼 복잡하고 복제 불가능한 장기 중 하나이다.

신체를 활용한 생체 인식(바이오 인증)에는 홍채 인식도 있는데요, 아직 지문 인식보다는 대중화되지 않은 기술입니다. 홍채란 인체 눈에서 가운데 동공과 동공 부분을 둘러싼 테두리를 아우릅니다. 눈동자 색상을 결정하는 부분이기도 하고요. 주요 기능으로는 눈으로 들어오는 빛의 양을 조절하는, 카메라에 비유하면 ‘조리개’와 같은 역할을 합니다.

홍채 인식은 지문 인식처럼 사람마다 고유한 외형을 가진 홍채를 이용해 신원을 확인하는 기술입니다. 홍채 인식 기기는 LED로 홍채에 적외선을 쬐어 전체 정보를 확인하고, 다시 반사된 홍채의 모습을 카메라로 촬영해 입력된 정보를 샘플과 비교해 인식합니다. 홍채는 지문에 비해 복제가 어렵다는 점이 장점으로 꼽히며, 외부 요소에 영향을 덜 받는다는 이점도 있습니다. 간혹 스파이 영화를 보면 직접 안구를 적출(!)하거나 특수한 장비를 사용해 홍채를 3D로 복사해 인식하는 장면을 볼 수 있는데요, 이는 영화적 상상에서 연출된 장면이라고 보시면 됩니다. 이미 사망한 사람의 홍채는 신경 근육에 변형이 진행되기 때문에 복제해 사용할 수 없습니다. 심장이 멈춰 혈류가 없는 망자의 지문도 마찬가지고요.

영화에서처럼 적출된 안구로 홍채 인식을 시킨다는 말은 한마디로 거짓!

하지만 홍채 인식에도 단점은 있기 마련입니다. 가장 큰 단점은 편리성이 떨어진다는 것인데요, 지문이나 안면 인식의 경우 1, 2초 내로 인식 과정이 완료되는 반면, 홍채 인식은 시간이 조금 더 소요된다는 점에서 불편함을 야기할 수 있습니다. 또한 콘택트렌즈나 안경, 선글라스를 착용 중이라면 인식이 쉽게 이루어지지 않기도 합니다. 또한 방패가 등장하면 그 방패를 뚫을 수 있는 창이 등장하는 것처럼 지문과 마찬가지로 홍채 역시 영상 기술에 의해 복제되는 경우도 발생하면서, 생체 인식(바이오 인증)이 보안성은 높지만 아직은 불완전하다는 평가를 받고 있습니다.

독일의 해커 그룹 "카오스 해커 클립"이 삼성 갤럭시8의 홍채 인식을 뚫는 과정을 보여주고 있다.

대체 어떻게 해야 안심하고 스마트 기기를 사용할 수 있을까?

 2단계 인증을 통한 다중 잠금이 최선의 선택지가 될 수 있다.

가장 좋은 방법은 다중으로 보안을 설정하는 것입니다. 일부 은행 어플리케이션의 경우에는 생체 인식(바이오 인증)과 PIN, 패턴 등을 여러 과정에 걸쳐 확인하며 다중 보안을 시행하고 있습니다. 로그인에는 생체 인식(안면 인식 포함), 계좌이체에는 PIN과 생체 인식을 결합하는 식으로 말이죠. PIN과 패턴은 주기적으로 변경해 해킹을 방지하는 것도 개인 정보를 지키는 좋은 방법입니다. 스마트폰 전체 잠금 외에도 개별 어플리케이션에도 잠금장치를 설정해둔다면 더욱 안전하고 편리하게 스마트폰을 사용하실 수 있을 것 같습니다.