생체인식 시스템의 취약점 분석 및 생체정보 보호 관리기술

최근 생체인식 기술이 도어록, PC 보안 등 스탠드얼론형 제품군에 성공적으로 적용되고 있는 추세로 그 다음단계인 전자정부, 전자거래 등 네트워크를 이용한 대규모 원격 응용에 적용되기 위해서는 생체정보 보호·관리에 대한 기술연구가 필요한 실정이다. 또한, 네트워크를 이용한 비대면 응용에 대비하기 위해서도 개인의 프라이버시 보호를 위한 생체정보의 안전한 저장·전송·처리 기술이 매우 중요하다. 특히, 생체정보의 상호 운용성 보장을 위한 표준화 작업이 급진전되고 있는 상황에서 생체정보 오남용에 의한 피해를 막기 위한 연구가 절실한 시점이라고 할 수 있다. 여기서는 생체인식기술의 응용분야 확대에 있어 가장 중요하게 부각되고 있는 생체정보 보호 관리기술에 대해 살펴보고자 한다.

생체인식에서 사용하는 생체정보는 지문, 얼굴 등과 같은 신체의 일부분이나 서명, 걸음걸이 등 개인의 행동 특성을 반영하므로, 잊어버리나 타인에게 대여 혹은 도난, 복사가 되지 않는 장점을 가진다. 즉, 타인이 지문이나 얼굴 패턴을 훔쳐갈 수 없고, 개인은 지문이나 얼굴 패턴 등을 망각할 수 없으며, 집에 두고 올 염려도 없다. 그러나 생체정보는 패스워드나 PIN과 달리 변경이 불가능하므로 사용자 인증을 위해 저장된 생체정보가 타인에게 도용된다면 심각한 문제를 일으킬 수 있다. 이를 방지하기 위해서는 생체정보를 이용한 인증 시스템의 취약점을 먼저 분석할 필요가 있다. 그리고 이에 대한 해결방안으로 마련된 질의·응답 프로토콜 기술, 생체정보 위·변조 탐지기술, 응용별로 변형된 생체정보 생성기술 및 생체정보의 자유로운 폐기를 위한 생체정보 변형기술의 최근 연구동향을 살펴보는 일이 중요하다.

생체인식 시스템의 취약점

그림 1. 생체인식 시스템에서 가능한 공격 포인트

그림 1은 전형적인 생체인식 시스템에서 가능한 공격 포인트를 보여주고 있는데, 이를 간단히 살펴보면 다음과 같다.

① 사용자로부터 신호를 얻는 부분으로, 센서에 가짜 지문이나 복사한 서명, 얼굴 마스크 등을 이용하는 경우이다.

② 미리 저장해둔 생체 신호를 다시 사용하는 경우로, 센서를 바이패스(bypass)하고 지문의 복사본이나 음성신호를 전송한다.

③ 침입자가 원하는 특징을 생성하도록 트로이 목마 등을 이용해 특징 추출단을 공격한다.

④ 생체인식 시스템의 특정 표현법을 알고 있을 때 이를 임의로 변경하는 경우로, 특징추출과 정합이 한 단계로 이루어지면 어느 정도 해결할 수 있으나 인터넷으로 특징점이 전송되는 경우 TCP/IP에 대한 스누프(snoop)를 통해 패킷을 변경할 수도 있다.

⑤ 정합단 자체를 공격해 미리 선택된 정합 결과가 나오도록 하는 경우로, 아무리 정합 알고리즘이 정확하더라도 원하지 않는 결과가 나오게 된다.

⑥ 템플릿이 저장된 데이터베이스를 공격해 저장된 템플릿을 변경하는 경우로, 특히 템플릿이 분산 저장된 경우에는 그 중에 일부 혹은 전체를 변경함으로써 타인수락률이나 본인거부율이 높아지는 현상이 나타날 수 있다.

