사용자를 인증하는 것은 보안에 가장 중요한 부분이다. 아무리 좋은 보안 시스템을 갖췄다 하더라도 다른 사람이 내 비밀번호를 알고 있다면 아무 소용이 없기 때문이다. 그동안 사용자를 인증하기 위한 다양한 기반의 인증 방법이 개발되어 사용됐다. 가장 보편적인 인증 방법은 바로 ‘패스워드’ 기반의 사용자인증. 보안에 매우 취약하지만, 비용이 적게 들고 편리하다는 이유로 광범위하게 사용되고 있다. 이러한 패스워드 기반 사용자인증의 취약성을 개선하기 위해 그동안 ‘공인인증서’로 대표되는 다양한 기술이 개발되어 보급됐다. 하지만 매번 프로그램을 설치하거나 업데이트해야 하고, 결국은 비밀번호를 외워서 입력해야 하는 등 편리성 면에서 많은 한계와 문제를 드러냈다. FIDO(Fast Identity Online)는 이러한 문제를 해결하기 위해 삼성전자, 구글, 마이크로소프트 등 200여개에 이르는 세계적 기업들이 연합해 구축한 국제 표준이다. |
_ |
김수형 박사 |
“기존 패스워드 인증은 사용자가 매번 모든 비밀번호를 기억하고 있어야 하며 보안에도 매우 취약합니다. 반면 FIDO는 아이디와 비밀번호 조합을 기억할 필요 없이 지문, 홍채, 얼굴 인식, 목소리 등 생체정보만으로도 인증할 수 있는 국제 표준입니다. 생체 정보를 이용한다면 비밀번호를 잊을 염려도 없고, 누군가에게 비밀번호를 도용당할 위험 역시 상당히 감소하게 되는 것이죠. FIDO의 슬로건 역시 ‘패스워드를 넘어서(Beyond Password)’예요. 다만 기존의 FIDO 1.0은 모바일, 즉 스마트폰 위주로만 작동되는 한계가 있습니다. 그래서 FIDO2는 스마트폰뿐만 아니라 웹브라우저에서도 FIDO 기술을 활용할 수 있도록 새롭게 만들어진 표준입니다. 2.0이 아닌 2(Two)라는 숫자가 붙은 것은 단순히 업그레이드 버전이 아니라 완전히 새로운 기술이기 때문이에요. FIDO2로 넘어오면서 이제는 다양한 플랫폼에서 FIDO 기능을 활용할 수 있게 됐습니다.” |
ETRI가 개발한 ‘상황인지 기반 FIDO 인증기술’은 이러한 FIDO2에 대응하는 범용인증플랫폼 기술이다. 기술의 프로세스를 잠시 살펴보면 먼저 사용자의 얼굴, 키 입력 패턴, 모션, 위치 등의 정보를 모니터링한다. 이렇게 확보된 정보들은 기계학습 기법을 통해 분석되어 본인 여부를 가려낸다. 가령 누군가가 몰래 비밀번호를 알아내 입력하더라도 입력할 때의 얼굴, 키 입력 패턴, 위치 등을 함께 분석해 진짜 사용자인지를 구별하는 것이다. 이 기술은 점차 확산하고 있는 핀테크, 간편결제 인증은 물론 인터넷 뱅킹, 증권, 보험 등 기존 공인인증 서비스 분야에서도 매우 유용하게 활용될 수 있다. |
사용자를 인증하는 것은 보안에 가장 중요한 부분이다. 아무리 좋은 보안 시스템을 갖췄다 하더라도 다른 사람이 내 비밀번호를 알고 있다면 아무 소용이 없기 때문이다. 그동안 사용자를 인증하기 위한 다양한 기반의 인증 방법이 개발되어 사용됐다. 가장 보편적인 인증 방법은 바로 ‘패스워드’ 기반의 사용자인증. 보안에 매우 취약하지만, 비용이 적게 들고 편리하다는 이유로 광범위하게 사용되고 있다. 이러한 패스워드 기반 사용자인증의 취약성을 개선하기 위해 그동안 ‘공인인증서’로 대표되는 다양한 기술이 개발되어 보급됐다. 하지만 매번 프로그램을 설치하거나 업데이트해야 하고, 결국은 비밀번호를 외워서 입력해야 하는 등 편리성 면에서 많은 한계와 문제를 드러냈다. FIDO(Fast Identity Online)는 이러한 문제를 해결하기 위해 삼성전자, 구글, 마이크로소프트 등 200여개에 이르는 세계적 기업들이 연합해 구축한 국제 표준이다. |
