EPNC(월간 전자부품 뉴스) UPDATED. 2018.9.17 월 16:04

상단여백
EPNC(월간 전자부품 뉴스)
HOME 마이크로사이트 MOUSER
생체인증이 패스워드의 문제점에 대한 해결책이 될 것인가
신동윤 기자 | 승인 2018.03.15 09:01

지난 1월 중순, 하와이 주민들은 자신들의 낙원과 같은 섬이 공격받고 있다는 스마트폰 알림을 받고 패닉 상태에 빠졌었다. 미사일 공격을 받고 있다는 공식적인 알림은 HI-EMA(Hawaii Emergency Management Agency)에서 소셜 미디어를 비롯한 다양한 채널을 통해 전달했다.

섬 주민은 물론, 지구상의 다른 사람들에게도 다행스럽게, 이 공포스러운 알림은 잘못된 경보로 밝혀졌다. IT 전문 매체인 더버지(The Verge)에 의하면 이 오류는 담당자가 일상적인 훈련 상황에 대한 알림을 전송하는 상황에서, 테스트 버전이 아닌 실제 템플릿을 사용함으로써 일어난 사건이라고 한다. 이런 오류로 인해 “즉시 주변의 대피소를 찾으시기 바랍니다. 이는 실제 상황입니다”라는 메시지가 수많은 사람들에게 전달됐다.

미군 관계자로부터 첫 알림이 전송된 직후, 자신의 트위터 팔로워들에게 알렸던 툴시 가바드(Tulsi Gabbard) 연방 하원의원과 같은 일부 사람들은 2분이 지나기도 전에 이 알림이 잘못된 것이라는 사실을 인지했다. 하지만 운이 좋지 않은 사람들도 있었다. 하와이 주지사인 데이비드 이게(Davie Ige)의 팔로워들은 “모든 것이 명확하다”는 메시지를 17분간이나 계속 확인했으며, HI-EMS는 38분이나 지나서야 잘못된 메시지가 전달됐으며, 하와이는 아무런 위협도 받지 않고 있다고 밝혔다.

언론들은 오늘날과 같은 실시간 커뮤니케이션 시대에 이게 주지사가 잘못 발송된 메시지라는 것을 인지하고, 이에 대한 사실을 트위터로 알리는 데 15분이나 걸린 이유를 확인하고자 했다. 사실은 부끄럽게도 이게 주지사가 자신의 트위터 패스워드를 잊은 것이 지연의 원인라고 밝혀졌다.

기억할 수 없는 것에 대한 기억

하와이의 미사일 사태는 고맙게도 잘못된 알림에 대한 경각심을 일깨우는 과정에서, 핵무기와 관련된 문제에서의 의사소통의 지연이 치명적이라는 사실 또한 같이 부각됐다. 트위터나 페이스북과 같은 소셜 미디어 채널을 주요 정보 소스로 사용하는 많은 사람들이 이게 주지사의 건망증은 비밀번호 보안의 중요성을 다시금 일깨웠다.

하지만 그렇다고 주지사를 비난할 필요는 없다. 많은 사람들이 미사일의 위기가 닥친 상황이 아님에도 불구하고 패스워드를 그다지 잘 기억하지 못하기 때문이다. 기억하기 쉬운 패스워드(password, password123 등이 얼마나 많이 사용되고 있는지 안다면 놀랄 것이다)를 사용하는 방법도 있지만, 이는 쉽게 깨질 수 있는 패스워드라는 사실 또한 알아야 한다. 또한 대부분의 사람들은 한두개의 패스워드로 대부분의 로그인 요구에 대응하기 때문에 만약 하나의 로그인 계정이 유출된다면 동일한 전자우편과 패스워드를 사용하는 수천 개의 웹사이트에 접속을 시도할 수도 있다.

더욱 심각한 것은 우리가 걱정해야 할 것은 해커만이 아니라는 사실이다. 위라이브시큐리티(Welivesecurity) 블로그에 의하면 50% 이상의 사람들이 가정과 직장 계정에 동일한 패스워드를 사용하고 있으며, 20%의 직원들이 자신의 패스워드를 동료 직원들과 공유하고 있다. 이처럼 직원의 부주의로 인해 많은 기업들이 큰 대가를 치룰 수 있는 데이터 침해 사고에 노출돼 있다.

이런 문제 때문에 기업들과 웹사이트들은 패스워드와의 전쟁을 벌이고 있다. 예를 들어 많은 기업들과 웹사이트에서 더 이상 단순한 패스워드를 허용하지 않고 있으며, 영문과 숫자의 조합으로 최소 길이를 지정하고, 보다 자주 패스워드를 갱신하도록 유도하고 있다.