⑦ 저장된 템플릿이 전송 채널을 통해서 정합단으로 전송될 때 채널을 공격하는 경우로, 전송되는 데이터를 가로채 다른 형태로 변경함으로써 상이한 정합 결과를 초래한다.

⑧ 최종 판결을 공격하는 경우로, 아무리 실제 시스템이 우수하고 정확하다고 하더라도 정합결과가 공격을 당하면 아무런 의미가 없게 된다.

스마트카드를 이용한 생체정보 보호

Store-on-Card

앞서 설명한 공격 포인트들을 피할 수 있는 가장 손쉬운 방법은 스마트카드를 이용하는 것이다. 예를 들어, 생체 템플릿을 데이터베이스 대신 스마트카드에 저장하고 이에 대한 관리를 사용자에게 위임한다면, 그림 1의 공격 포인트 ⑥을 막을 수 있으며 프라이버시 문제도 어느 정도 해결할 수 있다. 그러나 이러한 Store-on-Card 방식은 저장된 생체 템플릿이 입력된 생체정보와 비교하기 위해 카드 밖으로 전송될 때 공격 포인트 ⑦에 노출된다는 문제가 있다.

Match-on-Card

Store-on-Card의 문제를 해결하기 위해 스마트카드 내의 프로세서를 이용한 정합을 수행할 수 있다면 그림 1의 공격 포인트 ⑤, ⑦을 막을 수 있다. 그러나 이렇게 정합단을 카드 내의 프로세서에서 처리하기 위해서는 적어도 32비트 프로세서가 필요하며, 정합 알고리즘도 매우 경량화 돼야 하고, 공격 포인트 ①, ②, ③, ④에 대해서는 대책이 없다는 한계가 있다.

Sensor-on-Card

스마트카드를 이용한 가장 완벽한 시나리오는 센서(지문 센서 등)를 카드에 장착하고 특징 추출단까지 카드에서 처리하는 Sensor-on-Card 방식이다. 즉, 생체정보 획득에서 처리까지 전 과정이 스마트카드 내에서 처리됨으로써 완벽한 보안성을 제공할 수 있으며, 프라이버시 문제도 함께 해결할 수 있다. 그러나 대부분의 특징 추출단이 스마트카드 내의 프로세서로 처리하기에는 계산량이 많은 영상·신호처리 과정을 포함하기 때문에 실시간 처리를 위해서는 특징추출 전용 하드웨어가 스마트카드에 별도로 장착돼야 한다는 경제적인 부담이 있다.

생체정보 보호 위한 위·변조 탐지기술

질의·응답 (Challenge/Response) 프로토콜

스마트카드를 사용하지 않는 일반적인 클라이언트-서버 구조의 생체인식 시스템에 대한 가장 손쉬운 공격은 센서로부터 나오는 신호를 공격(공격 포인트 ②)하는 것이고, 이러한 공격을 방지하기 위한 방법이 변형된 질의·응답 프로토콜이다. 기존의 일반적인 질의·응답 방법에서는 사용자에게 어머니의 처녀시절의 이름을 요구하는 등의 질의나 특수목적의 계산기와 같은 물리적인 장치에 대한 질의를 요구하는데 근거를 두고 있었다. 그러나 변형된 질의·응답 프로토콜의 특징은 질의 내용에 대한 응답이 센서로부터 취득한 생체정보와도 연결돼 있어, 질의를 바꾸기만 하면 획득한 영상이 질의가 발생한 이후에 만들어진 것인지를 알 수가 있다는 점이다. 즉, 응답이 생체정보에 의해서 만들어지기 때문에 반응이 일어난 후 가짜 생체정보에 대한 구별이 가능하다는 특징이 있다.

