◎웨어러블 시장 커질수록 생체인증 뜬다

LG경제연구원 '웨어러블 시장 커질수록 생체인증 뜬다'

생체인식관련 기술이 빠르게 발전하면서 보안성과 편의성을 높일 수 있는 인증 수단으로 물품결제와 금융결제 등 다양한 영역에 생체인증의 적용이 확산되고 있다. 특히 생체인식 및 인증 기술은 기술적 시너지 효과와 사용 인터페이스 측면에서 웨어러블과의 동반성장 가능성이 매우 커 보인다. 

비밀번호를 대체하는 생체인증 

사물인터넷, 핀테크, 헬스케어 등 지능화된 ICT를 기반으로 삶을 보다 편리하고 효율적으로 만들어주는 서비스들이 등장하고 있다. 그런데 이런 지능화, 맞춤화의 가장 기본적인 조건은 서비스의 이용자가 본인인지 확인하는 것, 즉 본인인증이라 할 수 있다. 부정결제와 기기의 부정사용을 막기 위해 본인인증이 필요하며, 빅데이터 활용을 위해서라도 본인인증이 중요하다. 부정사용을 막을 수 있어야 그 사람의 현재 위치, 접속 시간, 검색 이력 그리고 결제 이력 등의 정보를 축적할 수 있으며, 사용자의 성향을 파악하고 행동 패턴을 예측할 수 있으며, 궁극적으로 해당 사용자가 가장 필요로 하는 정보와 서비스를 제공할 수 있을 것이다. 

지금까지 인터넷에서 가장 기초적이면서 대중적인 본인인증 방식은 사전에 개인이 설정해 놓은 비밀번호(Password)를 서비스 이용 시점마다 입력하는 방식이었다. 메일, 소셜 네트워크 서비스, 커뮤니티, 포탈 등 대부분의 인터넷 서비스에서 비밀번호 방식을 이용하고 있다. 인터넷 뱅킹에서 이용되는 공인인증서나 보안카드, OTP(One Time Password), 휴대폰 SMS 인증 등도 역시 비밀번호를 입력함으로써 인증이 이루어지는 형태이다. 그러나 소비자들이 지능형 ICT 서비스들을 사용하기 위해서는 위치 정보, 금융 정보, 의료 정보와 같이 민감한 정보를 보다 빈번하게 이용해야 한다. 이러한 정보는 유출될 경우 큰 피해를 야기할 수 있기 때문에 편리하면서도 매우 높은 보안성을 갖춘 인증 방식이 요구되고 있다. 

물론 숫자, 문자, 특수문자를 조합한 10자리 이상의 비밀번호를 입력하도록 하는 것도 하나의 방법이지만, 비밀번호를 아무리 복잡하게 만든다 해도 PC나 스마트폰에 악성코드를 심어 두거나 뒤에서 몰래 훔쳐보는 등의 방식으로 유출되기 용이하다는 단점이 있다. 뿐만 아니라 비밀번호를 복잡하게 만들면 사용자도 잊어버리거나 헷갈리기 쉽다는 불편함도 있으며, 경우에 따라서는 회사원이 비밀번호를 메모지에 기재하는 과정에서 보안이 취약해지기도 한다. 과거 2005년경, 한 외국계 기업에서 영문자, 숫자, 특수기호를 혼합해 복잡한 비밀번호로 교체하도록 했다. 그러자 대부분의 직원이 모니터 옆에 비밀번호를 적어 놓은 메모를 붙여 놓는 사태가 벌어져서 보안강화 지시가 결과적으로는 보안을 취약하게 만들었다. 

OTP나 휴대폰 SMS를 통해 보안을 강화할 수 있지만, 이 경우에는 편의성이 문제다. OTP의 경우 상시 휴대를 해야 한다는 불편함이 있고 분실의 우려도 있다. 휴대폰 SMS의 경우도 본인의 휴대폰 번호를 입력한 후 휴대폰으로 수신된 일회성 비밀번호를 입력해야 한다는 절차 상의 불편함이 있다. 이처럼 보안성과 편의성 향상에 한계가 있을 수 밖에 없는 비밀번호 방식에 비해 보안성이 매우 높으면서 외우거나 휴대하지 않고도 편리하게 이용할 수 있는 생체인증(Biometrics) 방식이 ICT 서비스의 차세대 핵심 인증 수단으로 떠오르고 있다. 

