VOL.113 · August 17 · 2018
정보보호연구본부 김수형 책임연구원
모든 것이 연결된 사물인터넷(IoT) 시대는 우리 삶을 편리하게 만들었지만, 정보 보안에 대한 과제 또한 안겨줬다. 기술이 삶과 밀접해질수록 그리고 삶을 더 편리하게 만들수록 보안에 대한 위험과 피해는 점점 더 커질 수밖에 없다. ETRI 정보보호연구본부에서는 갈수록 교묘해지고 확장되는 정보 보안 문제를 해결하기 위해 노력하고 있다. 특히 모든 보안의 첫 관문이자 가장 중요한 요소인 사용자인증 기술 개발과 보급은 정보보호연구본부의 핵심과제 중 하나이다.
| 사용자를 인증하는 것은 보안에 가장 중요한 부분이다. 아무리 좋은 보안 시스템을 갖췄다 하더라도 다른 사람이 내 비밀번호를 알고 있다면 아무 소용이 없기 때문이다. 그동안 사용자를 인증하기 위한 다양한 기반의 인증 방법이 개발되어 사용됐다. 가장 보편적인 인증 방법은 바로 ‘패스워드’ 기반의 사용자인증. 보안에 매우 취약하지만, 비용이 적게 들고 편리하다는 이유로 광범위하게 사용되고 있다. 이러한 패스워드 기반 사용자인증의 취약성을 개선하기 위해 그동안 ‘공인인증서’로 대표되는 다양한 기술이 개발되어 보급됐다. 하지만 매번 프로그램을 설치하거나 업데이트해야 하고, 결국은 비밀번호를 외워서 입력해야 하는 등 편리성 면에서 많은 한계와 문제를 드러냈다. FIDO(Fast Identity Online)는 이러한 문제를 해결하기 위해 삼성전자, 구글, 마이크로소프트 등 200여개에 이르는 세계적 기업들이 연합해 구축한 국제 표준이다. |
| _ |
| 김수형 박사 |
| “기존 패스워드 인증은 사용자가 매번 모든 비밀번호를 기억하고 있어야 하며 보안에도 매우 취약합니다. 반면 FIDO는 아이디와 비밀번호 조합을 기억할 필요 없이 지문, 홍채, 얼굴 인식, 목소리 등 생체정보만으로도 인증할 수 있는 국제 표준입니다. 생체 정보를 이용한다면 비밀번호를 잊을 염려도 없고, 누군가에게 비밀번호를 도용당할 위험 역시 상당히 감소하게 되는 것이죠. FIDO의 슬로건 역시 ‘패스워드를 넘어서(Beyond Password)’예요. 다만 기존의 FIDO 1.0은 모바일, 즉 스마트폰 위주로만 작동되는 한계가 있습니다. 그래서 FIDO2는 스마트폰뿐만 아니라 웹브라우저에서도 FIDO 기술을 활용할 수 있도록 새롭게 만들어진 표준입니다. 2.0이 아닌 2(Two)라는 숫자가 붙은 것은 단순히 업그레이드 버전이 아니라 완전히 새로운 기술이기 때문이에요. FIDO2로 넘어오면서 이제는 다양한 플랫폼에서 FIDO 기능을 활용할 수 있게 됐습니다.” |
| ETRI가 개발한 ‘상황인지 기반 FIDO 인증기술’은 이러한 FIDO2에 대응하는 범용인증플랫폼 기술이다. 기술의 프로세스를 잠시 살펴보면 먼저 사용자의 얼굴, 키 입력 패턴, 모션, 위치 등의 정보를 모니터링한다. 이렇게 확보된 정보들은 기계학습 기법을 통해 분석되어 본인 여부를 가려낸다. 가령 누군가가 몰래 비밀번호를 알아내 입력하더라도 입력할 때의 얼굴, 키 입력 패턴, 위치 등을 함께 분석해 진짜 사용자인지를 구별하는 것이다. 이 기술은 점차 확산하고 있는 핀테크, 간편결제 인증은 물론 인터넷 뱅킹, 증권, 보험 등 기존 공인인증 서비스 분야에서도 매우 유용하게 활용될 수 있다. |
