해킹으로 인한 보안관리의 문제점이 들어 나면서 기존 아이디 비밀번호 방식에서 벗어나 보안성과 편의성을 향상시킨 다양한 인증시스템이 개발되고 있다. 미래에는 센서, 카메라 등의 하드웨어 발전과 빅데이터 분석 기술에 힘입어 새로운 인증시스템이 개발되고 각 인증시스템이 서로 불완전한 점을 보완하는 형태로 발전할 전망이다. 이는 사이버 해킹이 국가 단위로 확대되고 개인의 프라이버시 침해 문제가 사회적 이슈로 부각되고 있기 때문이다. 엘지경제연구소에서는 이 같은 보안관리의 문제점을 지적하고 암호가 필요없는 안전한 세상에 대해 소개했다.
<위기관리경영 - 글 편집부>

개인별 맞춤형 안전서비스 확대
불안정한 경제 상황 속에서 안전에 대한 욕구 증대도, 사이버 보안의 하나인 인증시스템에 사람들이 관심을 쏟는 계기가 되고 있다. 더욱이 스마트 디바이스 확산과 빅데이터 기술의 발전으로 개인별 맞춤형 서비스가 확대되면서, 서비스 대상자를 파악하기 위한 방법으로 개인 식별시스템 발전이 더욱 필요한 상황이다. 누구나 한번쯤 비밀번호 때문에 불편한 적이 있었을 것이다. 근본적으로 이러한 문제는 피할 수 없는 일이기도 하다. 개인의 불완전한 기억에 의지하는 방식은 사람이 기계가 아닌 이상 언제든 문제를 일으킬 수 있기 때문이다.

그렇다고 현재의 아이디 비밀번호 방식을 완벽히 대체할 뚜렷한 대안이 있는 것도 아니다. 보안칩이나 지문, 홍채 인식 같은 생체인식시스템이 개발되고 있지만 아직 경제적이지 않거나 사용에 제약이 있다. 게다가 이들 기술들은 인증시스템의 핵심인 보안성 측면에서도 불완전하다는 의견도 있다. 실제로 2012년 정보보안 컨퍼런스인 Black Hat Briefings에서는 합성한 가짜 홍채 이미지로도 인증시스템을 통과할 수 있다는 연구 결과가 발표되어 이슈가 된 적이 있다.
 
새로운 인증시스템
기계가 사람을 인식하는 방법은, 우리가 처음 사람을 볼 때 누구인지 파악하는 방법과 크게 다르지 않다. 일반적으로 사람이 주민등록증과 같은 증명서, 사전에 정해 놓은 암호, 그 사람의 용모를 알 수 있는 사진 등을 통해 다른 사람을 확인하듯이, 기계도 크게 세가지 방식으로 대상을 파악할 수 있다. 우선 NFC칩, 공인인증서, 스마트 카드와 같은 개인이 소지한 물건이나 문서를 통해 인증하는 방법이 있다. 비접촉식 근거리 무선통신기술인 NFC는 신용카드 및 출입통제 인증에 사용되고 있다.

외부 인증 기관이 발행하는 공인인증서는 신원확인용 디지털 문서로서 특히 우리나라 금융거래에 널리 쓰이고 있다. 하지만 개인 소지형 방식은 도난 및 분실의 우려가 있고, 항시 개인이 휴대해야 하는 불편함이 있다. 또한 사전에 설정한 단어나 정보를 개인이 머리 속에 기억하는 방식이다. 현재 많이 사용되고 있는 아이디, 비밀번호 방식이 대표적이다. 아이디 대신에 이메일 계정을 사용하거나, 질의 응답 형태로 변형하여 사용되기도 한다. 하지만 암호가 길거나 기억해야 될 암호가 많아 질수록 사용자가 외우기 힘든 단점이 있다. 또 시간이 많이 걸리겠지만 다른 사람이 무차별적으로 여러 비밀번호를 입력하여 암호를 알아 낼 수도 있다.

또 하나는 개인의 신체 및 행동 특징을 통해 인증 대상을 확인하는 방법이다. 신체적 특징으로 지문, 홍채, 혈관 형태 등이 행태적 특성으로 음성, 필체 등을 예로 들 수 있다. 이러한 개인 고유의 특징은 휴대할 필요가 없고 복제도 어려워, 생체인식시스템은 차세대 기술로 각광받고 있다. 하지만 사용자들이 자신의 생체 정보 제공에 거부감을 느끼는 경우가 많고, 젤라틴(지문), 고해상도 사진(홍채)을 통해 복사가 가능하다는 사실이 드러나 문제가 되고 있다. 또 도난 당할 경우 개인 고유 특징을 바꿀 수 없어 피해가 매우 커지는 단점도 존재한다.

