해결해야 될 문제 산적…해킹 시 피해 이전과 비교 불허
[파이낸셜투데이=이건엄 기자] 생체인증이 차세대 보안 수단으로 떠오르고 있지만 해결해야 할 문제도 산적해 있다. 생체정보를 이용하는 만큼 환경변화나 질병 등에 취약하고 데이터 유출 시 심각한 사회적 혼란을 초래할 수 있기 때문이다. 생체인증의 헛점을 간과하고 섣불리 도입하기 보다는 확실한 보완책을 세운 뒤 점진적으로 발전시킬 필요가 있어 보인다.
국가위원회가 지난해 5월부터 6개월간 만 19세 이상 성인남녀 1000명을 대상으로 실시한 ‘바이오 정보 수집 이용 실태조사’ 결과에 따르면 응답자의 39.0%는 생체인증 기술을 사용한 경험이 있다고 답했다. 응답자 중 절반 이상은 생체인식기술 활용 시 정보수집기관의 정보남용(55.0%)이나 도용·위조(51.0%) 가능성이 우려된다고 각각 답했다. 수집된 생체인식 정보의 외부 유출을 우려한다는 비율도 33%나 됐다. 특히 모바일기기를 통해 수집되는 건강 정보의 유출이 걱정스럽다는 의견은 69%에 달했다.
이같은 우려는 생체인증 정보의 특성에 기반한다. 언제든지 변경 가능한 비밀번호와 달리 한번 설정하면 바꿀 수 없는 생체정보는 외부로 유출될 경우 복구할 방법이 없기 때문이다. 생체인증의 장점인 유일성이 단점으로 작용하는 셈이다.
편리하다는 장점이 있지만 해킹에 취약한 단점도 간과할 수 없는 일이다. 생체정보는 다른 보안정보처럼 서버에 데이터 형태로 저장된다. 주민등록번호가 유출되듯 생체정보 또한 서버 관리가 제대로 이뤄지지 않으면 언제든지 유출될 수 있다는 얘기다.
아무리 인증 수단이 훌륭해도 서버에 대한 보안이 이뤄지지 않으면 무의미하다. 전문가들이 생체인증 기술이 완전 정립될 때까진 기존 비밀번호나 공인인증서와 같은 다른 수단과 함께 사용하라고 충고하는 것도 이 때문이다.
굳이 해킹을 하지 않더라도 생체정보를 쉽게 채취할 수 있다는 점도 문제다. 대표적으로 지문인증이 해당된다. 장갑을 끼지 않는 한 일상생활에서 지문을 안남기기란 쉽지 않다. 여기에 지문 채취방법도 크게 어렵지 않아 도용 가능성이 높다.
홍채인증도 만병통치약이라고 보기 어렵다. 독일 해커단체 케이아스컴퓨터클럽(CCC)은 2014년 푸틴 러시아 대통령 홍채를 복제해 공개했다.
CCC는 푸틴 대통령의 홍채정보를 추출하기 위해 선거용 포스터 사진과 3D프린터를 사용했다. 사진을 통해 홍채 정보를 확대 추출하고 이를 3D프린터로 출력한 것이다. CCC는 푸틴 대통령 외에도 앙켈라 메르켈 독일 총리 등 유명 인사 홍채인증에도 성공했다.
IT업계 관계자는 “3D 프린팅 기술이 고도로 발전하면서 홍채인증 기술도 위·변조가 가능해졌다”고 설명했다.
생체인증 기술은 처음 등록할 때와 100% 일치했을 때 사용자를 인식하도록 세팅하기 어렵다는 점도 보안수단으로서 단독으로 사용하는 데 장애물로 작용한다.
보통 생체인증을 등록했을 때와 80% 정도 일치하면 정당한 사용자로 받아들이는 경우가 많다. 신체 컨디션에 따라 정보 상태가 바뀌기 때문이다. 이 문제를 극복하기 위해선 보다 고성능 센서가 필요하다. 하지만 이런 센서를 스마트폰에 사용하기엔 너무 비싸다는 단점이 있다.
비교적 신기술인 생체인증 기술의 경우 다른 기능과 충돌하여 오류를 일으키기도 한다. 즉 안정성 측면에서 비밀번호 인증 방식이 압도적으로 우세하다. 그래서 생체인증 시스템을 도입해도 비밀번호 인증 방식을 완전히 없앤 곳은 찾기 힘들다.
상황이 이렇다 보니 생체인증 도입을 위해 제도개선이 시급하다는 목소리가 높아지고 있다. 민감한 정보인 생체 데이터를 보호할 법적 장치가 마련되지 않을 경우 대규모 해킹 사태가 발생 시 이전과 비교할 수 없는 사회적 혼란을 야기할 수 있다는 것이다. 실제 미국에서는 이같은 피해를 막기 위해 여러 주마다 생체정보 자체의 보호에 관한 법률을 따로 마련한 상태다.
법조계 관계자는 “외국의 경우 바이오 정보를 민감정보로 규정해 특별하게 보호하려는 추세이지만 우리나라는 아직 바이오 정보의 수집·이용 및 제공 등에 관해 규정이 명확하지 않고 바이오 정보 특성을 감안한 보호 장치도 미흡한 상황”이라며 “바이오 정보 활용이 점점 늘어나는 만큼 제도 개선도 시급하다”고 지적했다.