하지만 9자 이하의 영문 숫자 조합 패스워드에 대한 ‘무차별 대입’공격은 비교적 적은 컴퓨팅 용량으로도 충분히 뚫릴 수 있으며, 더욱 복잡한 암호조차도 공격으로부터 자유롭지 못하다.  기술에 민감한 일부 웹사이트의 경우는 몇 번의 패스워드 오입력만으로도 계정을 잠그는 방식으로 공격을 막고 있지만, 모든 웹사이트가 이런 방식을 도입하고 있는 것은 아니다.

결과적으로 보안에 민감한 웹사이트는 일반적으로 ‘기억하기 어려운 패스워드를 기억해야 한다’는 방식을 사용하고 있다. 이로 인해 지루하고 많은 시간을 소모하는 암호 복구 과정을 필요로 하고 있다.

패스워드의 변천사

간단하게 구현할 수 있으며, 단순한 기술만으로 가능하기 때문에 패스워드에 대한 선호도가 지금까지 지속돼 왔다. 하지만, 이 패스워드 방식은 이전의 결함까지 계속 계승해 지금에 이르렀으며, 이로 인한 문제가 불거지자, 패스워드 방식에 대한 생각이 조금씩 바뀌고 있다.

다른 방법은 패스워드를 머리로 기억하는 것이 아니라, 주머니에 넣고 다니는 것이다. 상용 솔루션 중에는 PC에 연결해 사용자 프로필을 로드하는 개인화된 USB 키로 패스워드를 대체하는 방식이 있다. 일단 인증 과정을 거치면 PC는 사용자 로그인 과정과 같은 접근 권한을 부여한다. 하지만 이 방식은 키를 집에 두고 올 경우와 같은 상황에서 커다란 단점을 드러낸다.

또 다른 방식으로는 사용자의 고유한 정보를 사용해 패스워드를 구성하는 방법이 있다. 예를 들어 화면에 고유한 이미지를 표시하는 스마트폰 앱을 사용할 수 있다. 이 스마트폰에 표시된 이미지를 PC의 웹캠을 통해 인식시킴으로써 접근 권한을 부여하는 것이다.

그러나 이런 대체 방안은 아직 주류로 자리잡지 못하고 있다. 반대로 생체인증 기술은 발빠르게 대중화되고 있다. 생체인증 기술은 인간이 갖고 있는 지문과 홍채 패턴, 귀 모양, 보행 패턴 등과 같은 독특하고 개별적인 특징이 패스워드 방식의 효과적인 대체 방안으로 자리잡고 있다.

지문 스캐너는 비교적 저렴하고 작고 빠르며 일반적으로 정확하기 때문에 생체인증 기반의 보안 분야를 선도해 왔다. 그러나 저렴한 만큼 한계점 또한 있다. 저렴한 지문 인식 스캐너는 건조한 피부나 기름, 또는 먼지가 많은 환경에서는 오작동할 위험이 있으며, 최악의 경우 손가락을 잘라 인증을 통과할 수도 있다. 하지만 더 심각한 부분도 있다. 뉴욕타임즈에 따르면, 저렴한 스캐너는 지문의 8~10 가지 특징만을 인식하기 때문에 비슷한 패턴을 가진 사람들로 인해 약 10% 정도의 오인식 가능성을 갖고 있다고 한다.

물론 프리미엄 스마트 폰의 경우는 다르다. 고급 지문 인식 스캐너는 피부 표면 아래를 스캔해 (오염의 영향을 덜 받는) 살아있는 사람에게만 존재하는 미세 전류를 인지한다. 또한 저렴한 스캐너보다 더 많은 지문 특징을 고려하는 것 또한 패스워드의 보안성을 높일 수 있는 요인다. 하이엔드 스마트폰 스캐너의 오인식율은 저렴한 휴대전화의 지문인식 스캐너의 10% 수준이 아닌 0.002% 수준의 매우 낮은 수준이다.

그러나 지문 인식 스캐너 또한 한가지 커다란 문제가 있다. 오늘날 스마트폰들은 스크린 크기를 밀리미터 수준까지 확보하기 위해 안간힘을 쓰고 있다. 일부 스마트폰은 스캐너를 뒷면으로 보내는 방식으로 문제를 해결하고 있지만, 이는 접근의 편의성 측면에서 희생이 불가피하다. 애플의 아이폰X는 얼굴 인식으로 지문 스캐너를 완전히 대체했다. 사용자들은 시스템이 잘 동작한다고 말하고 있지만, 지문 스캐너에 비해 느리고, 편의성이 떨어지는 것은 부인할 수 없다. 차세대 스마트폰은 지문 스캐너를 스크린에 내장함으로써 이 문제를 극복할 수 있지만, 이는 추가비용으로 인해 일부 고가 모델에만 적용될 것으로 예상된다.