다양한 생체인증의 유형 

생체인증은 각 개인의 고유한 생체정보를 이용하여 인증을 수행하는 기술이다. 따라서 모방이나 복제가 매우 힘들며 도난이나 분실의 염려도 없어 보안성이 매우 높다는 특징이 있다. 생체인증에는 크게 선천적인 생리적(Physiological) 특징을 이용하는 방식과 후천적인 행동적(Behavioral) 특징을 이용하는 방식이 존재한다. 생리적 특징 중에서는 지문이 가장 활발히 이용되고 있으며, 홍채, 망막 등 눈의 특징을 이용한 생체인증, 정맥, 귀, 손바닥, 얼굴의 형상 또는 열상(Thermogram), 개인 특유의 체취, 나아가서는 DNA를 이용한 생체인증 기술도 개발되어 있다. 행동적 특징 중에서는 음성 특성(Voice print)이나 걸음걸이, 서명 방식, 키보드 타이핑 방식 등이 인증 정보로 활용되고 있다. 이와 같이 다양한 방식의 생체인증 기술이 존재하지만, 비밀번호 방식처럼 보편적으로 사용되지는 못하고 있다. 기술 수준의 한계와 소비자들의 부정적 인식 때문이다. 

음성 특성이나 서명, 키보드 타이핑 등 대부분의 행동적 특징과 얼굴 형상은 정보를 수집하는 데 있어 소비자들의 거부감이 크지 않은 반면, 이들 정보를 이용하는 인증 방식은 정확도가 다소 부족하다. 음성 인식과 얼굴 인식의 경우 외부 환경의 간섭이 없는 실험실과 같은 환경에서는 비교적 높은 정확도를 보인다. 그러나 실생활 환경에서는 그렇지 않다. 음성 인식은 소음에 따라, 얼굴 인식은 밝기와 카메라 각도 등에 따라 정확도가 매우 낮아질 수가 있다. 현재의 기술 수준으로는 민감한 정보를 요구하는 금융, 의료 등의 서비스에 적용하기는 어렵다고 할 수 있다. 

반면 지문, 홍채, 망막 등의 생리적 특징은 인증의 정확도가 매우 높을 뿐만 아니라 인증 과정도 간단하기 때문에 민감한 정보를 다루는 ICT 서비스에서도 인증 수단으로 충분히 활용될 수 있다. 그러나 아직까지 실제로 활용되고 있는 분야는 많지 않다. 고가의 전용 센서가 필요하다는 이유도 있지만, 보다 중요한 원인은 생리적 생체 정보를 특정 사업자가 저장하는 것에 대한 소비자들의 거부감이 크다는 것이다. 해당 사업자가 생체 정보를 악용할 가능성 또는 해킹으로 유출될 가능성 등에 대한 우려가 크기 때문이다. 유출된다 해도 다시 변경하면 되는 비밀번호와 달리, 생리적 생체 정보는 개인별로 타고 나는 것이라 변경시킬 수가 없다. 

생체인증의 신뢰도 증가 

그러나 최근 지문 인식 센서가 탑재된 스마트폰이 출시되고 심박 센서가 탑재된 스마트워치가 출시되는 등 생체인증의 확산 가능성이 높아지고 있다. 그 이유는 생체인증 확산의 걸림돌로 지적되었던 기술적, 인식적 한계가 극복되고 있으며, 규제도 개선되고 있기 때문이다. 우선 음성 인식, 얼굴 인식 등 생체인증 각각의 정확도가 빠르게 개선되고 있다. 카메라, 마이크 등 센서의 하드웨어적인 성능도 개선되고 있으며, 센서로부터 확보된 정보를 분석하는 소프트웨어 알고리즘도 혁신적으로 발전되고 있기 때문이다. 또한 지문, 홍채, 망막 등의 생체인증을 위한 전용 센서 역시 기술이 성숙됨에 따라 가격이 낮아지고 소형화되고 있다. 홍채, 망막 등의 경우는 스마트폰의 전면 카메라만으로도 전용 센서에 버금가는 정확도를 얻을 수 있는 기술이 개발되고 있다. 생체인증이 활용되기에 보다 용이한 환경이 구현되고 있는 것이다. 

생체인증 확산에 있어 또 하나의 중요한 걸림돌인 소비자의 거부감도 점차 완화될 것으로 예상된다. 생체 정보를 저장하는 위치가 서비스 사업자가 소유한 서버에서 개인이 소유한 기기로 옮겨지고 있으며, 생체 정보를 보다 안전하게 보관할 수 있는 기술도 발전하고 있기 때문이다. 아이폰이 대표적인 사례라고 할 수 있다. 애플은 2013년 출시한 아이폰5S부터 터치 ID (Touch ID)라는 지문 인식 센서를 탑재하기 시작했다. 터치 ID의 가장 큰 특징은 사용자의 지문 스캔 정보를 애플의 서버에는 저장하지 않고, 아이폰 내의 보안 구역에 저장한다는 점이다. 사용 시에는 터치 ID에 접촉한 지문의 정보와 아이폰에 저장된 지문 정보가 일치할 경우, 토큰이라는 1회성 비밀번호를 생성하여 서비스 사업자에게 전송하는 형태로 인증이 이루어진다. 생체 정보를 소비자가 소유하고 있는 방식이기 때문에 생체 정보 악용 또는 유출에 대한 우려를 상당 부분 감소시킬 수 있는 것이다. 이후 타 제조사들도 애플과 유사하게 생체 정보를 기기에 저장하는 방식을 채택하는 추세이다. 

