내 몸이 열쇠가 되는 생체인증 시대

2001년 9.11 테러 이후 미국은 출입국 수속 시 얼굴과 지문 등의 생체정보를 활용한 전자여권 도입을 의무화했다. 이 사건으로 인해 생체정보를 활용한 인증 방식이 세계적으로 주목받고 있다. 이런 생체 기반 인증 방식은 지식 기반 인증이나 소지 기반 인증의 불편함을 줄여주고 개인을 정확하게 식별할 수 있는 유일한 정보라는 점에서 주목할 만하다. 또한 2013년 애플의 터치 ID 발표는 생체인증이 개인의 최소한의 노력으로 본인을 식별할 수 있는 효과적인 수단이라는 점을 각인시켜주었다. 그리고 애플페이의 인증 방식으로 터치 ID를 채택하고 이 인증 수단을 외부에 개방한 정책은 생체인증이 단순히 휴대전화의 잠금 화면을 열기 위한 수단을 넘어 외부 인증 수단으로 확장하기 위한 전략임을 알 수 있다. 터치 ID의 개방은 아마존의 '원클릭'과 같이 신용카드 정보 등을 저장해 결제하는 전자상거래 서비스의 추가적인 인증 수단으로 적용할 수 있을 것으로 전망된다. 이는 삼성전자의 갤럭시 S5가 지문인식을 개방한 후 페이팔에서 이를 적용한 선례를 통해 짐작이 가능하다. 애플은 자사의 개발자 콘퍼런스인 WWDC에서 자산관리 서비스인 민트닷컴의 인증 수단으로 터치 ID적용 모습을 시연함으로써 인증 정책의 변화를 외부에 알렸다. 이것으로 애플은 모바일 서비스 인증의 헤게모니를 터치 ID로 집중화하려는 전략임을 예측할 수 있다. 

2015년 3월 스페인 바르셀로나에서 개최된 MWC에서도 생체인식은 또 한 번 주목받았다. 후지쯔는 스마트폰을 바라보는 것만으로도 사용자의 홍채를 즉각 인식해 잠금 화면을 해제할 수 있는 홍채인식 프로토 타입을 선보였다. 후지쯔의 프로토 타입 스마트폰은 액티브아이리스 기술을 이용한 델타 ID를 사용해 홍채를 인식하는데, 이 기술은 인체에 무해한 LED 조명을 눈에 비추어 적외선 카메라로 눈의 이미지를 얻는 방식이다. 텔타 ID는 150ms보다 더 빠른 속도로 사용자 한명을 인식할 수 있다고 한다. 마치 영화 <마이너리티 리포트>에서 미디어 월이 주인공을 인식하고 인사했던 것과 같은 세상이 눈앞에 다가온 것이다. 

ZTE에서는 눈의 고유한 혈관 패턴을 인식하는 서비스를 선보였는데, 이는 아이베리파이사의 아이프린트 ID의 기술을 이용해 눈의 공막에 있는 고유한 혈관 패턴을 스캔해 개인을 식별하는 것이다. 이 기술은 휴대전화 소유자의 사진이나 비디오를 통해 인증 과정을 속일 수 없으며, 눈에 알레르기나 충혈에 의한 외적인 변황도 인증 과정에 문제가 없다. 이 방식의 장점은 애플의 터치 ID의 지문인식 센서나 델타 ID의 적외선 카메라와 같이 별도의 전용 부품이 필요 없으며 화질이 좋은 전면 카메라만 이용해 눈에서 15~30 센티미터 거리에서 스마트폰 화면에 표시되는 내용에 따라 촬영하면 된다. 

퀄컴에서는 초음파 기술에 기반한 3D 지문인식 기술을 선보였다. 퀄컴이 발표한 3D 지문 인증 기술인 센스 ID는 내장 칩의 초음파를 이용해 지문 표면에 있는 굴곡까지 인식할 수 있다. 그리고 2D 영상을 이용하는 다른 지문인식 방법과 달리 플라스틱, 사파이어 글라스, 스테인리스 등 소재에 상관없이 적용이 가능하며, 땀이나 먼지와 같은 이물질에도 인식률이 높은 편이다. 

