생체인식·보안토큰·지문인식도 상용화 … 아직 완벽한 인증기술은 없어

비밀번호(password) 해킹에 따른 사회·경제적 피해가 확산되자 미국의 정보기술(IT) 기업들이 이를 대체할 새로운 인증방법 개발에 나섰다. 이미 음성과 지문을 이용한 생체인식 방식이 제품에 도입됐다. 보안토큰(hardware token)과 뇌파인식 등 신기술도 상용화를 앞두고 있거나 연구 중이다.

새로운 인증방법 개발의 목표는 간단하다. 소비자들이 해킹 걱정 없이 편리하고 안전하게 자사의 제품이나 인터넷 서비스를 이용하게 만들겠다는 것이다. 해킹 피해가 큰 미국에서 소비자들에게 ‘안전하다’는 확신을 심어주는 것만큼 확실한 마케팅 기법도없기 때문이다. 월스트리트저널을 비롯한 미국 언론들은 최근 IT기업의 다양한 인증방식 개발 현황을 잇따라 소개했다.

구글은 생체인식을 포함한 이른바 ‘강성 인증(strong authentication)’의 업계 표준을 만들기 위해 페이팔과 레노보 등과 ‘신속 온라인 신원 확인(FIDO) 연합’을 결성했다. 지난해 지문 인식 기술 전문업체인 ‘오센텍(AuthenTec)’을 인수한 애플은 신형 아이폰에 지문 센서를 장착하는 등 새로운 인증방법을 활용하고 있다.

애플은 9월에 아이폰5S를 출시하면서 ‘터치ID’라고 명명한 지문인식 기능을 선보였다. 손가락만 대면 본인 인증을 할 수 있어 보안 안전성과 편리성을 동시에 강화시키며 업계의 호평을받았다.

마이크로소프트(MS)도 윈도8.1에 지문인식 기능 등 생체인식기술을 광범위하게 사용한다고 밝혀 주목을 받고 있다. 구글은 미국 캘리포니아 팰로앨토에 본사를 둔 유비코(Yubico)사에서 만든 새로운 보안토큰을 시범적으로 운영한다. 암호연산 기능을 하는 칩을 내장한 보안토큰은 해킹으로부터 공인인증서의 유출을 방지할 수 있는 휴대용 저장장치다. 사용자의 컴퓨터에 보안토큰 프로그램을 설치한 뒤 휴대용 저장장치를 USB 포트에 연결해 사용하면 되기 때문에 다른 인증방식보다 안전하다는 평가를 받고 있다.

이 같은 방식을 이용하고 있는 유비코 보안토큰은 비밀번호를 다시 입력하는 과정 없이 사용자가 휴대용 저장장치를 데스크톱이나 노트북 컴퓨터의 USB포트에 꽂으면 인증이 된다. 접촉을 통해 전자기기를 제어할 수 있는 기술인 근거리무선통신(NFC)을 이용해 모바일 기기에 살짝 닿게만 해도 인증이 된다.

현재 사내에서 유비콘 토큰을 시범 운용 중인 구글은 G메일이나 구글 어카운트에 안전하게 로그인 하는 방식을 내년쯤 선보일 예정이다. 구글의 마양크 어파디야이 보안 엔지니어링 책임자는 “보안토큰은 사용이 쉬울 뿐만 아니라 테스트 결과 현재 시중에 나와 있는 기술보다 더 높은 수준의 보안을 유지할 수 있다”며 “구글의 웹브라우저인 크롬과 호환된다”고 밝혔다.

애플의 지문인식 기능 호평

현재까지 나와있는 보안 신기술은 이 밖에도 리스크 기반 인증과 생체인식, 사진인식 등이 있다. RSA 시큐어아이디(RSA SecurID)라는 보안토큰을 만든 EMC사는 리스크 기반 인증(risk-based authentication)이라는 새로운 방식의 인증기술을 선보였다.

이 기술은 이용자의 정상적인 행동 데이터를 만들고, 그 데이터를 기반으로 이용자가 평소와 다른 장소에서 로그인을 하거나 다른 컴퓨터를 사용하는 등 특이한 행동을 하면 위험점수가 올라가서 전화 확인 등의 추가 인증을 요구하는 방식이다. 사내 정보 유출에 신경을 쓰고 있는 회사들이 이 방식을 도입하면 직원이 평소와는 다른 장소나 컴퓨터로 회사 시스템에 접속하려고 할 경우 전화통화 등을 통해 신원확인을 할 수 있다.

지문인식 등의 생체인식 방법은 비밀번호를 입력하는 방식보다 쉽기 때문에 광범위하게 연구되고 있다. 모바일 기기의 확산으로 인해 생체 인식도 편리해지고 있어 시장성도 높다는 평가를 받고 있다. 미국 코네티컷주에 본사를 둔 가트너사의 리서치담당 부사장은 “모바일 기기가 널리 퍼지면서 생체인식 인증(biometric authentication) 방식이 앞으로 보편화될 것”이라고 전망했다. 모바일 기기에 마이크와 카메라, 위성항법장치(GPS)가 내장돼 있기 때문에 생체인증이 쉬워졌다는 것이 전문가들의 설명이다.

스페인 마드리드에 본사가 있는 아그니티오는 음성인식 소프트 웨어를 개발했다. 이 기술은 이용자들이 간단한 구절을 말함으로써 로그인을 하는 방식이다. 영국 런던의 픽셀핀사는 사진인증법을 개발했다. 예를 들어서 배우자의 사진에서 미리 설정된 방식으로 사진의 네 군데를 클릭하면 로그인 되는 방식이다. 이 회사의 공동창업자인 제프 앤더슨은 사진이 비밀번호를 기억하는 것보다 쉽고 다른 사람이 복제하기 어렵기 때문에 사진인증 방식이 여러 가지 장점을 가지고 있다고 밝혔다.

미래의 인증방식은 뇌파를 이용하는 방법이다. 현재 UC(캘리포니아 주립대) 버클 리는 뇌파인증(brainwaves authentication)을 연구 중이다. 이 기술은 실험대상자가 헤드세트를 착용하고 어떤 작업을 수행한다고 상상했을 때, 개인별로 뇌파가 99% 정확도로 다르게 나타난 것에 기반을 두고 있다. 사용자가 입력하는 특정한 단어나 번호인 비밀번호가 아니라 특정한 생각으로 인한 뇌파인 ‘생각인식(passthought)’이 새로운 인증방식이 되는 것이다.

모바일 기기 확산으로 생체인증 쉬워져

지문인식기를 도입한 회사의 경우 보안 문제가 상당히 개선됐지만 모든 이용자에게 적합하지 않는 경우가 있었다. 노인들은 손이 흔들려 지문인식기를 사용하는 것이 힘들 수 있다. 장갑을 끼거나 손이 너무 건조한 상태에서는 지문인식기가 작동하지 않기도 한다. 또한 지문 제출은 프라이버시 문제로 비화될 우려도 있다.

보안 전문가들은 여러 가지 기술을 결합하는 방식을 조언하고 있다. 새로운 질병을 치료하기 위해 신약을 개발하더라 또 다른 질병이 생기듯 보안인증과 해킹도 서로 물고물리는 관계라서다. 아무리 첨단기술을 이용한 인증방식이 개발되더라도 ‘만병통치 약’ 같은 완벽한 기술은 없다는 것이다. 보안전문가들은 보안을 강화하기 위하여 비밀번호와 지문인식 등을 한꺼번에 사용하라고 조언한다. 아직까지 쉽고 완벽한 인증기술은 없기 때문이다.