Home > 전체기사
생체인식에 보안 더하고, 데이터 중심 보안으로 활용성 곱하기
  |  입력 : 2017-09-19 17:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
모바일 생체인식 확산, 위조 탐지와 인식 성능 둘 다 잡아야
데이터 중심 보안으로 개인정보 보안과 활용성 동시 확보 가능


[보안뉴스 오다인 기자] 하나를 얻으면 하나를 잃는다지만 보안성과 활용성은 둘 중 어느 것도 놓칠 수 없는 문제다. 그러나 활용성을 높이려니 보안성이 떨어지고, 보안성을 높이려니 활용성이 떨어지는 문제는 IT 및 보안 업계의 오랜 딜레마였다. 본인 인증을 철저히 할수록 본인조차 인증받기 어려워지는 문제 상황을 해결하려면 어떻게 해야 할까? 데이터를 활용하자니 개인정보를 유출할 위험이 발생하는 상황은 또 어떻게 해결할 수 있을까?

▲ 한국CISO협회가 개최한 9월 CISO 포럼이 열리고 있다[사진=보안뉴스]


이에 대한 답을 모색하는 시간이 19일 오전 서울시 중구 더플라자 호텔에서 마련됐다. 국내 주요 기업의 정보보호최고책임자(CISO) 40여명은 이날 아침 7시 30분부터 9시까지 CISO 포럼에 참석해 정보보안을 둘러싼 최신 동향과 기술을 공유했다. 이번 행사를 주최한 한국CISO협회(회장 임종인)는 CISO 포럼을 포함해 곧 이어 CISO 친선워크숍(9월 22일~23일)과 CISO 멘토링(9월 27일)을 앞두고 있기도 하다. CISO 포럼은 매월 열린다.

이날 개회사에서 한국CISO협회 임종인 회장은 “국제 사회는 사이버 공격을 둘러싸고 우려가 크다”며 “북한의 사이버 역량이 점차 커지고 있는데 한국에서는 이에 대한 논의가 잘 되고 있지 않다”고 지적했다. 이에 “CISO 포럼이 정보 공유를 넘어 국제적 동향을 바탕으로 전략을 잘 짜는 것이 중요하다”고 강조하면서 “선진국일수록 사이버 역량이 미흡할 때 어떤 일이 벌어지는지 잘 이해하고 있다”고도 덧붙였다.

바이오메트릭스가 급속히 확산된 이유는 모바일 기기의 확산
김학일 인하대학교 정보통신공학과 교수는 모바일 바이오메트릭스(Mobile Biometrics) 기술 동향을 주제로 발표했다. 김 교수는 한국바이오인식협의회 의장으로 바이오메트릭스 국제표준인 ISO/IEC JTC 1/SC 37 전문위원이다.

▲ 김학일 인하대학교 교수 [사진=보안뉴스]

흔히 바이오인식 또는 생체인식으로 불리는 바이오메트릭스는 살아있는 사람의 고유한 생체정보를 추출해서 본인 여부를 확인하는 기술이다. 김 교수는 1950년대 미국 연방수사국(FBI)나 경찰의 지문감식시스템(AFIS) 등에서 범죄수사를 위해 바이오메트릭스를 개발했다고 설명했다. 그러나 미국의 경우, 9.11 테러 사건이 터지면서 국민의 생명과 국가 안전을 위해 공공 서비스 영역에도 바이오메트릭스가 대거 도입됐다는 설명이다.

김 교수는 여권, 비자, 출입국 심사 등 접근제어에 사용되던 바이오메트릭스가 “2013년 팬텍과 애플이 휴대전화에 지문인식을 도입하면서 모바일 바이오메트릭스가 됐다”고 짚었다. 과거 바이오메트릭스의 사용자는 정부였고 절대적인 개수 자체가 적었다면, 모바일 바이오메트릭스 시대가 오면서 그 개수가 기하급수적으로 커졌다는 것이다. “모바일의 확산으로 바이오메트릭스 기술이 일반인에게 확산됐다는 게 무엇보다 중요합니다. 이 기술을 아주 당연한 기술로 받아들이게 된 것이죠.”

ATM 내 탑재된 지문인식을 통해 현금을 인출하는 브라질 CAIXA 은행의 바이오 핀테크(Bio-Fintech) 사례처럼 바이오메트릭스가 세계 각국에서 확산하고 있지만 그만큼 보안 우려를 비롯한 문제도 불거지는 것이 현실. 김 교수는 “바이오메트릭스는 사람의 노화에 어떻게 대응할 것인가, 센서는 점점 작아지는데 성능은 어떻게 높일 것인가 하는 우려가 있다”면서 “생체 정보를 스푸핑(spoofing)하는 방법이 다양하다”고 말했다.