| 사용자를 인증하는 것은 보안에 가장 중요한 부분이다. 아무리 좋은 보안 시스템을 갖췄다 하더라도 다른 사람이 내 비밀번호를 알고 있다면 아무 소용이 없기 때문이다. 그동안 사용자를 인증하기 위한 다양한 기반의 인증 방법이 개발되어 사용됐다. 가장 보편적인 인증 방법은 바로 ‘패스워드’ 기반의 사용자인증. 보안에 매우 취약하지만, 비용이 적게 들고 편리하다는 이유로 광범위하게 사용되고 있다. 이러한 패스워드 기반 사용자인증의 취약성을 개선하기 위해 그동안 ‘공인인증서’로 대표되는 다양한 기술이 개발되어 보급됐다. 하지만 매번 프로그램을 설치하거나 업데이트해야 하고, 결국은 비밀번호를 외워서 입력해야 하는 등 편리성 면에서 많은 한계와 문제를 드러냈다. FIDO(Fast Identity Online)는 이러한 문제를 해결하기 위해 삼성전자, 구글, 마이크로소프트 등 200여개에 이르는 세계적 기업들이 연합해 구축한 국제 표준이다. |
|
| 김수형 박사 |
“기존 패스워드 인증은 사용자가 매번 모든 비밀번호를 기억하고 있어야 하며 보안에도 매우 취약합니다. 반면 FIDO는 아이디와 비밀번호 조합을 기억할 필요 없이 지문, 홍채, 얼굴 인식, 목소리 등 생체정보만으로도 인증할 수 있는 국제 표준입니다. 생체 정보를 이용한다면 비밀번호를 잊을 염려도 없고, 누군가에게 비밀번호를 도용당할 위험 역시 상당히 감소하게 되는 것이죠. FIDO의 슬로건 역시 ‘패스워드를 넘어서(Beyond Password)’예요. 다만 기존의 FIDO 1.0은 모바일, 즉 스마트폰 위주로만 작동되는 한계가 있습니다. 그래서 FIDO2는 스마트폰뿐만 아니라 웹브라우저에서도 FIDO 기술을 활용할 수 있도록 새롭게 만들어진 표준입니다. 2.0이 아닌 2(Two)라는 숫자가 붙은 것은 단순히 업그레이드 버전이 아니라 완전히 새로운 기술이기 때문이에요. FIDO2로 넘어오면서 이제는 다양한 플랫폼에서 FIDO 기능을 활용할 수 있게 됐습니다.” |
| ETRI가 개발한 ‘상황인지 기반 FIDO 인증기술’은 이러한 FIDO2에 대응하는 범용인증플랫폼 기술이다. 기술의 프로세스를 잠시 살펴보면 먼저 사용자의 얼굴, 키 입력 패턴, 모션, 위치 등의 정보를 모니터링한다. 이렇게 확보된 정보들은 기계학습 기법을 통해 분석되어 본인 여부를 가려낸다. 가령 누군가가 몰래 비밀번호를 알아내 입력하더라도 입력할 때의 얼굴, 키 입력 패턴, 위치 등을 함께 분석해 진짜 사용자인지를 구별하는 것이다. 이 기술은 점차 확산하고 있는 핀테크, 간편결제 인증은 물론 인터넷 뱅킹, 증권, 보험 등 기존 공인인증 서비스 분야에서도 매우 유용하게 활용될 수 있다. | |
| 사용자인증과 관련된 연구는 편리함과 보안이라는 두 마리 토끼를 잡는 것과 다를 바 없다. 편리함에 치중할수록 보안이 멀어졌고, 보안에 치중할수록 편리함이 멀어졌기 때문이다. 혹시 이 두 마리 토끼를 잡을 수는 없을까? |
| _ |
| 김수형 박사 |
| “예전에는 패스워드, OTP 등 다양하고 복잡한 정보를 넣어 보안을 강조했지만, 요즘에는 ‘어떻게 하면 사용자들이 좀 더 편리하게 서비스를 이용할 수 있는가’로 바뀌는 추세에요. 보안을 강화하면서 편리함 역시 높이기 위해서 고안된 것이 다양한 인증패턴을 함께 적용하는 것, 즉 멀티팩터 인증을 하는 것입니다. 예를 들어 개인식별번호(PIN)를 입력하는 대신 사용자의 얼굴이나 목소리를 인증에 활용한다면 보안은 강화되면서도 편리함 역시 증가하게 됩니다. 더 나아가 얼굴이나 목소리를 인식하는 생체인식을 넘어 우리가 주목하는 분야는 바로 행위기반 인증입니다. 사용자의 행동 패턴이나 습관 등을 활용해 인증에 적용하는 것입니다.” |
| 김수형 책임연구원은 2015년 개봉한 <미션임파서블: 로그네이션>의 한 장면을 예로 들었다. 영화에는 안면 인식보다 뛰어난 보행 분석기라는 기술이 나온다. 사람의 걸음걸이와 말하는 방식, 얼굴의 경련까지 분석해 침입자를 잡아낸다. 물론 침입자는 일정한 거리를 그저 걷기만 했을 뿐이다. |
| _ |
| 김수형 박사 |