지문인식 시스템을 이용해 질의·응답 프로토콜을 설명하면 다음과 같다. 지문 센서에 대한 외부의 공격을 막기 위해 지문 센서의 동작을 서버에서 제어하게 되는데, 센서의 제어를 위해 서버에서는 Pseudorandom 함수를 클라이언트에 전송해주며, 프로세서가 내장된 센서는 이 함수를 이용해 서버에 응답 코드를 전송하게 된다. Pseudorandom 함수로 사용할 수 있는 함수는 매우 많다. 예로 서버에서 “3, 10, 50” 이란 명령을 클라이언트에게 보내면, 센서는 현재 입력하려는 사용자의 지문 영상으로부터 3, 10, 50 번째 픽셀 값을 취득해 일정한 규칙에 따라 새로운 코드 “133, 92, 176” 을 만든다. 이런 값을 응답 코드라고 하며 이를 서버로 전송하게 된다.

결론적으로 질의·응답 프로토콜 기술은 센서에 프로세서가 장착되고 트랜잭션 서버가 안전하다면, 질의 변경만으로 생체정보의 Liveness 검증과 생체정보가 만들어진 시점을 알 수 있기 때문에 그림 1의 공격 포인트 ②에 대한 대응이 가능해진다.

워터마킹

두 번째 기법으로, 생체정보의 위·변조 방지를 위해 생체정보에 추가 정보를 끼워 넣는 워터마킹 기법을 이용하는 것도 고려할 수 있다. 만약, Embedding 알고리즘이 알려지지 않는다면, 서비스 공급자는 표준 워터마킹 기술을 사용해 전송될 생체정보의 안전성을 보장할 수 있을 것이다. 즉, 공격 포인트 ④, ⑥, ⑦에 대한 대비책으로, DB에 저장된 생체정보의 위·변조를 막거나 전송 전에 워터마크를 삽입하고 수신단에서 워터마크를 확인함으로써 생체정보를 안전하게 전송할 수 있다.

영상에 대한 워터마크를 통해 데이터를 은닉하는 기술은 많이 알려져 있다. 그러나 대부분의 워터마크 기술들은 저작권 등을 위한 연구였으며, 인증에 대한 연구는 거의 없었다. 최근 발표된 지문 영상을 위한 Fragile 워터마킹 기법에서는 영상 도메인에서 워터마크를 첨부할 때 정확성을 조사했고, 국부적인 블록 평균에 근거한 Semi-unique key를 이용해 지문이나 얼굴 영상의 위·변조를 검출하는 연구도 발표됐다.

또한, 지문 특징추출 전과 후에 워터마크를 삽입하는 방법에 대한 연구에서는 지문특징이 신원 확인을 위해 사용되기 때문에, 삽입된 워터마크가 지문 영상의 특징을 변경하지 않도록 제안됐다. 최근에는 얼굴 영상에 지문 특징 또는 지문 영상에 얼굴 특징을 은닉해 지문, 얼굴 호스트 영상의 위·변조 여부를 확인함과 동시에 은닉된 얼굴, 지문 특징을 추가로 이용하는 멀티모델 생체인식 시스템에 대한 연구도 발표됐다.

생체정보 관리

Cancelable Biometrics

신용카드 인증, 은행 ATM 접근 등과 같은 대규모 응용에 생체인식기술을 적용하려면 트랜잭션에 대한 보안뿐만 아니라 그 이상의 부가적인 상황이 발생하기 때문에 개인 프라이버시 침해의 우려를 해소해야 한다. 이름이나 생년월일 등과 같은 개인 신상에 대한 정보뿐만 아니라 지문, 얼굴, 홍채 등 개인 신체의 일부에 대한 정보가 도난당할 수 있기 때문이다. 이러한 생체정보는 다양한 데이터베이스에 디지털 형태로 저장되는데, 이렇게 디지털로 저장된 데이터가 범죄수사와 같은 수사기관이나 은행 또는 기타 인터넷을 이용하는 다른 상업적인 사업체에서 공유될 수 있다는 우려도 간과해서는 안 된다.

