Home > 전체기사
[한국정보보호학회 칼럼] 차세대 금융서비스 등 급변하는 사용자 인증 환경
  |  입력 : 2020-03-18 16:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사용자 인증에 AI 도입과 역기능 출현...AI 역기능에 대한 대응기술 개발 필요해

[보안뉴스=최대선 한국정보보호학회 차세대인증연구회 위원장] 빌게이츠가 IT 미래에 대해 했던 많은 예언들은 대부분 적중했다. 그런데 2010년대가 되면 온라인에서 사용자 인증 문제가 다 해결될 거라고 말한 2000년대 초의 예언은 불행히도 적중하지 못했다. 우리는 매일 온라인 서비스에 접속하고 사용자 인증을 수행하는데, 여전히 불편을 느끼고 있으며, 여전히 많은 ID 도용 사고가 발생하고 있다. 또한, 최근의 여러 가지 서비스 환경 변화와 법제도의 변화, 그리고 코로나19 같은 전 지구적 급변 상황은 사용자 인증 환경에 또 다른 이슈들을 제기하고 있다.

[이미지=iclickart]


첫째, 개정된 신용정보법을 바탕으로 한 혁신 금융 서비스의 출현이다. 간편결제, 간편송금 같은 핀테크 서비스가 널리 활용되고 있는 상황에서 데이터에 기반한 ‘빅테크’의 출현이 가능한 배경이 만들어지고 있다. 그 중 하나인 마이데이터는 금융기관에서 보유한 개인신용/금융데이터, 더 나아가 의료데이터 등을 포함한 개인의 모든 데이터를 정보주체가 원하는 곳에 집적하여 관리·통제하고, 데이터 분석을 통한 맞춤형 서비스 등을 제공하는 데이터 기반 서비스이다.

마이데이터 서비스에서는 은행 등 금융기관에서 사용자 신용, 금융거래 정보를 제3의 마이데이터 서비스 제공자에게 전송하게 되는데, 이 때 사용자 본인의 의사를 명확히 확인하기 위한 안전한 사용자 인증이 필수적이다. 그동안 금융기관 내부에서 안전하게 보관되어 있던 사용자의 중요 정보가 외부로 제공되는 것이기 때문이다. 현재 관련된 인증 가이드라인이 만들어지고 있는데, 통합된 인증수단을 통해 여러 금융기관에서 각기 사용자를 인증하는 방식이 검토되는 것으로 알려져 있다.

사용자의 편의성과 인증 수단의 다양성을 위해서는 금융기관 간 혹은 마이데이터 서비스 제공자와 금융기관 간 SSO(Single Sign On)를 제공할 수 있게 해주는 ID 페더레이션 기술의 도입도 검토되어야 한다. 현재의 통합인증방식은 사용자가 금융기관마다 인증을 해야 하기 때문이다. 또한, 마이데이터는 자기 데이터를 정보주체가 통제한다는 개념이다. 금융기관에서 마이데이터 사업자에게 직접 데이터를 전송하는 현재 방식에서는 100% 자기통제가 불가능하다.

향후에는 정보 주체인 사용자를 직접 거쳐서 정보가 제공되는 사용자 중심 구조가 도입되어야 한다. 사용자 중심 구조에서는 사용자 단에서 사용자의 정보가 저장되고 분석될 수도 있으며 사용자의 직접적 통제가 가능하다. 사용자 중심 구조에서는 기존 인증방법을 사용할 수도 있지만 DID(Decentralized IDentity) 기술이 원래 사용자 중심 취지를 갖고 있으므로, 더욱 적합한 인증 구조가 될 수 있다.