지문 인식 스캐너의 대안

지문이나 얼굴 인식 외에도 보안 기기에 접속하는 데 사용할 수 있는 다양한 생체인증 방식이 있다. 홍채 인식 또한 하나의 생체인증 수단이다. 예를 들어 스마트폰에 홍채 인식을 적용할 경우 카메라와 앱을 사용해 홍채 패턴을 스마트폰에 저장된 소유자의 홍채 패턴과 비교한다(홍채 인식은 망막 인식과는 달리 눈 뒤쪽에 있는 모세 혈관의 패턴으로 더욱 안전한 방식으로 인식되고 있다). 홍채 인식 기술은 잘 동작하지만, 이를 사용하기 위해서는 얼굴을 스마트폰 가까이 위치해야 하며, 지문 인식이나 패스워드 입력 방식에 비해 인증에 더 많은 시간이 소요된다.

연구가 진행되고 있는 또 다른 생체인증 방식으로는 귀 모양 인식 방식이다. 이 기술은 귀가 스마트폰 화면을 누를 때, 귀에 의해 생성된 패턴을 식별해 작동한다. 이 방식은 하드웨어 수정 없이 터치 방식의 스마트폰 스크린으로도 구현할 수 있다는 것이 장점이다. 하지만, 인증을 위해서는 일반적으로 사용자가 장치를 귀에 가져다 댈 필요가 없는 상황에서도 인증을 위해 스마트폰을 귀에 가져가야 한다는 것이다.

스마트폰 이외에도 생체인증 기술을 활용한 보안 기술에는 웨어러블 기기를 이용한 보행 패턴 인식 기술이 있다. 이 기술은 PC를 통해 무선으로 정보 전송과 인증을 위해 기록된 샘플과 정보를 비교해 인증을 진행한다. 그밖에 팔찌나 손목시계 등을 이용해 사용자의 독특한 심장 박동을 이용한 인증 방식으로 PC에 대한 접근 권한을 제공하는 방식도 있다.

미시간 대학에서는 목걸이나 이어폰, 안경 등 다양한 생체인증 방식을 시리(Siri)나 알렉사(Alexa)와 같은 음성 인식 기술까지 확장해 비교했다. 결과적으로 이들이 선택한 방식은 사용자의 음성이 신체를 통하면서 유발된 진동을 기록한 다음, 이를 PC에 저장된 샘플과 비교하는 방식이었다.

패스워드는 인터넷의 초창기때 저렴하고 적절한 솔루션이었다. 패스워드가 대중화되던 시기만 해도 이렇다할 웹사이트도 거의 없었을 뿐 아니라 해커들도 그다지 똑똑하지 않았다. 시대가 변화함에 따라 이제 패스워드는 의미가 퇴색하고 있다. 반면 생체인증은 독특하고 해킹하기 힘들뿐 아니라 집에 두고 오는 등의 문제가 발생할 여지가 없다는 장점이 있다. 하지만 문제는 어떤 생체인증 방식이 최선인지는 여전히 불분명하다. 이를 결정하는 것은 기술적 완성도와 비용, 미적인 측면, 그리고 편의성이 될 것이다.

 

 

Written by 스티븐 키핑(Steven Keeping) & Provided by 마우저 일렉트로닉스 (Mouser Electronics)

 

스티븐 키핑은 영국의 브라이튼대학(Brighton University)에서 BEng 학위를 취득한 후, 유로썸(Eurotherm)과 BOC의 전자 부분에서 7년간 근무했다. 그는 이후 일렉트로닉 프로덕션(Electronic Production)를 비롯해 트리니티 미러, CMP, RBI, 등 전자제품 제조, 테스트와 관련된 매체에서 13년간 수석 편집과 출판 관련 업무를 진행했다. 현재 그는 전자 전문 프리랜서 기자로 일하고 있다.

 

[편집자 주] 본 기사는 글로벌 전자부품 유통회사인 마우저 일렉트로닉스 (Mouser Electronics)의 후원을 바탕으로 진행되는 EPNC의 단독 외부 기고입니다.