보안성 편리성 선택
인증 및 식별 시스템 개발이 어려운 이유는, 보안성과 편의성을 모두 만족해야 되기 때문이다. 인증시스템은 외부 해킹으로부터 안전하게 내가 정당한 사용자임을 시스템이 확인할 수 있는 보안성과, 휴대 및 이용이 간편하고 언제 어디서든지 자신을 식별하여 서비스를 이용할 수 있는 편의성이 모두 중요하다. 하지만 신원확인을 꼼꼼히 할수록 절차가 복잡하고 시간이 오래 걸리는 것처럼, 디지털 인증시스템도 보안성을 강화하면 사용이 어렵다. 예를 들어 특수문자를 포함하거나 10자리 이상 긴 비밀번호를 설정하면, 보안강도는 높아지겠지만 사용자가 기억하기 쉽지 않고 입력 중간에 오타내기도 쉽다.

생체인식시스템의 기술 수준을 나타내는 FAR(False Acceptance Rate), FRR(False Rejection Rate) 수치를 보면 더욱 잘 알 수 있다. FAR은 등록되지 않은 엉뚱한 사람을 인증하는 오인식률을, FRR은 인증시스템이 본인 확인을 못하고 인증을 거부하는 오거부율을 뜻한다. 오인식률 0.1%는 1,000번에 한 번 잘못 인식할 수 있다는 의미이다. FAR이 높으면 잘못 인식하는 비율은 낮아져 보안성이 높아지지만, 인증을 거부하는 비율이 높아져 시스템 사용이 불편하게 된다. 따라서 생체인식시스템의 성능을 파악하기 위해서는 FAR과 FRR이 일치하는 ERR(Equal Error Rate)을 아는 게 중요하다.
 
인증시스템의 최근 개발 트렌드
인증시스템의 보안 문제는 시스템 자체 오류보다는 외부 해킹과 내부 유출로 발생하는 경우가 많다. 웜 바이러스, 악성 코드 등의 해킹 프로그램을 통해 외부인이 비밀번호를 빼가거나, 사용자의 부주의로 암호나 보안 스마트카드를 분실하는 사례를 흔히 볼 수 있다. 최근에는 가짜 사이트나 문자메시지를 이용하여 사용자 정보를 교묘하게 빼가는 파밍(Pharming)이나 스미싱(Smishing)도 기승이다. 따라서 입력 정보 및 보안 절차를 강화하거나 암호화 기술로 유출 피해를 최소화하기 위한 노력이 활발하다. 우선 입력 정보를 늘려 인증의 정확성을 높일 수 있다.

대표적으로 비밀번호 입력 시 자리 수를 늘리거나 특수기호를 넣는 것을 들 수 있는데, 이제는 보안 강화를 위해 거의 모든 웹 서비스에 적용되고 있다. 생체인식시스템에서도 높아진 카메라 해상도와 센서 등을 통해 입력 정보를 더욱 정교하게 하고 있다. 또한 각각의 인증시스템이 장단점을 가지고 있어 불완전하다면, 다수의 인증시스템을 결합하여 보안을 강화시킬 수 있다. 예를 들어 비밀번호와 지문인식, 스마트카드와 비밀번호 같이 서로 다른 인증시스템을 사용하여 둘 다 인증이 되었을 때 최종 승인을 하는 것이다. 미국이나 일본 출입국 시 지문과 얼굴 인식을 동시에 하는 것처럼, 생체인식시스템도 지문, 얼굴, 홍채 정보를 함께 활용하는 경우가 많다. 다중 인증시스템은 보안이 생명인 금융거래에서 가장 활발하다. 2005년 미국 연방금융기관 검사협의회(FFIEC)에서는 전자금융거래에 다중 인증시스템을 채택하기로 규정하였고, 우리나라도 2008년부터 고액 이체 시 2채널 인증을 공인인증서와 함께 사용하도록 하였다.

내부 유출에 대비하여 인증 정보가 밖으로 노출되어도 피해를 줄일 수 있는 방법이 활발히 개발되고 있다. 예를 들어 OTP(One Time Password)는 매번 비밀번호가 변경되기 때문에 비밀번호 유출을 걱정할 필요가 없다. 이미 해외에서는 OTP와 암호통신기술(SSL)을 결합한 방식이 금융거래에 널리 쓰이고 있다. 비밀번호뿐 아니라 아이디, 이름, 이메일 주소 같은 신원정보를 노출시키지 않고도 사용자임을 증명할 수 있는 익명인증 기술도 개발되고 있다. 2008년 ETRI는 세계 최초로 `익명 인증기관’으로부터 자신을 증명할 `조건부 익명키’를 발급받아 사용하는 익명인증 기술 개발에 성공하였다.