애플워치의 발표로 인해 2015년은 손목 쟁탈전의 한 해가 될 가능성이 높아졌다. 애플워치가 발표되었으나 시장의 반응은 뜨겁지 않다. 오히려 기대에 못 미친다는 외신 반응도 있다. 애플의 스마트워치 사업 발표에 이어 많은 회사가 스마트워치 시장에 뛰어들었고, 다소 뒤늦게 출시된 애플워치가 다른 스마트워치의 기능을 크게 뛰어넘지 못했기 때문이다. 하지만 언론의 반응과 달리 온라인 예약 판매 6시간 만에 전품목이 매진되었다. 애플워치는 단순한 시계가 아니기 때문이다. 이런 스마트워치는 나와 모바일 기기를 연결해주는 중간 매개체로서 나를 인증하는 주요 수단이 될 것으로 예상된다. 휴대전화는 개인 소유지만 언제든지 나와 떨어질 가능성이 높은 디바이스다. 충전이 필요할 때나 중요한 회의에 참석할 때, 집에서 가까운 곳에 잠깐 나갈 때는 휴대전화를 두고 나오는 경우가 종종 있다. 하지만 시계는 나와 결속력이 높고, 특히 집 밖에서는 떨어질 가능성이 매우 낮다. 아침에 시계를 차고 출근하면 저녁때까지 시계를 풀어둘 일이 거의 없기 때문이다. 이런 점에서 스마트워치는 나는 확인해주는 인증 수단으로서 이용될 확률이 높다. 애플워치를 이용해 애플페이로 결제할 때 지문인식 절차를 생략한 것도 같은 맥락이라고 볼 수 있다. 

이제 레드오션이 된 휴대전화시장을 벗어나 손목시장을 장악하려는 시장의 움직임이 분주하다. 바클레이카드는 스마트칩이 내장된 NFC 결제 방식의 비페이 밴드 서비스를 출시했다. 런던 거주자에게 1만 개의 밴드를 시험 제공해 출시 전 베타테스트를 하고 있다. 와이어카드사는 HCE 기술을 이용한 토큰 충전 방식의 BLE 결제용 밴드인 와이어카드를 선보였다. 제스처를 통해 비트코인 결제가 가능한 스마트 밴드도 있다. MEVU LAB의 스마트 밴드는 BLE 방식으로 POS에 거래정보를 전송하는 기술이다. 손목에 밴드를 차고 손목을 돌리면 비트코인으로 결제가 된다. 

생체정보를 이용한 결제 수단을 제공하는 밴드도 있다. 캐나다 토론토 소재의 스타트업 기업인 바이오님이다. 나이미 밴드는 심전도 센서를 이용해 착용하는 것만으로도 개인을 인증한다. 온라인과 오프라인에서의 결제는 물론, 동작인식 센서와 BLE를 이용해 기기를 조작하는 것도 가능하다. 가령 정해진 손동작으로 자동차의 트렁크를 열거나 문을 제어하고, TV나 조명, 난방장치 등을 컨트롤하고 스마트폰과 통신도 할 수 있다. 이 기기는 기능 외에도 개인의 심전도 정보는 밴드의 보안 영역에 저장하고 외부 서버에 데이터가 전송되지 않기 때문에 생체정보가 노출될 우려가 없고 분실 시에도 타인의 조작이 불가능하다는 장점이 있다. 

손바닥의 정맥 패턴을 인증 방식으로 하는 결제 서비스도 등장했다. 정맥인식 기술은 수년 전부터 일본의 은행들이 ATM에서 고객을 식별하기 위한 방법으로 활용되어 상용화에 문제가 없는 것으로 평가받고 있다. 미국의 스타트업 비요사는 정맥인식 장치를 활용해 결제하는 펄스월렛이라는 제품을 출시했다. 지문 복제 위험성을 줄여주는 이 서비스는 처음에 신용카드 정보와 정맥 패턴을 스캔하는 방식으로 등록을 하고, 결제 시에는 손바닥을 스캔하고 전화번호만 입력하면 완료된다. 손바닥의 정맥 패턴을 이용하기 때문에 팔찌나 반지와 같은 장신구를 착용하는 경우에도 결제하는 데 문제가 없다. 수익 모델로는 비요 POS 단말기 판매가 주 수익원이며, 별도의 이용 수수료는 없다. 