생체정보가 개인인증용으로 사용될 수 있는 가장 큰 이유 중의 하나는 시간의 흐름에도 크게 변하지 않는다는 점이다. 만약 신용카드 번호에 의한 피해가 발생한 경우 해당은행에서는 사용자에게 새로운 신용카드 번호를 부여함으로써 문제를 최소화할 수 있다. 그러나 생체정보의 경우 데이터가 도용되고 있음에도 불구하고 변경할 수 없다는 문제가 있다. 이와 같은 위험을 최소화하기 위해서는 생체정보를 취소할 수 있는 기술이 제공돼야 한다.

이러한 기술을 ‘Cancelable Biometrics’라고 하는데, 이 기술은 선택한 함수를 이용해 의도적이면서도 반복 사용가능한 생체정보의 변형을 가능하게 한다. 즉, 매번 등록이나 인증 시에 생체정보가 나타나면 같은 방법으로 정보를 변형하고, 이와 같은 방식으로 매번 등록 시마다 서로 다른 변형함수를 사용함으로써 크로스 매칭이 불가능하도록 하는 것이다. 더구나 변형된 생체정보가 도용됐을 경우에도 재등록을 위해 다른 변수를 사용함으로써 변형함수를 간단하게 바꿀 수 있다.

즉, 새로운 사람으로 인식되는 것이다. 일반적으로 변형함수는 Non-invertible 하게 만들어서 사용하는데, 이 방법을 이용할 경우 변형함수나 변형된 생체정보가 알려지더라도 변형되기 전의 생체정보의 복구는 불가능하다. 이러한 변형함수는 Signal 도메인이나 Feature 도메인에서 적용될 수 있다. 즉, 생체정보를 획득한 바로 직후에 직접 변형을 할 수 있으며, 평상시처럼 신호처리 후 추출한 특징을 변형하는 방법도 가능하다.

가장 이상적으로는 변형함수가 반드시 Non-invertible 하도록 함으로써 다양한 기관이나 회사 등에서 변형된 데이터를 이용해서는 원 영상의 복구가 불가능해야 한다. Signal 차원에서의 변형함수로는 Grid 모핑(morphing)이나 Block Permu-tation 등을 들 수가 있다. 이렇게 변형된 영상은 원 영상과 매칭될 수 없으며, 같은 영상으로부터 다른 변형 파라미터에 의해 변형된 영상과도 매칭될 수가 없다.

변형 가능한 템플릿 방법을 사용하게 되면 이와 같이 원래의 생체정보 보호 측면에서 안전한 매칭을 수행할 수 있는 장점이 있다. 그림 2는 Signal 도메인에 대한 변형의 예로서 영상 모핑에 의한 변형을 나타낸다. 왼쪽의 원 영상은 얼굴위에 그리드를 올려놓은 것처럼 보이고 오른쪽의 경우는 동일한 얼굴에 대한 모핑된 결과를 보여준다.

그림 2. 영상 공간에서 영상 모핑에 의한 변형 예

Application-Specific Biometric Template

그러나 이러한 Cancelable Biometrics를 구축하기 위해서는 고려할 사항이 많다. 그 중 하나는 변형함수를 어느 곳에 안전하게 저장하느냐 하는 것이다. 서버에 저장하는 경우 서버에 대한 보안이 기본적으로 전제되어야 하고, 개인이 소유하는 스마트카드 등에 저장 보관하게 하면 보안성 및 프라이버시 문제가 좀 더 확실히 해결될 수 있다. Signal이나 Feature 기반의 Distortion Transform 모델 중 어느 것이 더 효과적인가도 뚜렷한 통계적 근거가 아직 없는 상태다. 때에 따라서는 두 가지를 혼합해 사용하는 방법도 가능하다. 또한, 가짜 지문이나 위장 얼굴 등에 대한 처리방법, 한 개의 지문이나 얼굴에 대해서 함수를 사용할 수 있는 몇 가지 방법과 에러율의 변화 등에 대한 연구가 이루어져야 한다.

