보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

[스토리텔링으로 이해하는 AI 보안-29] 인공지능 통한 인간 친화 보안기술 개발

  |  입력 : 2021-01-10 22:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안인증 분야에도 인공지능 활용하는 행동 상태 분석 서비스 도입 가능
사용자 행위 기반 보안인증 기술 보편화되면 장애인에게 매우 효과적...보안 대책 선결 필요


[보안뉴스= 김주원 사이버보안 분야 칼럼리스트] 요즘 부쩍 시력이 안 좋아졌다. 특히, 컴퓨터 작업을 조금이라도 오래 하다 보면 눈이 침침해지기 일쑤다. 부모님께서 돋보기를 쓰고 신문을 읽는 것을 보면서 불편하시리라는 생각을 해본 적이 없는데, 정작 필자 자신이 명확하게 보이지 않으니까 두려움이 엄습한다. 혹시나 하는 마음에 안과를 찾았다. 예전에는 의사가 플래시를 눈에 비춰 이상 유무를 파악했는데, 지금은 여러 진단 장비로 다양한 검사를 진행한다. 다행히 눈에서 이상 질환이 발견되지는 않았다. 대신 백내장 초기 증상이 있어서 나중에 수술을 할 수 있다면서 백내장 수술할 때 라식도 같이 하라는 권고를 받았다.

[이미지=utoimage]


그때 필자는 문득 “안구 수술을 받으면 홍채의 형태가 바뀝니까?”라고 물어보았다. 회사 출입을 하려면 홍채인식을 해야 하는데, 홍채가 바뀌면 다시 등록해야 한다면서 너스레를 떨었다. 의사는 잠시 생각하더니 “백내장은 안구의 수정체와 관련된 사항이고, 라식은 각막을 깎는 겁니다. 홍채는 안구의 신경과 근육을 이용해 빛을 조절하는 역할을 하니 관계가 거의 없을 겁니다”라고 했다. 그러면서 필자를 안심시키려고 했는지 눈에 대해서 재미있는 이야기를 꺼냈다.

인간의 눈은 보는 기능은 물론 감정도 표현할 수 있다고 한다. 인간의 눈은 동물의 눈과 달리 흰자위(공막)를 가지고 있는데, 이 흰자위 속의 작은 홍채와 동공, 그리고 안구의 운동을 통해서 말을 하지 않아도 의사소통할 수 있다면서 말이다. 따라서 눈을 바라보면 상대방의 감정을 파악할 수 있고, 눈동자의 움직임만으로도 그가 어디에 관심을 두고 있는지 알 수 있으며, 더구나 눈빛만으로도 상대방을 제압할 수 있단다. 어린 시절 길에서 마주친 깡패들에게 들은 말이 갑자기 떠올랐다.
“야, 뭘 봐! 눈 깔아!”

병원에 다녀온 뒤 가만 생각해보니 솔직히 인간의 신체 구조는 정말 오묘하고 놀랍구나 싶었다. 인간은 생존을 위해서 다양한 행동을 해야 하는데, 우리 몸속에서 그 모든 행동 각각을 통제하는 기관들이 따로 있다면 너무 복잡하지 않겠는가. 아마 그것을 고려했을 창조주는 우리 몸에서 하나의 신체 기능이 다양한 행동을 하도록 구성했다. 예를 들어, 코의 주 기능은 냄새 맡기지만 호흡도 한다. 귀의 주 기능은 듣는 것이지만 신체의 균형도 잡아준다. 입은 음식물 섭취, 대화에 사용된다. 손가락은 물건을 잡기도 하고 눈을 대신하여 사물을 파악하거나 감지하는 기능도 한다. 숫자를 셀 때도 사용된다. 그리고 가장 중요한 사항은 새처럼 날개가 없어도 하늘을 날 수 있고, 물고기처럼 비늘이 없어도 물속을 들여다볼 수 있도록 도구를 개발할 수 있는 지혜를 가졌다.

인간의 문명에서도 창조주가 우리 몸에 한 것과 비슷한 경우가 일어났다. 불과 10년쯤 전까지만 해도 전화, 카메라, TV, 라디오, 팩스, 컴퓨터, 프린터 등 다양한 기기들이 독자적인 기능으로 서비스를 제공했다. 필자도 언젠가 방 안을 휘 둘러보면서 이러한 기기들이 방 안을 가득 채운 걸 보며 혀를 찼었다. 그런데 손바닥만 한 스마트폰이 보급되면서 이러한 일련의 기능들이 스마트폰 하나에 모였다. 다양한 기기들을 연동시켜 활용하기 위해 선들을 엮었다는 말은 마치 ‘아주 먼 옛날’의 이야기처럼 해버렸다.