“모바일 바이오메트릭스 기술이 확산함에 따라 이에 대한 공격도 더 증가할 것입니다. 과거에는 인식률과 보안성을 각각 만족시키기 위해 별개의 알고리즘으로 개발했지만, 모바일 바이오메트릭스에서는 두 가지를 한꺼번에 만족시켜야 합니다. 위조 탐지와 인식 알고리즘을 분리할 수 없다는 것이죠.” 김 교수는 “개별 기기를 하나의 블랙박스로 바라보고 인식 및 위조 여부를 시험해야 한다”고 제안했다.

“빛에 따라 동공이 변하는지 확인하는 것, 화면에 제시한 대로 접근자가 읽거나 움직이는지 보는 것, 지문 하나만 쓰는 것이 아니라 지정맥 등을 함께 활용하는 것, 두 가지 이상의 요소로 인증하는 것 등의 방법으로 위조에 대응할 수 있습니다. 앞으로는 위조 탐지뿐만 아니라 인식 성능(performance)이 통합돼서 이뤄져야 합니다. 모바일 플랫폼에서 이를 어떻게 최적화할 것이냐가 남겨진 질문이죠.”

개인정보 유출 트라우마? 데이터 중심 보안으로 개선 가능
윤덕상 파수닷컴 컨설팅사업본부 전략사업부 전무이사는 “국내는 아직 데이터 중심 보안(Data Centric Security)이라는 용어를 많이 쓰고 있진 않다”며 데이터 중심 보안과 안전한 활용 전략에 대해 발표했다. 윤 전무는 “기술이나 개념을 전달하기보다 생각의 전환이라는 측면에서 발표를 준비했다”며 “그런 가운데 안전하게 활용하는 방법은 무엇인가”를 제안할 것이라고 밝혔다.

▲ 윤덕상 파수닷컴 전무이사 [사진=보안뉴스]

“1960년대만 해도 황무지였던 국토가 현재 울창한 숲으로 변했습니다. 그 이유는 무엇일까요?” 윤 전무는 산림청의 노력이나 시민들의 환경보호의식 향상 등 많은 이유가 있겠지만 근본적으로는 온열 도구가 나무에서 연탄으로 바뀌었기 때문이라고 설명했다. “이처럼 문제의 근본 원인을 파악하는 것이 중요합니다. 디도스부터 랜섬웨어까지 여러 현상을 치료하기 위해 솔루션만 다량 도입하다 보면 근본적인 문제를 해결할 수 없게 되죠.”

그는 △방화벽 △IPS/IDS △NAC/DLP △PC 보안 등 개별 솔루션을 덧대는 경계선 보안 방식은 “어느 한 곳이라도 방어에 실패할 경우 정보가 유출될 수밖에 없고 공격과 방어 간 속도 차이도 크다”고 말했다. 이에 “정보의 저장소가 아니라 정보 자체에 대한 보호가 필요하다”며 “외곽의 인프라 중심으로 보호하던 것을 이젠 데이터 중심으로 보호해야 한다”고 설명했다. 결국 “해커가 노리는 것은 데이터 그 자체”이기 때문이다.

윤 전무에 따르면, 데이터 중심 보안이란 △핵심 비즈니스 데이터를 식별하고 △데이터 위험을 모니터링하며 △데이터의 생명주기에 따라 보호하면서 △데이터 보안 프레임워크를 구축하는 것을 말한다.

데이터 중심 보안이라는 사고방식을 통해 4차 산업혁명 시대에서의 정보 활용도 활성화될 수 있을 것으로 보인다. 윤 전무는 4차 산업혁명 시대에는 데이터의 가치가 아주 높은 반면, 개인정보 노출 위험 때문에 잘 활용되고 있지 않은 현실을 지적했다. 특히, 국내 기업들은 2014년 초 3개 카드사의 개인정보 유출사고 등을 경험하며 트라우마가 남아있다는 것이다. 그러나 비식별화를 통해 데이터를 활용할 수 있기 때문에 “지나치게 보수적인 측면에서만 생각하지 말 것”을 당부하기도 했다.

“법과 제도가 바뀌어야 할뿐만 아니라 기업에서도 적극적으로 활용해야만 합니다.” 윤 전무는 4차 산업혁명의 윤활유가 될 수 있는 정보를 기업들이 움츠리지 말고 보다 적극적으로 활용하자고 제안했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)