김수형 박사 |
“기존 패스워드 인증은 사용자가 매번 모든 비밀번호를 기억하고 있어야 하며 보안에도 매우 취약합니다. 반면 FIDO는 아이디와 비밀번호 조합을 기억할 필요 없이 지문, 홍채, 얼굴 인식, 목소리 등 생체정보만으로도 인증할 수 있는 국제 표준입니다. 생체 정보를 이용한다면 비밀번호를 잊을 염려도 없고, 누군가에게 비밀번호를 도용당할 위험 역시 상당히 감소하게 되는 것이죠. FIDO의 슬로건 역시 ‘패스워드를 넘어서(Beyond Password)’예요. 다만 기존의 FIDO 1.0은 모바일, 즉 스마트폰 위주로만 작동되는 한계가 있습니다. 그래서 FIDO2는 스마트폰뿐만 아니라 웹브라우저에서도 FIDO 기술을 활용할 수 있도록 새롭게 만들어진 표준입니다. 2.0이 아닌 2(Two)라는 숫자가 붙은 것은 단순히 업그레이드 버전이 아니라 완전히 새로운 기술이기 때문이에요. FIDO2로 넘어오면서 이제는 다양한 플랫폼에서 FIDO 기능을 활용할 수 있게 됐습니다.” |
ETRI가 개발한 ‘상황인지 기반 FIDO 인증기술’은 이러한 FIDO2에 대응하는 범용인증플랫폼 기술이다. 기술의 프로세스를 잠시 살펴보면 먼저 사용자의 얼굴, 키 입력 패턴, 모션, 위치 등의 정보를 모니터링한다. 이렇게 확보된 정보들은 기계학습 기법을 통해 분석되어 본인 여부를 가려낸다. 가령 누군가가 몰래 비밀번호를 알아내 입력하더라도 입력할 때의 얼굴, 키 입력 패턴, 위치 등을 함께 분석해 진짜 사용자인지를 구별하는 것이다. 이 기술은 점차 확산하고 있는 핀테크, 간편결제 인증은 물론 인터넷 뱅킹, 증권, 보험 등 기존 공인인증 서비스 분야에서도 매우 유용하게 활용될 수 있다. |
사용자인증과 관련된 연구는 편리함과 보안이라는 두 마리 토끼를 잡는 것과 다를 바 없다. 편리함에 치중할수록 보안이 멀어졌고, 보안에 치중할수록 편리함이 멀어졌기 때문이다. 혹시 이 두 마리 토끼를 잡을 수는 없을까? |
_ |
김수형 박사 |
“예전에는 패스워드, OTP 등 다양하고 복잡한 정보를 넣어 보안을 강조했지만, 요즘에는 ‘어떻게 하면 사용자들이 좀 더 편리하게 서비스를 이용할 수 있는가’로 바뀌는 추세에요. 보안을 강화하면서 편리함 역시 높이기 위해서 고안된 것이 다양한 인증패턴을 함께 적용하는 것, 즉 멀티팩터 인증을 하는 것입니다. 예를 들어 개인식별번호(PIN)를 입력하는 대신 사용자의 얼굴이나 목소리를 인증에 활용한다면 보안은 강화되면서도 편리함 역시 증가하게 됩니다. 더 나아가 얼굴이나 목소리를 인식하는 생체인식을 넘어 우리가 주목하는 분야는 바로 행위기반 인증입니다. 사용자의 행동 패턴이나 습관 등을 활용해 인증에 적용하는 것입니다.” |
김수형 책임연구원은 2015년 개봉한 <미션임파서블: 로그네이션>의 한 장면을 예로 들었다. 영화에는 안면 인식보다 뛰어난 보행 분석기라는 기술이 나온다. 사람의 걸음걸이와 말하는 방식, 얼굴의 경련까지 분석해 침입자를 잡아낸다. 물론 침입자는 일정한 거리를 그저 걷기만 했을 뿐이다. |
