김승현 ETRI 인증기술연구실 선임연구원
[젊은 과학포럼]

지난해 개봉한 액션 스릴러 영화인 ‘미션 임파서블-로그네이션’ 편에서는 주인공인 톰 크루즈를 포함한 비밀첩보원들이 테러조직을 찾기위해 중동의 비밀저장고에 침투하는 장면이 나온다. 지문, 홍채, 음성인식 기술도 나오지만 걸음걸이를 인식해 본인을 확인하는 기술을 선보였다.

지난 2008년 정부는 개인정보 클린 캠페인을 운영한 적이 있다. 30만명이 1480만 건의 개인정보를 삭제해 달라 요청했다. 네티즌 한 명 당 불필요한 웹사이트 50개나 가입돼 있었다. 최근에는 스마트폰 앱에도 가입해 사용하니, 10년 전에 비해 가입한 웹사이트는 1인당 백건이 넘을지도 모르겠다.

각종 정보 사이트를 사용하면서 많은 도움을 받고 정보를 얻는것도 좋지만, 개인정보나 인증정보(아이디·비밀번호)가 안전하게 보호된다고 확신할 수만은 없다. 필자를 포함해 상당수의 사람들이 하나 또는 몇 개의 아이디와 비밀번호를 돌려쓰면서 웹사이트에 가입하고 있다. 만약 한 웹사이트의 사용자 DB가 관리상 소홀이나 해킹으로 유출된다면 어떤 문제가 생길까. 그 웹사이트뿐만 아니라, 동일한 아이디와 비밀번호를 쓰는 사용자의 다른 웹사이트에도 피해가 발생할 것이다. 해커는 웹사이트에 보관된 사용자 정보가 아니라 사용자 본인의 PC를 직접 노리기도 한다. 끔찍한 일이다.

비밀번호는 더 이상 효과적인 인증 수단이 아니다. 비밀번호에는 허점이 많다. USB토큰이나 일회용 비밀번호(OTP) 같은 보안기술도 완벽한 방패가 되어주지 못한다. 이 때문에 최근에는 사용자 본인의 지문, 홍채, 얼굴, 음성과 같은 생체정보를 인증수단으로 사용하는 추세다.

최근 ‘파이도 얼라이언스(FIDO Alliance)’라고 불리는 국제 표준화 단체가 만든 표준 기술은 별도의 보안 프로그램 설치 없이도 안전하게 웹사이트 사용이 가능하다. 웹사이트 인증에 사용하는 보안정보가 악성코드도 접근하기 어려운 안전한 곳에 생체정보로 암호화되어 저장되기 때문이다. 스마트폰이나 PC에 본인의 지문, 얼굴, 음성과 같은 생체정보를 인식만 해도 웹사이트에 인증이 가능하다. 기억하기 어렵고, 해커가 훔치기 쉬웠던 비밀번호는 더 이상 사용가치가 없어진다. 삼성 갤럭시폰에서 동작하는 ‘삼성페이’도 파이도 표준 기술이 적용되어 안전하게 동작한다. 조만간 은행이나 정부 사이트에도 ‘파이도’의 표준 기술이 도입될 전망이다.

미래 이야기로 들리겠지만, 정보보호를 위한 연구분야로 사용자의 생체정보가 아니라 습관을 관찰, 인증하는 기술이 진행중이다. 영화 ‘미션 임파서블’이 현실이 되기 위한 날도 얼마 남지 않은 셈이다.

또 비밀번호를 입력할 때 키보드를 누르는 방식이나 마우스를 클릭하는 방식은 사용자마다 제각각 다르다. 알파고의 딥러닝과 같은 기계학습 기술로 이 습관을 학습하면, 사용자의 현재 행동을 관찰, 본인의 습관과 얼마나 일치하는지 여부를 판단도 가능하다. 사용자의 비밀번호는 쉽게 도용될 수 있지만, 사용자의 습관은 따라 하기가 훨씬 어렵다.

앞으로 수년 뒤 우리네 모습은 ICT의 발달로 우리가 상상하기 어려울 정도로 달라질 것이다. 그 때가 되면, 번거롭게 아이디와 비밀번호를 입력할 일은 없어질 것으로 보인다. 그 대신 개인의 생체정보와 현재 행동만으로 자연스럽게 인증 되는 날이 올 것이다.
저작권자 © 충청투데이 무단전재 및 재배포 금지