#생체인증#생체인식#지문인식#홍채인식#보안#암호#

신동윤 기자  dyshin@techworld.co.kr

<저작권자 © EP&C News, 무단 전재 및 재배포 금지>

신동윤 기자의 다른기사 보기
PREV NEXT

여백
여백
여백
여백
여백
여백
Another Article
이제 머신러닝으로 인한 보안 문제에 대비해야 할 때
이제 머신러닝으로 인한 보안 문제에 대비해야 할 때 머신러닝은 광범위한 적용 분야에서 강력한 기술이라는 인식을 빠르게 쌓아가고 있다. 머신러닝 알고리즘, 특히 DNN(Deep Neural Network)은 초기 이미지 인식 기법과 비교했을 때, 엄청난 진보를 보여주고 있으며, 구글이 이를 텍스트 번역 서비스에 적용했을 ...
차량용 ADAS의 발전은 다른 분야의 디자이너에게도 커다란 혜택
차량용 ADAS의 발전은 다른 분야의 디자이너에게도 커다란 혜택 오늘날의 자동차에는 LDW(Lane Departure Warning), ABS(Adaptive Brake System), 롤오버 방지, GPS(Global Positioning System) 기반 및 관성 항법 시스템, 백업 카메라와 같은 ADAS(Advanced Dr...
FPGA로 구현하는 인공 신경망이 증강된 지능을 가능케 한다
FPGA로 구현하는 인공 신경망이 증강된 지능을 가능케 한다 어느 누구도 나이를 먹어감에 따라 겪게 되는 인지 능력의 저하를 원하지 않는다. 스포츠 뇌진탕이 장기적인 상황에서 보여주는 심각한 손상에 대한 연구 결과로 인해, 신체적 손상으로 부터 매우 중요한 장기인 두뇌를 보호해야 할 필요성이 최근 재조명되고 있다.과학자인 미하일...
라이다는 자율주행차를 위한 필수불가결한 기술인가?
라이다는 자율주행차를 위한 필수불가결한 기술인가? 좋건 나쁘건, 어쨌거나 자율주행차는 미래의 자동차 트렌드 중 중요한 부분을 차지하면서 많은 생명을 구하고, 혼잡한 고속도로를 더 많은 차량이 공유할 수 있도록 만들어 줄 것으로 기대되고 있다. 심지어 오늘날에도 자율주행 기술은 운전자에게 차선 이탈을 경고하고, 심지어 ...
마우저와 이마하라, 제너레이션 로봇의 새로운 전자책 발간
마우저와 이마하라, 제너레이션 로봇의 새로운 전자책 발간 [EPNC=정환용 기자] 마우저 일렉트로닉스는 마우저의 ‘협업을 통한 혁신’(Empowering Innovation Together)의 새로운 시리즈 ‘제너레이션 로봇’(Generation Robot) 일환으로, 서비스 로봇에 대한 새로운 전자책을 발간했다고 밝혔다.유...
더 높은 전력 시스템 밀도를 제공하는 첨단 세라믹 저항기
더 높은 전력 시스템 밀도를 제공하는 첨단 세라믹 저항기 전자제품의 디자인이 점차 작아짐에 따라 전력 시스템의 밀도를 높이기 위한 획기적인 구성요소를 요구하고 있다. 다양한 전자제품 적용 분야에서 널리 사용되고 있는 전력 저항기는 전기 저항을 통해 많은 양의 전력을 견디고 분산시키는 중요한 목적을 수행하고 있다. 오늘날의 엔...
마우저, 아나로그디바이스∙코일크래프트 솔루션 페이지 발표
마우저, 아나로그디바이스∙코일크래프트 솔루션 페이지 발표 [EPNC=정환용 기자] 마우저 일렉트로닉스는 설계자가 차량과 산업 애플리케이션에서 발생하는 전자파 간섭(EMI) 문제를 해결할 수 있도록 아나로그디바이스(Analog Devices)와 코일크래프트(Coilcraft)가 생산하는 솔루션 페이지를 발표했다. 새로운 페이지...
완벽한 IoT 보안 솔루션을 만드는 방법?
완벽한 IoT 보안 솔루션을 만드는 방법? 일반인들에게 오늘날 IoT 보안은 어떤 측면에서 보더라도 심각한 상태로 느껴질 것이다. 또한 개발자들은 IoT와 관련된 보안 솔루션들이 복잡하게 흩어져 있다는 것을 이미 잘 알고 있다. 일반적으로 이런 솔루션은 단순한 메커니즘을 갖고 있다. 따라서 완벽한 보안 프레임워크를 만들기 위해 서로 이음매 없이 말끔하게 ...
VOC 문제의 해결책 제시하는 스마트 모니터링 센서
VOC 문제의 해결책 제시하는 스마트 모니터링 센서 베이징은 급격하게 성장하고 있는 도시다. 이 중국 수도의 대도시 지역은 2400만명의 인구가 개발 붐으로 인한 성장세(차이나데일리에 따르면 2017년 전년대비 6.7%의 성장세를 보였다)를 만끽하며 살고 있다. 예를 들면 2000년에 베이징은 총 길이가 55km 미만인...
마우저, TI의 4채널 ADC 'ADS54J64' 공급
마우저, TI의 4채널 ADC 'ADS54J64' 공급 [EPNC=정환용 기자] 마우저 일렉트로닉스가 텍사스 인스트루먼트(TI)의 4채널 1GSPS ADS54J64 아날로그-디지털 변환기(ADC)를 공급한다. ADS54J64는 14비트 제품으로 높은 신호대잡음비(SNR), 넓은 대역폭, 최대 500MSPS의 ...
EPNC(월간 전자부품 뉴스)
Back to Top