둘째, 전자서명법의 개정이 예정되어 있다. 공인인증서의 ‘공인’을 제거하고 다른 인증수단과 동일하게 경쟁할 수 있도록 하는 전자서명법의 개정은 사용자 인증 기술의 다양성을 크게 제고할 것으로 예상된다. 그런데 ‘사용자인증’법이 아닌 ‘전자서명’법이라는 이름에서 보듯이 이 법은 인감도장의 기능을 전자적으로 구현한 전자서명에 관한 것이다. 인증서가 인감도장을 대체하는 전자서명의 기능과 신분증 역할을 하는 사용자 인증 기능을 모두 갖고 있었기 때문에 그만큼 널리 사용되었지만, 그만큼 불편과 혼선을 제공한 측면이 있다. 사용자 인증에 대해서는 생체인증, 다중인증, 환경기반 인증 등 많은 대체 기술들을 사용할 수 있게 되었지만 상대적으로 전자서명에 대한 관심은 부족한 것 같다.

전자서명은 어떤 계약 의사의 확인 같은 인감도장의 기능과 동시에 문서의 진위확인까지 제공할 수 있다. 따라서 사용자 인증과 전자서명을 완전히 구분하여 전자서명은 ‘전자문서법’과 연계하여 다루는 것이 바람직하다. 전자서명을 위해서는 PKI 방식의 현재의 인증서가 가장 적합한 기술이지만, 블록체인 기반의 전자서명 기술이나 공증 서버 방식도 활용 가능하다.

셋째, 사용자 인증에 AI 도입과 역기능의 출현이다. 얼굴인증, 음성인증 등 사용자 인증에 AI 기술을 활용한 지는 오래됐다. 높은 정확도를 갖는 딥러닝 기술을 활용한 행위인증, 명의도용 탐지 등도 각광을 받고 있다. 그러나 최근 연구결과에 따르면, 얼굴에 스티커 몇 장을 붙여 얼굴인증 시스템을 속이고 다른 사람으로 인증되게 하는 등, AI 기반 인증 기술의 취약점이 드러났다.

한편, 코로나19 사태로 인한 화상회의, 비대면 인증이 증가하고 있는데, 가령 트럼프 대통령이 동영상에 등장해 말하는 것처럼 보이게 만드는 딥페이크 기술이 화상회의와 비대면 인증에 위협이 될 수 있다. 화상회의에 참여하는 상대방이 보이는 그대로가 아닌 해커가 만들어낸 딥페이크 영상일 수 있는 것이다. 따라서 이러한 AI 역기능에 대한 대응기술 개발이 안전한 사용자 인증을 위해 필수적이다.

▲최대선 한국정보보호학회 차세대인증연구회 위원장[사진=최대선 위원장]

이 외에도 데이터3법 개정에 따른 인증의 프라이버시 이슈, IoT 기기 인증 등 다양한 이슈가 쏟아져 나오고 있다. 사용자 인증은 매우 빠르게 변화하는 분야로 이슈를 파악하고 대응하는데 전문가 집단의 유기적 협력이 필수적이다. 한국정보보호학회 산하 ‘차세대인증 연구회(위원장 최대선 공주대 교수, 간사 도경화 건국대 교수)’는 대학교수, ETRI, NSR 등 국책연구소, KISA, 금융보안원, 신용정보원 등 관련 기관, 6개 공인인증기관, 인증솔루션기업, 인증솔루션 사용자인 금융회사, 관련 법률전문가 등으로 구성된 사용자 인증기술 전문가 그룹으로, 급변하는 사용자 인증 환경 대응을 위한 인증기술 연구, 세미나 개최, 정보 공유 활동을 하고 있다.

연구회는 2020년에 인증에 사용되는 생체정보 프라이버시 보호 기술, 5G의 초연결, 초저지연 특성을 활용한 지속인증, DID를 이용한 마이데이터 등 차세대 금융서비스 인증 구조, AI 기반 생체 인증에 대한 공격 및 방어, IoT 기기 간의 자동화된 인증과 권한관리, 데이터 3법에 따른 프라이버시 보호와 인증기술, 페더레이션 ID 관리 기술 등 다양한 주제에 대한 연구 활동 및 정보 공유는 물론, 차세대 인증기술 워크숍도 개최할 예정이다.
[글_ 최대선 한국정보보호학회 차세대인증연구회 위원장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)