보안뉴스 창간 17주년을 축하합니다!!

Home > SecurityWorld > 오피니언

[김재성의 생체인식 이야기-3] 생체정보 보호기술

입력 : 2023-10-01 22:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
생체정보 위변조 보안 위협과 생체인식시스템 보안취약점 등 통해 살펴본 생체정보 보호기술

‘김재성의 생체인식 이야기’는 다양한 산업과 융합하고 일상에까지 깊숙이 자리 잡은 생체(바이오)인식과 관련한 최신의 트렌드와 적용 분야를 자세히 살펴보는 코너입니다. ①생체인식 기술의 변천사를 시작으로 ②생활 속의 생체인식 기술 ③생체정보 보호기술 ④생체인식 기술표준화 및 성능시험 ⑤미래의 생체인식 기술 등 총 5가지의 주제로 연재됩니다[편집자주]

[보안뉴스=김재성 한국인터넷진흥원 연구위원] 생체인식기술은 기본적으로 사람의 지문·얼굴·홍채·정맥 등 신체적인 특징을 통해 생체정보의 취득·특징점 추출·등록·저장·전송 및 1:1 패턴 검증 또는 1:N 식별과정을 거쳐 개인의 신원을 확인하게 된다. 특히, 신체 부위에 대한 영상을 취득하는 과정에서 생체정보에 대한 위변조에 가장 취약할 수 있다. 이러한 생체인식시스템의 보안 취약점으로 인해 스마트폰에서 위조한 생체정보를 통해 모바일 결제 도용 및 개인정보 탈취, 전자여권상 생체정보를 위변조해 출입국 심사과정에서 이를 악용한 불법 밀입국, 생체정보 위변조를 통한 타인의 불법 민원서류 발급 등의 보안사고가 발생하고 있다.

[이미지 = gettyimagesbank]


이에 따라 생체정보의 위변조 보안 위협과 생체인식 시스템에서 발생할 수 있는 보안취약점을 살펴보고, 이에 대처하기 위한 보안대책 등 생체정보 보호기술에 대해 알아보고자 한다.

날로 확장되는 생체정보 위변조 보안위협과 보안 취약점
2016년 미국에 의해 개발된 ISO/IEC 30107-1 국제표준(PAD: biometric Presentation Attack Detection)에서는 표와 같이 인공물에 의한 생체정보의 위변조와 해커 또는 범죄자 등 인간에 의한 생체정보 도용 등의 생체정보 위변조 보안 위협을 정의하고 있다.

▲인공물과 인간의 불법 위변조 공격사례[자료=김재성 박사]


그리고 그림 1과 같이 종이·OHP 필름·고무·실리콘·젤리 등의 인공물을 이용해 특정인의 지문을 위조하거나 특정인의 사진 또는 모니터의 얼굴 이미지를 통한 비인가된 얼굴인식, 특정인의 홍채 패턴을 콘택트렌즈에 프린팅하거나 3D 프린터를 이용해 인공 홍채물을 제작하는 등 생체정보의 위조하는 제작방법들이 인터넷 또는 유튜브를 통해 널리 공개돼 있어 생체인식시스템에 커다란 보안 위협으로 등장하게 됐다.

▲인공물에 의한 생체정보 위조사례(Fake biometrics)[자료=김재성 박사]


또한, 필자가 개발한 ITU-T X.1086(Telebiometric protection procedures)에서는 그림 2와 같은 생체인식 시스템의 보안 취약점을 정의하고 있다.

▲ITU-T X.1086(Telebiometric protection procedures)에서 정의하고 있는 생체인식시스템의 보안취약점[자료=김재성 박사]


다양한 표준 통해 관리되는 생체정보 보호기술
인공물에 의한 생체정보의 위협에 대응하기 위해 ISO/IEC 30107 시리즈의 국제표준에서는 생체정보 취득과정에서 위조된 생체정보를 탐지하는 방법을 정의하고 있다.

▲김재성 한국인터넷진흥원 연구위원[사진=김재성 연구위원]

ITU-T X.1086의 국제표준에서는 생체인식시스템에서 생체정보 취득·신호처리(특징점 추출)·등록·저장·전송·비교/결정(1:1, 1:N) 과정에서 발생할 수 있는 12가지의 보안 취약점과 이에 대응하는 기술적·관리적 보안대책을 정의하고 있다.

한편, 이와 같은 생체정보의 위변조와 생체인식시스템의 보안 취약점에 대처하기 위한 생체정보 보호기술로 위조지문 탐지 기술보고서(TTAR-12.0006, 2010년), 바이오인식 정보보호를 위한 워터마킹기법(TTAK.KO-12.0186, 2011년) 등의 국내표준이 있으며, 한국인터넷진흥원과 개인정보보호위원회가 개정한 생체정보보호 가이드라인에서 생체정보에 대한 기술적·관리적 보안대책을 정의하고 있다.
[글_김재성 한국인터넷진흥원 연구위원]

필자 소개_김재성 박사는 인하대학교 정보통신공학과를 졸업했으며, 한국인터넷진흥원(K ISA) 연구위원(1996.07~현재)으로 활동하고 있다, 또, ISO/IEC & ITU-T 국제표준 에디터(2002.12~현재), 아시아바이오인식협의회(ABC) 의장(2013~현재), 한국바이오인식협의회(KBID) 회장(2023.08.25.~현재), TTA TC5(정보보호기술위원회) 의장(2020.01~현재)을 맡고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)