다가오는 '몸 키(Key)' 시대…홍채ㆍ지문 등 생체정보도 유출 가능성

중앙일보

입력

업데이트

영국에선 주요 공항에 홍채 인식기를 도입, 홍채를 여권을 대신한 개인 확인 수단으로 활용하고 있다. 아랍에미리트(UAE)에서는 입국하는 모든 외국인에게 홍채 등록을 의무화하고 있다. 이는 위조가 어려운 홍채 인식이 보안성·정확성이 높기 때문이다.

일본 도쿄미쓰비시은행, 미즈호은행 등은 자동화기기(ATM)에 정맥 인증 시스템을 적용하고 있다. 본인의 생년월일을 입력한 후 손바닥 정맥을 ATM에 인식시키면 된다. 예기치 못한 사고로 카드ㆍ통장을 잃어버려도 은행에서 업무 처리가 가능토록 도와준다.

자신의 생체정보가 본인 인증의 열쇠인 ‘몸 키’(Key) 시대가 열리고 있다. 자신의 얼굴ㆍ지문 등을 인식해 스마트폰 잠금을 해제하는 얼굴ㆍ지문인식 기술은 이미 구식이다. 정보기술(IT) 전문매체 테크크런치ㆍIT프로포털 등에 따르면 해외 금융권에서는 웨어러블 밴드를 사용해 심전도로 본인을 확인하는 서비스를 시험운영 중이다. 말하는 속도와 억양, 걸음걸이 모양 등 사람마다 다른 행동패턴을 인식해 개인 인증을 하려는 연구도 활발하다. 스페인에서는 겨드랑이 냄새 센서를 이용해 사람을 구분해냈다는 연구결과까지 나왔다. 시장조사업체 AMI는 이런 생체인식 시장 규모가 지난해 26억 달러에서 2020년에는 333억 달러에 이를 것으로 전망했다.

하지만 생체정보도 100% 완벽한 것은 아니다. 생체정보는 하나 밖에 없기 때문에 변경할 수 없다는 단점이 있다. 예컨대 비밀번호 같은 개인정보는 유출이 될 경우 다른 번호로 바꾸면 그만이지만, 생체정보는 이를 대체할 방법이 없다는 의미다.

카스퍼스키랩이 최근 공개한 지하 사이버범죄 조직 조사 결과에 따르면, 생체인증 정보를 훔치는 ‘스키머(Skimmer)’가 발견됐다. 주로 ATM 등에 특별한 장치를 부착해 신용카드 정보를 빼내는 스키머가 이젠 생체인증 정보를 훔치는 도구로 진화하고 있다는 것이다. 사용자의 지문을 훔칠 수 있는 기능을 갖춘 스키머 판매자가 최소 12명, 손바닥 정맥과 홍채인식 시스템에서 데이터를 빼낼 수 있는 장비를 갖춘 판매자가 최소 3명 전 세계에서 활동하고 있다. 독일 해커단체 CCC는 2014년 블라디미르 푸틴 러시아 대통령의 고해상도 사진을 활용해 푸틴 대통령의 홍채를 복제해 공개하기도 했다.

특히 생체정보도 다른 보안정보처럼 데이터 형태로 저장된다. 저장장소가 서버에서 스마트폰 같은 개인 소유의 전자기기로 옮겨오면서 이젠 관리를 제대로 하지 않으면 언제든 유출될 위험을 안고 있다.

이 때문에 생체인증 시스템에 제도적 장치를 마련해야한다는 목소리도 커지고 있다. 스마트 기기의 발전·보급으로 생체정보 활용 범위는 크게 늘어날 것으로 전망되지만, 생체정보는 그 특성상 한번 유출되면 영구적으로 악용될 가능성이 크기 때문이다.

실제 유럽연합(EU)은 개인정보보호의 범주에 생체정보를 포함시켜 체계적으로 보호ㆍ관리할 수 있게 한 '개인정보보호규칙(GDPR)'을 지난 4월 제정하기도 했다. 한국에서도 생체정보를 처리할 때 암호화 등의 보안 조치를 하도록 하는 ‘개인정보 보호법 일부개정법률안’(민경욱 새누리당 의원)이 발의된 상태다.

최근에는 하나의 생체정보가 아닌 ‘지문과 얼굴’, ‘홍채와 음성인식’ 등 복수의 생체정보를 동시에 이용하는 다중 생체인증 (multimodal biometrics)도 관심을 받고 있다. 하나의 생체정보가 해킹되더라도 해킹되지 않은 다른 생체정보로 보안을 지킬 수 있다.

IT프로포털은 “생체정보도 완벽한 정보보호 수단이 될 수는 없다”며 “다가오는 미래에는 ▶신용카드ㆍ출입카드 등 ‘내가 갖고 있는 것(what we have)’▶비밀번호처럼 ‘내가 알고 있는 것(what we know)’ ▶생체정보 같은 ‘고유의 특징(who we are)’, 이 세 가지를 결합해 보안을 유지하게 될 것”이라고 전했다.

샌프란시스코=손해용 기자 sohn.yong@joongang.co.kr

ADVERTISEMENT
ADVERTISEMENT