그리고 기기에 생체 정보를 저장할 때에도 각종 변환 및 암호화 기술을 적용함으로써 해킹을 예방하고 있다. 예를 들어 지문 정보의 경우, 지문 형상을 그대로 저장하는 것이 아니라 지문의 특징을 암호화하는 과정을 거쳐 만들어 진 지문 템플릿을 기기에 저장한 후 활용하고 있다. 물론 가능성이 극히 낮지만, 지문 템플릿과 암호화 방식이 함께 유출된다면 지문 형상 자체를 복원할 수도 있다. 그래서 최근에는 복수의 지문 정보를 조합하여 암호화하는 인증 방식도 등장하고 있다. 스페인의 핀테크 기업 페이터치(Paytouch)의 경우, 지문 정보를 서비스 사업자의 서버에 저장하고 있지만, 그대로 저장하는 것이 아니라 두 손가락의 지문 정보를 조합한 정보를 저장하고 있다. 만약에 서버가 해킹된다고 해도, 조합된 정보를 이용하여 사용자의 두 손가락 지문을 각각 유추하는 것은 불가능하다. 이와 같이 생체 정보의 조합 또는 암호화 등을 통해 해킹을 근본적으로 예방할 수 있는 기술들도 지속적으로 개발되고 있어서 생체인증에 대한 소비자의 수용도는 지속하여 높아질 것으로 보인다. 

규제 완화도 생체인증 확산에 도움을 줄 것이다. 원래 전자금융거래법은 생체정보를 본인인증 수단의 하나로 인정하고 있었다. 그러나 금감원의 감독규정으로 온라인거래 상의 본인인증에 공인인증서만 사용하도록 했기 때문에 생체인증이 사용되지 않았다. 다행히 작년에 공인인증서 의무가 폐지되면서 온라인 거래에서 생체인증이 허용되게 되었다. 정부가 사전에 보안의 취약점을 점검하는 보안성 심의도 폐지될 예정이어서, 혁신적인 생체인증 방안이 확산될 것으로 보인다. 

IT기업들이 주도하는 온라인 쇼핑에서는 적극적으로 생체인증이 도입되고 있지만, 은행과 같은 금융기관들은 현재까지도 공인인증서에 의존하고 있다. 거래의 안정성을 중시하는 금융기관의 특성상 안전성이 검증된 공인인증서를 선호하기 때문에 변화가 느린 것으로 보인다. 장기적으로는 금융기관들도 공인인증서의 대안으로 생체인증을 사용할 가능성이 높으며, 온라인 금융거래 뿐만 아니라 ATM에서도 지문, 정맥 정보 등이 사용될 것으로 보인다. 

아울러 정부는 인터넷 전문은행 허가를 위해 비대면 실명확인을 추진하고 있는데, 향후 금융기관에서 생체인증을 많이 사용하여 소비자의 신뢰를 얻는다면, 생체인증을 통한 실명확인도 충분히 가능할 것으로 보인다. 

다중 생체 인증에 대한 연구도 활발 

최근에는 하나의 생체 정보만이 아니라 지문과 얼굴 인식, 홍채와 음성 인식 등 다수의 생체 정보를 동시에 이용하여 정확도를 높이는 다중 생체 인증(Multimodal Biometrics)에 대한 연구도 활발히 진행되고 있다. 곧 출시 예정인 마이크로소프트의 윈도우10에 탑재된 생체인증 기능, 윈도우 헬로(Hello)의 경우에도 기초적인 다중 생체 인증이 적용되었다. 윈도우 헬로는 비밀번호 대신 지문, 홍채 또는 얼굴 등으로 로그인 할 수 있는 기능인데, 얼굴 인식의 경우 일반 카메라로 촬영된 얼굴의 형상과 온도를 측정할 수 있는 적외선 카메라로 촬영된 얼굴의 열상을 함께 조합하여 인증을 하고 있다. 얼굴의 형상만 인식할 경우 사용자의 사진을 이용한 해킹이 가능했지만, 열상을 함께 인식함으로써 이를 예방할 수 있게 된 것이다. 다중 생체 인증이 구현되면, 환경적인 영향에 따른 인식 오류를 줄일 수 있고 해킹에서도 보다 안전해 지며, 인증의 편의성도 높아질 것이다. 그리고 생체인증의 확산 속도 가속화에도 기여할 것으로 예상된다. 