이러한 기기의 거버넌스(governance), 즉, 모든 디지털 기기들의 통합-연동이 이루어지면서 주변 사람들과의 소통도 쉽게 이루어지기 시작했다. 과거처럼 발품을 팔지 않아도 되고, 아쉬운 소리를 하기 위해 남의 집 앞에서 서성일 필요도 없다. 카카오톡이나 메일로 요청 사항을 전달할 수 있고, 당장 돈이 필요하다면 손가락 작업 몇 번으로 대출도 받을 수 있다. 하지만 이러한 편리함의 이면에는 책임과 의무가 수반된다. 자신이 신청하지도 않은 대출이 발생하거나, 비공개로 해둔 사생활 관련 내용을 누군가가 함부로 들여다볼 수 있게 된 것이다. 심지어 사이버공간에서 내 부모형제나 지인들에게 “나야, 나!” 하면서 그들과 나 자신에게 해를 끼치는 자들도 늘어났다.

이런 상황이 발생하는 이유는 인간이 사회적 동물이기 때문이다. 즉, 사회적 동물이기에 홀로 생존할 수 없어서 무리를 짓고 공동체를 만든다. 공동체의 구성원들은 공동의 목표를 가지고 협업한다. 이 과정에서 멤버 각자가 자신에게 주어진 임무를 수행한다. 아울러 공동체 내부의 탐욕스러운 다른 멤버들로부터 자신의 소유물을 지켜야 한다. 옛날에는 주로 땅에 파묻어두거나 다락에 숨겨두거나 금고에 넣어두는 식이었지만, 디지털 정보도 중요한 소유물이 된 현대에는 그것만으로는 부족하다. 특히, 불특정 다수와 연결되는 사이버공간에서는 사용자 보안인증이 절실하다. 즉, 내 사이버영역에 들어오는 누군가가 내가 승인해준 사용자인지를 판단할 수단이 필요한 것이다.

‘인증’은 서로 약속한 규약에 따라 진행하면 된다. 하지만 이러한 규약을 진행하기 전에 미리 합의해야 하고, 별도의 인증서도 보관해야 한다. 이 불편을 해결하려고 사용자 식별을 위한 공개키를 개발했다. 이 경우에는 제3의 공인인증 기관이 중간에서 개입해야 한다. 최근에는 블록체인 기술이 발전하면서 이러한 제3의 인증기관을 대신할 방법도 제시되고 있다. 그러나 인증만으로는 해킹으로부터 내 디지털 정보를 안전하게 보관할 수 없다. 백신, 방화벽, 로그 등 각종 정보보호용 대책을 마련해야 한다. 물론 정보보호에 대해 아는 게 없으면 내 스마트폰에 이러한 대책들을 설치하는 작업이 고통스럽다.

그런데 세상은 적자생존과 약육강식의 원칙으로 돌아가지 않는가. 고상하게 약자 보호를 운운하는 사람들조차 남들이 보지 않는 곳에서는 약자를 나 몰라라 한다. 이런 세상에서 강자는 가치 있는 정보를 가질 기회가 늘어나 많은 부와 권력을 확보하게 되고, 이를 통해서 더 많은 이익을 챙긴다. 심지어 사이버공간에서는 강자들이 약자들을 ‘좀비’로 이용하려 든다. 사이버보안 분야에서 활동하는 사람들의 과제는 약자들이 스스로 자기 자신을 지킬 수 있게라도 해주는 것이다.

얼마 전에 지인에게서 연락을 받았다. 최근에 스마트폰으로 많은 메시지나 알림이 오는데 대부분 “자세한 사항은 링크를 클릭해 확인하세요”라고 적혀 있다는 것이다. 물론 지인은 은행이나 관공서에서 온 내용인 듯해도 링크를 클릭한 순간 해킹을 당할 것 같아 누르지 못한다고 한다. 필자도 “신뢰할 수 있는 기관에서 온 것 같으면 누르라”고 대답해주지 못했다. 필자는 평생 보안으로 밥을 먹고 산 사람이다. 하지만 지금도 이런 경우에는 망설인다. 원숭이도 나무에서 떨어져 사자의 밥이 될 수 있듯이, 한순간의 실수로 신상이 탈탈 털릴 수 있기 때문이다.