핀란드의 스타트업 유니클은 얼굴로 사용자의 정보를 확인하고 결제까지 한 번에 가능한 서비스를 선보였다. 사용자는 유니클 계정에 접속해 카드번호, 유효기간 등 기본적인 지불 결제 정보와 사진의 얼굴정보로 등록하면 된다. 이후부터는 유니클 가맹점에서 결제 단말기에 연결되어 있는 카메라 앞에서 고개를 끄덕인 뒤 확인 버튼만 누르면 된다. 얼굴인식까지 걸리는 시간이 약 5초라고 한다. 수익 모델도 독특하다. 가맹점에 수수료를 받는 방식이 아닌 사용자에게 이용료를 받는 방식이다. 이용료에 따라 사용할 수 있는 범위가 늘어나는 형태인데, 고객이 자주 이용하는 상점에서 반경 1~2킬로미터 이내 상점에는 0.99유호, 같은 도시 내에서는 1.99유로만 내면 이용이 가능하다. 6.99유로를 내면 국내 전역에서 자유롭게 이용할 수 있다. 주요 결제 수단으로는 신용카드와 페이팔, 스퀘어를 이용할 수 있다. 

생체정보를 이용한 인증은 얼굴인식으로 잠금을 해제하는 형태로 안드로이드 플랫폼에서 먼저 선보였다. 하지만 여성의 메이크업으로 인한 변화나 주위 조명의 변화로 인식률이 낮아지는 문제점으로 인행 얼굴인식은 하나의 재미 요소로 전락되었다. 애플의 터치 ID가 제공했던 손가락만 대면 1초 안에 잠김이 풀리거나 결제되는 편리한 사용자 겸험을 주지 못한다면 새로운 생체인증 기술의 확산에 어려운이 있을 것으로 예상된다. 또한 개인의 생체정보를 등록해야 하는 거부감과 심리적 불안감을 해소하려는 노력이 우선 해결되어야 할 것으로 보인다. 

생체정보를 이용한 인증의 글로벌 표준화 바람이 불고 있다. 그 중심에 있는 것이 바로 FIDO 얼라이언스가 기술 표준을 제공하고 있는 FIDO 인증이다. FIDO 얼라이언스는 2006년 6월 설립된 글로벌 온라인 보안 인증 기업 연합체다. 현재 20여 개로 구성된 이사회 멤버로는 구글이나 마이크로소프트와 같은 플랫폼 기업과 삼성, 레노보 등의 제조사가 있으며 비자카드, 마스터카드, 뱅크오브아메리카와 같은 금융사도 포함되어 있다. 그 외에도 알리바바, 페이팔과 같은 글로벌 핀테크 기업과 생체인증 전문기업인 시냅틱스, 녹녹랩스, 국내 회사인 크루셜텍이 포함되어 있다. 

FIDO 인증이 생체인증의 표준으로 조명받고 있는 이유는 보안이 적용되지 않은 영역에 공인인증서를 저장하는 위험이나 공개 키를 동일한 곳에 저장해 발생하는 비밀번호 노출 문제, 액티브X 기반 플러그인의 보안 취약점 등을 한 번에 해결할 수 있는 솔루션이기 때문이다. 또한 사용자 단계의 인증 수단과 서버 영역인 인증 프로토콜을 분리함으로써 인증 강도를 높이면서 다양한 생테인증 수단의 접목이 가능하다. 이런 장점은 별도의 비밀번호 입력 절차를 생략할 수 있어 사용자의 편의성도 함께 올려주기 때문에 모바일 환경에 적합한 인증 기술로 평가받고 있다. 기존의 인증 방식은 수단별로 제공하는 사용자 단말기에 적용하는 플러그인과 각 서버의 인증 모듈을 이용해야 하기 때문에 구축과 유지 시간 및 비용에 상당한 투자가 필요한 구조다. 만약 하나의 모바일 서비스에서 네 가지 인증 수단을 제공한다면 사용자의 휴대전화 앱에는 네 가지 인증 플러그인이 설치되어야 하고 4대의 각 인증 서버가 별도로 구축되어야 한다. 하지만 FIDO 인증 방식은 사용자 단계의 여러 가지 인증 수단을 하나의 FIDO 클라이언트에서 처리하고 서버로 전송하기 때문에 여러 대의 인증 서버가 필요하지 않으며 사용자 단말기에도 단일 클라이언트만으로 처리가 가능하다. 