_ |
김수형 박사 |
“행위기반 연구를 위해서는 단순히 인증에 대해서만 고민하는 것이 아니라 ‘어떤 요소가 사람과 사람을 구분되게 만들까’에 대해 끊임없이 분석하고 연구해야 합니다. 그리고 오랫동안 축적된 연구 데이터가 필요해요. 예를 들어 얼굴인식의 경우 이미 수십 년 이상 세계적으로 많은 연구가 이뤄지고 있습니다. 덕분에 많은 데이터가 계속 축적되고 있어서 인식 정확도를 상용화 수준으로 끌어올렸습니다. 반면 행위기반 인증기술이나 목소리 인증 등은 아직 초기 단계라 데이터 자체가 많지 않습니다. 그래서 우리는 더 많은 연구 데이터를 확보하기 위해 다른 기관, 그리고 ETRI 내부의 다른 부서와 연구 협력이 필요합니다. 특히 인공지능과 센서 기술에 주목하고 있어요. 다음 세대의 인증기술은 이 두 분야의 발전과 밀접한 관계가 있기 때문이죠. 그래서 최근에는 참여 연구진들이 보안 관련 자료뿐만 아니라 인공지능 관련 논문도 읽고 세미나에도 꾸준히 참석합니다.” |
사용자인증과 관련된 연구는 편리함과 보안이라는 두 마리 토끼를 잡는 것과 다를 바 없다. 편리함에 치중할수록 보안이 멀어졌고, 보안에 치중할수록 편리함이 멀어졌기 때문이다. 혹시 이 두 마리 토끼를 잡을 수는 없을까? |
김수형 박사 |
“예전에는 패스워드, OTP 등 다양하고 복잡한 정보를 넣어 보안을 강조했지만, 요즘에는 ‘어떻게 하면 사용자들이 좀 더 편리하게 서비스를 이용할 수 있는가’로 바뀌는 추세에요. 보안을 강화하면서 편리함 역시 높이기 위해서 고안된 것이 다양한 인증패턴을 함께 적용하는 것, 즉 멀티팩터 인증을 하는 것입니다. 예를 들어 개인식별번호(PIN)를 입력하는 대신 사용자의 얼굴이나 목소리를 인증에 활용한다면 보안은 강화되면서도 편리함 역시 증가하게 됩니다. 더 나아가 얼굴이나 목소리를 인식하는 생체인식을 넘어 우리가 주목하는 분야는 바로 행위기반 인증입니다. 사용자의 행동 패턴이나 습관 등을 활용해 인증에 적용하는 것입니다.” |
김수형 책임연구원은 2015년 개봉한 <미션임파서블: 로그네이션>의 한 장면을 예로 들었다. 영화에는 안면 인식보다 뛰어난 보행 분석기라는 기술이 나온다. 사람의 걸음걸이와 말하는 방식, 얼굴의 경련까지 분석해 침입자를 잡아낸다. 물론 침입자는 일정한 거리를 그저 걷기만 했을 뿐이다. |
김수형 박사 |
“행위기반 연구를 위해서는 단순히 인증에 대해서만 고민하는 것이 아니라 ‘어떤 요소가 사람과 사람을 구분되게 만들까’에 대해 끊임없이 분석하고 연구해야 합니다. 그리고 오랫동안 축적된 연구 데이터가 필요해요. 예를 들어 얼굴인식의 경우 이미 수십 년 이상 세계적으로 많은 연구가 이뤄지고 있습니다. 덕분에 많은 데이터가 계속 축적되고 있어서 인식 정확도를 상용화 수준으로 끌어올렸습니다. 반면 행위기반 인증기술이나 목소리 인증 등은 아직 초기 단계라 데이터 자체가 많지 않습니다. 그래서 우리는 더 많은 연구 데이터를 확보하기 위해 다른 기관, 그리고 ETRI 내부의 다른 부서와 연구 협력이 필요합니다. 특히 인공지능과 센서 기술에 주목하고 있어요. 다음 세대의 인증기술은 이 두 분야의 발전과 밀접한 관계가 있기 때문이죠. 그래서 최근에는 참여 연구진들이 보안 관련 자료뿐만 아니라 인공지능 관련 논문도 읽고 세미나에도 꾸준히 참석합니다.” |