더욱 편리하게
인증시스템 사용이 용이하려면 우선 인증에 필요한 매개체의 소지 및 관리가 편해야 한다. 예를 들어 보안 스마트카드가 너무 크거나 부서지기 쉬우면 가지고 다니기 불편할 것이다. 또 사용자가 번거롭지 않게 인증 절차나 프로세스도 간편해야 한다. 생체인식시스템이 각광받는 이유도 인증시스템을 위해 별도의 준비물을 가지고 다닐 필요가 없을 뿐 아니라 인증 프로세스도 단순하기 때문이다. 따라서 센서, 카메라 등 신기술을 이용하거나 사용자 행동 패턴을 추적하는 등 인증시스템의 편의성을 높이기 위한 시도가 지속적으로 이루어지고 있다. 
  
적용성과 프라이버시 문제 해결도 필요
보안이 강력하고 사용이 편한 인증시스템을 개발했다고 끝은 아니다. 현재 사용중인 시스템에 새로 개발한 인증시스템을 적용하는 일이 남아있다. 시스템 설치 비용뿐 아니라 새 인증시스템 도입에 따른 신규 등록 프로세스, 사용자 교육 등 고려해야 될 사안이 많다. 아직도 많은 시스템이 아이디 비밀번호 방식을 고수하는 이유 중 하나가 바로 시스템 설치 및 활용이 간단하기 때문이다. 따라서 기존 시스템을 잘 활용하여 적용 비용과 시간을 줄이는 노력이 필요하다. 예를 들어 3M은 PC, 스마트폰, 태블릿 등에서도 생체인증시스템을 쉽게 사용할 수 있게, USB나 블루투스가 가능한 지문 스캐너 BlueCheck II를 개발하였다. 또 별도의 OTP 번호 생성기를 가지고 다닐 필요 없이, 스마트폰의 앱이나 USIM에 OTP 기능을 탑재하는 방식도 이러한 예이다. 프라이버시 침해 문제도 인증시스템이 넘어야 할 산이다.

2012년 EU 집행위원회는 ‘잊혀질 권리(Right to be forgotten)’를 법제화하여 큰 이슈가 되었다. 잊혀질 권리란 사용자가 자신의 개인정보 삭제 및 확산 방지를 요구할 수 있는 권리를 말한다. 예를 들어 2011년 웹 브라우저인 파이어폭스는 개인정보 추적금지(do not track)기능을 탑재하였으며, 자신이 작성한 SNS 글을 한꺼번에 지워주는 사이트(www.suicidemachine.org)도 사람들의 주목을 받고 있다. 또 최근 구글이 발표한 휴면상태가 된 이메일과 인터넷에 저장된 자료를 처리할 수 있는 휴면계정 관리서비스(Inactive Account Manager)도 이러한 예이다. 개인정보를 수집 및 관리하는 인증시스템도 여기에서 자유로울 수 없다. 벌써부터 우리나라는 2013년 정보통신망법 개정을 통해 본인확인에 주민등록번호 이용 및 수집을 금하고 있는 상황이다. 더 나아가 생체인증시스템이 확산될 경우를 대비하여, 사람들이 민감하게 받아들이는 지문, 얼굴 같은 개인정보에 대해서 사용자의 개인정보 통제 및 자율규제 기능이 강화될 필요가 있다.
 
인증시스템 내일
그렇다면 미래 인증시스템은 어떻게 발전할까? 엘지 경제 연구소에는 “기존 아이디 비밀번호 방식이 완전히 사라지고 사용이 편하고 보안이 더욱 강력한 새로운 인증시스템으로 대체될까? 그렇게 되기는 쉽지 않을 것”이라며 “시스템이 아무리 완벽하여도 사람이 이를 활용하기 때문에 헛점은 존재할 수밖에 없다” 고 말했다. 실제로 철통 같은 보안을 자랑하던 FBI나 CIA도 해킹 집단인 어나니머스(Anonymous)에 의해 뚫린 적이 있다. 따라서 각 개별 인증시스템이 보안성과 편의성을 향상시키면서, 다중 인증시스템을 통해 불완전한 점을 서로 보완하는 형태로 발전할 가능성이 높다.

또 사물 인터넷(Internet of Thing), 빅데이터 기술의 발전으로 인증시스템에도 변화가 예상된다. 센서와 RFID 등이 탑재된 사물들이 네트워크로 묶이면서, 사람을 인증하는 것 이외에 사물과 사물간 인증이 늘어날 것이다. 예를 들어 구글이 개발한 무인주행 시스템이 확산된다고 가정할 경우, 자동차 간 또는 교통시스템과 자동차 사이에 정보를 주고 받는 과정에서 탑승자가 모르는 수많은 인증 과정이 발생할 수 있다. 엘지 경제 연구소는 “우리가 행하는 모든 디지털 활동 흔적인 Digital Footprint가 빅데이터 기술에 의해 분석되면서 인증시스템에도 활용될 것”이라며 “빅데이터 기술을 통해 사용자 패턴을 분석함으로써, 단방향의 일회성 인증이 아닌 시스템과 사용자가 서로 상호작용(Reactive)하면서 주위 상황에 기반(Context)한 인증 방식이 가능해질 것”이라 말했다.