FIDO 얼라이언스는 인증 방식을 크게 두 가지 표준으로 정립했다. 첫 번째는 UAF로 얼굴, 지문, 홍채 등 생체정보를 활용한 인증에 대한 표준이고, 두 번째는 U2F로 인증정보를 하드웨어 보안 토큰이나 USB 메모리 같은 저장매체에 담아 인증할 수 있는 방법에 대한 표준이다. UAF는 생체인증정보를 이용해 인증하는 방식을 채택했기 때문에 별도의 비밀번호를 입력하기가 불편한 모바일 환경에 적합하며, U2F는 아이디와 비밀번호만으로 보안 취약점을 강화할 수 있는 웹 환경에서 이용할 수 있다. FIDO 인증은 생체인증을 이용하는 경우에도 생체정보를 서버로 전송하지 않고 인증된 생체정보에 해당하는 공개키를 생성해 비교하는 방식을 채택하고 있어 민감한 생체정보를 안전하게 다루는 인증 표준으로서 입지를 굳히고 있다. 

생체정보를 이용해 개인을 인증하고 결제 수단으로까지 활용하기 위해서는 두 가지 화제가 우선 해결되어야 한다. 첫째, 대체 불가능한 수단으로 개인정보 보안에 철저해야 하며 사회적 책임을 다해야 한다. 생체정보를 상업화하는 기업은 생체정보가 대체 가능한 기존의 개인정보와 다르다는 것을 최우선으로 고려해야 하며, 생체정보를 수집하는 데 선택권을 주어 인권 침해 논란을 최소화해야 한다. 둘째, 최소한의 정보를 다루어 외부 침입에 대비하고 피해를 최소화하도록 준비해야 한다. 애플의 터치 ID도 해커로부터 해킹하는 영상이 이미 공개된 적이 있다. 고해상도로 스캔한 지문을 투명 용지에 출력해 본뜨는 방법이다. 일반인이 하기에는 다소 복잡하며, 피해가 개인에 한정되어 파급 효과는 크지 않다. 하지만 보안은 어떤 방식으로도 외부 침입에 안전할 수 없다는 것을 보여주는 단적인 예다. 어쩌면 이렇게 중요한 생체정보는 더욱더 외부 침입의 타깃이 될 수밖에 없는 중요한 정보임을 사전에 인지하고 최소한의 정보를 안전하고 효율적으로 이용해야 한다. 

업계에서는 모바일 생체인증시장이 향후 급속도로 성장할 것으로 예상하고 있다. 시장조사기업 AMI는 올해 25억 달러를 시작으로 2020년까지 333억 달러로 매년 90%씩 성장할 것으로 전망했다. 스마트폰이나 태블릿, 웨어러블 등 모든 모바일 기기에서 생체인증을 적용한다는 가정이다. 국내뿐만 아니라 세계적으로 생체인증 기술은 다양한 분야에서 지속적으로 성장할 것이다. 국내에서는 공인인증서 의무 사용 폐지로 인해 대체 수단을 찾고 있는 금융권의 대안이 될 수 있다. 생체인증은 핀테크와 같은 금융 분야에서 간편하게 본인을 확인할 수 있는 인증 수단으로 급성장할 가능성이 크다. 그에 앞서 생체인증 기술의 안전성과 가치에 대한 충분한 사회적인 공감대가 형성되어야 한다.