전문가도 이럴진대 일반인, 특히 학생이나 노약자, 장애인 등 보안에 대한 개념이 부족한 사람들은 이러한 보안 위협에 쉽게 노출돼 있다. 더군다나 어린 학생들은 게임에 몰두하거나 각종 디지털 미디어를 사용하는데 거부감이 없는지라 새로 출시된 프로그램을 설치·테스트하는 걸 두려워하지 않다 보니 더욱 우려된다. 실제로 해커들은 이런 점을 이용해 해킹을 시도한다. 그리고 이럴 때에는 보안 패치가 잘 갖춰진 기존 소프트웨어 대신 허점이 많은 ‘신상품’ 소프트웨어를 이용한다. 그래서 최근에는 보안기술 분야의 전문가들도 이러한 문제를 해결하기 위해 인간의 행동 특성을 이용하는 방법을 개발 중이다. 즉, 디지털 기기와 인간의 상호작용을 이용하는 것이다.

인간은 사회 활동을 하면서 언어를 사용한다. 그래서 언어만으로도 인간의 행동 특성을 충분히 파악하고, 이로써 보안 설정도 가능하다. 하지만 보안 설정에 언어만 활용하기는 어렵다. 아직까지는 기술적 난제가 있어서다. 지문이나 홍채 같은 부가적인 기술도 있지만, 역시 완벽한 보안 대책을 제공하는 편은 아니다. 결국 비언어적 행동 특성도 반영한다면 좀 더 효율적인 보안 대책을 갖출 수 있다.

인간의 비언어적 행동 특성은 다양하다. 심지어 우리 스스로는 감지하지 못하는 행동 특성으로 인해 우리 몸속에서 변화가 일어나기도 한다. 거짓말 탐지기가 이런 걸 활용하는 대표적인 기기다. 수사관이 거짓말 탐지기를 착용한 피의자에게 질문을 하면 피의자의 혈압, 맥박, 동공의 크기의 변화 등으로 답변이 거짓말인지 참말인지를 파악할 수 있다.

가장 보편적으로 사용하는 행동 특성이 눈의 행동(Oculesics)이다. 눈의 움직임·행동, 동공 팽창, 시선 등을 종합적으로 판단해 감정을 읽어내는 것이다. 예를 들어, 공포에 질리면 동공이 커지고, 남을 속이려 들면 시선을 회피하는 걸 이용하는 것이다. 다음은 접촉(Tactile)이다. 사랑하는 사이이거나 친근하면 상대방이 가까이와도 거부감이 없지만, 불편한 존재가 다가오면 움츠리거나 경직된 반응을 보이는 걸 이용하는 것이다. 힘, 운동감, 유연성 등도 이용된다.

몇몇 예민한 운동학(Kinesics) 전문가들은 표정과 제스처 등 신체의 움직임만으로도 상대방의 직업이나 성격까지 파악할 수 있다. 그래서 운동학은 여러 분야에서 보편적으로 응용되고 사용된다. 운동 경기에서 감독이 수신호로 선수들에게 작전을 지시하거나, 공연에서 지휘자가 연주자들에게 신호를 보내거나, 군대에서 지휘관이 전투 직전에 수신호로 명령하는 경우가 그 사례다. 물론 실제로 모든 사람이 똑같은 제스처를 취할 수는 없다. 그래서 개인의 특징으로 구분되는 것이다.

다음으로 공간 사용(Proxemic behaviors)이다. 개인공간이든 공공공간이든 구분해서 생활하는 걸 이용하는 것이다. 같은 공간 안에서도 좋은 친구나 가족 간에 상호작용을 위한 개인 거리를 두며, 지인 간에 사회적 거리를 두기도 한다. 그래서 누군가가 내 개인공간을 침범하면 불편, 불안, 분노하고, 혼자 있으면 편안해하거나 외로워하기도 한다. 최근에는 코로나 사태로 인해 이러한 개인공간에 대한 민감도가 매우 증가하고 있다. 이외에 행동 특성으로 발음·악센트·체온·후각·맥박·심전도·호흡 등도 들 수 있다.