Cancelable Biometrics 기술은 Raw Biometric 데이터에 Non-invertible 변형함수를 적용함으로써 항상 재사용이 가능하게 할 수 있지만, 각각의 응용분야에 따라 따로 템플릿이나 데이터를 저장해야 하는 번거로움이 있다. 즉, 한번 등록된 데이터를 공유할 수 있는 방법은 제공하지 않는다. 각각의 응용분야별로 유일한 포맷을 만들 수 있도록 하고 한 포맷에서 다른 포맷으로의 변환을 가능하도록 해준다면, 매 응용마다 재등록을 할 필요 없이 사용자의 동의 하에 응용분야간 템플릿을 공유할 수 있다. 또 매칭이 변형된 템플릿에서 이루어지도록 시스템을 설계하면 단순한 Cancelable Biometrics보다 더 효과적으로 생체정보를 관리할 수 있다.

최근에는 이 기술의 응용방안으로 독특하게 변환된 템플릿을 생체 데이터베이스로 저장하는 기법에 관한 연구가 발표되기도 했다. 예를 들어 사용자의 생체 정보로부터 표준 포맷인 루트 등록 템플릿을 생성한 후, 이를 다시 응용 A의 독특한 포맷으로 변환해 얻어진 FA(Ti)을 데이터베이스에 등록하면 적절한 소프트웨어 디자인을 이용해 변환과정을 템플릿 생성과정에 통합시킴으로써, 어떠한 루트 템플릿의 생성도 없이 직접 변환된 템플릿을 만들 수 있다. 이렇게 되면 루트 템플릿의 노출 가능성을 피할 수 있게 된다. 즉, 응용 A에서는 먼저 정합함수 M(FA(T1), FA(T2))를 새로 생성해 변환된 루트 템플릿과 응용 A의 데이터베이스 내의 하나 혹은 여러 개의 템플릿들과 비교하는 과정을 수행한다. 만약 응용 A의 템플릿을 응용 B에서 생성된 데이터베이스에 인증하려고 하면 정합 함수는 다른 포맷의 템플릿을 비교하게 돼 결국 정합되지 않음을 알 수 있다.

이와 같이 생체 템플릿을 변환하는 기법은 인증 기법의 정확도와 유연성을 유지하고, 생체 데이터베이스의 프라이버시를 보장하며, 소유자의 허가 하에 등록된 템플릿들의 재사용과 공유를 허용한다. 또한, 생체 템플릿이 손상되었을 경우에는 재발행을 할 수 있게 한다. 이러한 변환들은 생체인식에 있어서 프라이버시 보호에 대한 중요 이슈를 해결할 수 있고, 대용량 데이터베이스를 가진 인식 시스템에 장점을 주는 생체인식 기법을 제공할 수 있다.

생체정보의 변형법 적용 활성화돼야

지금까지 생체인식기술을 대규모로 적용시키기 위해 필요한 생체정보의 안전한 저장·전송·처리 등 생체정보 보호에 대한 연구동향을 살펴봤다.

생체정보를 이용한 본인인증은 기존의 패스워드에 비해 많은 사용상의 장점을 가지고 있다. 그러나 생체정보를 사용하는 시스템을 포함해서 어떠한 시스템이라도 미리 준비된 해커에 의한 공격에 대해서는 취약할 수 있으며, 생체정보의 가장 큰 특징인 ‘시간의 흐름에도 변하지 않는다’는 즉, 불변성이 오히려 가장 큰 문제가 될 수 있다는 사실은 참으로 역설적이다. 개인이 가지고 있는 사용가능한 생체정보에는 한계가 있으며, 일단 생체정보가 도용되면 이는 더 이상 바꿀 수 없는 문제가 있다. 이와 같은 문제를 해결하기 위해서는 생체정보의 반복사용이 가능하고 복구 불가능한 변형법을 적용하는 것이 적합하며, 이러한 기법을 적용한다면 개인의 프라이버시 침해우려까지도 완화시킬 수 있을 것으로 기대된다. [글_정용화 고려대학교 컴퓨터정보학과 교수]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)