자신의 몸에 지니고 있는 고유정보를 활용해 본인인증은 물론 결제 등 서비스까지 이용할 수 있게 돕는 생체인증이 최근 삼성페이, 애플페이 등장에 힘입어 빠르게 확산되고 있다. 복잡한 비밀번호를 일일이 외울 필요없이 지문이나 홍채 등 자신이 본래 지니고 있는 고유 정보만 있으면 된다는 점에서 보안성과 편리함을 동시에 갖췄다는 평가다.
그러나 최근 미국에서 발생한 연방인사관리처(OPM) 해킹사건은 560만명의 연방정부 소속 공무원의 지문정보가 통째로 유출된 대형사고였다는 점에서, 지문을 포함한 생체정보가 유출돼 또 다른 해킹에 악용될 가능성에 대한 우려가 높아지고 있다.
지문을 포함한 생체정보를 각종 인증이나 결제 등에 활용하는 것은 가장 편리한 보안수단이라는 점에는 이견이 없다. 문제는 우리나라 주민등록번호와 같이 한번 유출되면 다른 것으로 바꿀 수 없다는 점에서 해커들의 손에 들어갔을 경우 돌이킬 수 없다는 우려가 이어지고 있다.
다행스러운 점 중 하나는 지문정보의 경우 대개는 암호화된 형태, 혹은 본래 정보가 아니라 토큰화된 형태로 저장돼 있다는 점이다. 지문을 스캔한 이미지 원본이 아니라는 것이다.
미국 지디넷에 따르면 트립와이어 소속 팀 얼린 IT보안책임자는 "사이버범죄자들이 당장 유출된 생체정보를 활용하지는 않겠지만 이러한 정보를 활용한 인증이 더 많이 확대되고 있는 추세"라고 밝혔다.
삼성페이, 애플페이 등의 경우에도 이러한 방법을 적용해 스마트폰 내에 트러스트존 혹은 시큐어엘리먼트(SE) 등으로 불리는 안전한 영역에 저장된다. 시장조사업체 포레스터 리서치 보안담당 안드레아스 세르 연구원은 "많은 모바일 기기들이 지문을 그들 기기 내 안전한 장소에 저장하는 방법으로 해킹을 어렵게 하고 있다"고 밝혔다. 또 다른 보안전문가는 "결국 지문을 포함한 생체정보들이 인증을 위해 단독으로만 쓰이지는 않을 것"이라고 강조했다.
쉽게 말해 지문정보만 알고 있다고 해서 할 수 있는 일은 거의 없으며, PIN이나 토큰 등이 추가적인 보안수단으로 활용되고 있다는 것이다.
관련기사
- 한국FIDO산업포럼 10월 출범...생체인증확대 시동2015.10.12
- 지문 기반 공인인증서 내년 초 상용화2015.10.12
- 커지는 생체인증 생태계, 美NIST-英정부 합류2015.10.12
- 비밀번호 대체할 인증 동맹에 삼성-구글 합류2015.10.12
OPM 내부 서버에 저장됐던 지문정보 역시 이미지를 그대로 저장했을 가능성은 적다. 암호화 기술을 적용한 해시값 형태가 될 것으로 추정된다. 이렇게 될 경우 공격자가 유출시키더라도 해당 값이 뭘 의미하는지를 알아내기가 어렵다.
금융보안원이 발표한 삼성페이 분석 보고서는 "지문인식, 하드웨어 기반 보안저장소를 활용하고, 일회용 결제정보를 활용한다는 점에서 실물카드보다도 보안성이 높은 것은 사실이나 카드등록시 보다 철저한 신원확인과 POS단말기 등에 대한 보안위협 수준을 낮추는 고민이 함께 필요하다"고 밝힌 바 있다.