웨어러블과 결합한 성장과 혁신잠재력 커 

생체인증은 다양한 방면에서 이용될 수 있기 때문에 금융거래 목적 이외에도 기기 사용을 위해 많이 사용될 것으로 보인다. 금고나 현관 출입은 과거부터 많이 사용되어 왔고 최근에는 모바일, 웨어러블은 물론 IoT에 대해서도 본인인증 수단으로 사용될 수 있다. 기기의 도난을 방지하고 기기에 저장되어 있는 개인정보를 보호하기 위해 본인 인증을 할 필요가 있는데, IoT 기기들은 UI가 협소하여 비밀번호를 입력하는 방식보다는 생체인증이 보다 적합할 가능성이 있다. 

특히 웨어러블은 대개 키보드가 없어서 비밀번호를 입력하기 어려운 반면, 인체에 밀착하여 사용하기 때문에 생체인증이 적합하다. 지난 2013년, 바이오님(Bionym)사는 개인 고유의 심전도를 측정하여 인증을 수행하는 나이미(Nymi) 스마트밴드를 출시하였다. 이를 착용한 후, 한번만 심전도 센서에 손가락을 대고 인증 과정을 거치면, 밴드를 벗기 전까지는 별도의 비밀번호 입력 절차 없이 PC에 로그인 하거나 자동차, 아파트 등의 출입문을 열 수도 있고, 매장의 결제 단말기에 밴드를 터치하는 간단한 동작만으로 결제를 할 수도 있다. 

구글, 애플과 같은 글로벌 ICT 기업들도 웨어러블 기기에서의 생체인증 필요성에 대해 인식하고 관련 기술들을 선제적으로 준비 중에 있다. 구글의 경우, 작년 12월 구글 글래스에서 홍채 인식, 망막 인식 등의 생체인증을 구현하기 위한 특허를 출원하였다. 그리고 올해 안에 출시될 것으로 예상되는 구글 글래스 다음 버전부터 생체인증 기능이 본격적으로 탑재될 것이 예상되고 있다. 

이와 같이 웨어러블과 생체인증을 결합할 경우, 사용자 경험(UX, User Experience)의 편의성 측면에서 혁신적인 변화가 가능할 것으로 예상된다. 

이러한 인증을 하기 위해서는 모바일 제조사나 웨어러블 제조사가 생체 정보를 저장하거나 보관할 필요는 없이, 개별 기기에 생체 정보를 저장하면 되기 때문에 현재까지 특별히 규제되지 않고 있다. 그러나 웨어러블이나 모바일에 많은 정보가 저장되고, 전자금융거래까지 가능해짐에 따라 분실 및 절도 시 소비자의 손해도 커질 가능성이 있다. 

웨어러블과 모바일 기기의 부정 사용과 금융 사기를 막을 수 있는 수준의 생체인증 기술 표준이 필요한데, 국내에서는 생체 정보를 수집하고 저장하는 기술 및 절차가 완비되지 않았다. 신용정보감독규정과 정보통신망법 시행령은 생체정보의 암호화를 규정하여 상대적으로 안전하게 관리되지만, 웨어러블과 모바일 기기 사용을 위한 본인인증 등은 관련규정이 없어 보안에 취약한 측면이 있다. 정부가 세세하게 규제하는 방안도 있지만, 생체 정보를 이용한 인증은 기술 발전 속도가 빠르기 때문에 정부가 규제하는 것은 쉽지 않은 상황이다. 현재 국제적으로는 2012년 설립된 FIDO(Fast IDentity Online) Alliance가 생체인증의 기술 표준을 주도하고 있다. 

아직까지는 민감한 생체 정보의 악용 등과 같은 생체인증 이용에 따른 위험성이 완전히 사라지지 않은 상황이다. 그러나 규제를 우선한다면 ICT 산업의 혁신적 흐름에 역행하는 것이 될 것이다. 지문, 홍채와 같은 기존의 생체인증 기술의 발전과 더불어 지금까지 생각하지 못하던 생리적, 행동적 특성을 인증 수단으로 하는 새로운 생체인증 기술이 등장하고 있다. 그리고 다양한 생체인증을 복합적으로 활용하는 다중 생체인증 방식이 확산되면 생체 정보 유출의 위험성은 획기적으로 줄어들고, 정확도는 높아질 수 있을 것으로 기대된다. 특히, 웨어러블, 헬스케어, 핀테크 등의 시장이 커질수록 생체인증의 성장과 혁신의 여지는 커질 것이다.  <끝>