이러한 인간 행동의 특성을 디지털 기기와 연동시키면 개개인의 특징을 파악할 수 있고, 그것을 활용하여 보안 강도를 높일 수 있다. 실제로 스마트폰 같은 디지털 기기는 인간의 특징을 정교하게 잡아낼 수 있는 센서기술을 계속 장착해 성능을 높여가고 있다. 사용자의 행위를 실시간으로 판단하고 생체 특성을 예측해 선제적 보안 대책을 마련하는 게 가능해진 것이다.

사실, 지금까지 스마트폰의 보안 대책은 고객의 위치정보에 의존했다. 예를 들어, 은행이나 포털사이트 등은 GPS 위치 정보나 Wi-Fi 접속 위치 등을 파악해 고객이 사무실이나 집에서 접근하지 않을 때 사용자 확인을 거친다. 등록되지 않은 기기를 사용할 때에는 접속 전에 등록을 권유한다. 물론 지금까지는 위치정보만으로도 디지털 기기를 도용하거나 좀비로 이용하는 것을 차단할 수 있었다. 하지만 해킹기술이 발전하면서 위치정보만으로 인증하는 것마저 불충분해지는 것 같다. 특히, 사용자가 계속 이동하거나 타인과 디지털 기기를 공유할 때에는 이러한 보안 대책에 허점이 생길 수 있기 때문이다.

결국, 디지털 기기의 사용을 실시간으로 관찰해 사용자의 행동 상태를 예측하려면 인공지능(AI)의 도움이 절실하다. 즉, 기존의 패스워드 방식이나 전통적 암호 방식의 사용자 인증 대신 인간의 행동과 사용 패턴을 파악하고 이를 이용해야 한다. 이러한 패턴은 매우 복잡하고 경우의 수도 많으니까 인공지능으로 예측해야 한다. 실제로 이미 홍채 관련 인공지능 기술은 보편화되었으며, 스마트워치 같은 웨어러블(wearable) 기기로 사용자의 심전도, 맥박, 체온 등을 체크해 건강 상태를 파악하는 인공지능 서비스도 활발하게 이루어지고 있다. 따라서 보안인증 분야에도 인공지능을 활용하는 행동 상태 분석 서비스를 도입하는 것이 가능하다고 본다.

우선, 스마트폰에는 사용자의 위치를 파악할 수 있는 GPS 수신기 이외에 가속도계 센서가 내장돼 있다. 스마트폰이 회전하는 경우 화면이 자동 회전하는 기능에도 활용되고, 게임과 같은 다양한 애플리케이션에서도 사용된다. 이러한 가속도 센서는 보안인증에도 매우 유리하게 작용할 수 있다. 스마트폰의 이동 방향과 움직임을 감지해 행동 패턴을 판단할 수 있어서다.

사용자의 걸음걸이와 움직임 등을 감지하는 기능은 몸이 자유롭지 않은 장애인에게는 매우 효과적일 수 있다. 즉, 사용자의 걸음걸이와 움직임의 일정한 패턴 관련 정보를 스마트폰이 인식해 사용자 인증에 활용하는 것이다. 발음·악센트 등 음성 인식기술과의 연동도 가능하다. 다만 일부 시각장애인의 경우 홍채 인식기를 사용하는 데 거부감이 있을 수 있다. 또한, 지문·얼굴 인식 같은 생체인식에 대해 예민하게 반응할 수 있다. 하지만 다른 대체 수단을 이용할 수도 있기에 특정 행동 측정에 대한 물리적 거부감을 해소할 수 있다. 전체적으로 사용자의 움직임과 행동 패턴을 읽고 판단해 사용자의 편리성을 추구하고, 동시에 보안 대책도 마련할 수 있다.

고려해야 부분도 존재한다. 예를 들어, 이러한 일련의 행동 패턴과 디지털 기기 간의 연동으로 개개인에 적합한 사용자 인증 설정이 자동으로 가능하지만, 이러한 모든 사항을 담을 수 있는 충분한 인공지능 학습 데이터가 부족하다. 결국 빅데이터 분석으로 좀 더 정교한 설정을 해야 하며, 사용자가 불편을 느끼지 않을 수준으로 인증 시간을 최소화해야 할 것이다. 앞으로 이러한 사용자 행위 기반의 보안인증 기술이 보편화된다면 인간은 신의 영역에 한 발짝 더 다가서게 될 것이다.
[글_ 김주원 사이버보안 분야 칼럼리스트]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북