| “행위기반 연구를 위해서는 단순히 인증에 대해서만 고민하는 것이 아니라 ‘어떤 요소가 사람과 사람을 구분되게 만들까’에 대해 끊임없이 분석하고 연구해야 합니다. 그리고 오랫동안 축적된 연구 데이터가 필요해요. 예를 들어 얼굴인식의 경우 이미 수십 년 이상 세계적으로 많은 연구가 이뤄지고 있습니다. 덕분에 많은 데이터가 계속 축적되고 있어서 인식 정확도를 상용화 수준으로 끌어올렸습니다. 반면 행위기반 인증기술이나 목소리 인증 등은 아직 초기 단계라 데이터 자체가 많지 않습니다. 그래서 우리는 더 많은 연구 데이터를 확보하기 위해 다른 기관, 그리고 ETRI 내부의 다른 부서와 연구 협력이 필요합니다. 특히 인공지능과 센서 기술에 주목하고 있어요. 다음 세대의 인증기술은 이 두 분야의 발전과 밀접한 관계가 있기 때문이죠. 그래서 최근에는 참여 연구진들이 보안 관련 자료뿐만 아니라 인공지능 관련 논문도 읽고 세미나에도 꾸준히 참석합니다.” |
| 사용자인증과 관련된 연구는 편리함과 보안이라는 두 마리 토끼를 잡는 것과 다를 바 없다. 편리함에 치중할수록 보안이 멀어졌고, 보안에 치중할수록 편리함이 멀어졌기 때문이다. 혹시 이 두 마리 토끼를 잡을 수는 없을까? | |
| 김수형 박사 |
“예전에는 패스워드, OTP 등 다양하고 복잡한 정보를 넣어 보안을 강조했지만, 요즘에는 ‘어떻게 하면 사용자들이 좀 더 편리하게 서비스를 이용할 수 있는가’로 바뀌는 추세에요. 보안을 강화하면서 편리함 역시 높이기 위해서 고안된 것이 다양한 인증패턴을 함께 적용하는 것, 즉 멀티팩터 인증을 하는 것입니다. 예를 들어 개인식별번호(PIN)를 입력하는 대신 사용자의 얼굴이나 목소리를 인증에 활용한다면 보안은 강화되면서도 편리함 역시 증가하게 됩니다. 더 나아가 얼굴이나 목소리를 인식하는 생체인식을 넘어 우리가 주목하는 분야는 바로 행위기반 인증입니다. 사용자의 행동 패턴이나 습관 등을 활용해 인증에 적용하는 것입니다.” |
| 김수형 책임연구원은 2015년 개봉한 <미션임파서블: 로그네이션>의 한 장면을 예로 들었다. 영화에는 안면 인식보다 뛰어난 보행 분석기라는 기술이 나온다. 사람의 걸음걸이와 말하는 방식, 얼굴의 경련까지 분석해 침입자를 잡아낸다. 물론 침입자는 일정한 거리를 그저 걷기만 했을 뿐이다. | |
| 김수형 박사 |
“행위기반 연구를 위해서는 단순히 인증에 대해서만 고민하는 것이 아니라 ‘어떤 요소가 사람과 사람을 구분되게 만들까’에 대해 끊임없이 분석하고 연구해야 합니다. 그리고 오랫동안 축적된 연구 데이터가 필요해요. 예를 들어 얼굴인식의 경우 이미 수십 년 이상 세계적으로 많은 연구가 이뤄지고 있습니다. 덕분에 많은 데이터가 계속 축적되고 있어서 인식 정확도를 상용화 수준으로 끌어올렸습니다. 반면 행위기반 인증기술이나 목소리 인증 등은 아직 초기 단계라 데이터 자체가 많지 않습니다. 그래서 우리는 더 많은 연구 데이터를 확보하기 위해 다른 기관, 그리고 ETRI 내부의 다른 부서와 연구 협력이 필요합니다. 특히 인공지능과 센서 기술에 주목하고 있어요. 다음 세대의 인증기술은 이 두 분야의 발전과 밀접한 관계가 있기 때문이죠. 그래서 최근에는 참여 연구진들이 보안 관련 자료뿐만 아니라 인공지능 관련 논문도 읽고 세미나에도 꾸준히 참석합니다.” |
| 김수형 책임연구원을 필두로 한 연구진들은 틈 날 때마다 다양한 경우의 수를 상상한다. 모든 것이 연결되는 초연결사회가 될수록 그에 따르는 보안과 인증 방법 역시 다양해지기 때문이다. 문이 많아질수록 드나드는 통로 역시 많아지기 때문이다. |
| _ |
| 김수형 박사 |
| “요즘은 AI 스피커나 냉장고 등 IoT 기기를 통해 주문하고 결제하는 시대가 되었습니다. 멀지 않은 시기에는 자동차가 주요한 상거래 플랫폼이 될 거라는 예측도 있습니다. 이를 위해 연구진들은 온라인을 뛰어넘어 사용자의 실생활 환경에서 사용자를 식별하고 인증하는 방법을 집중적으로 연구하고 있습니다. 실서비스 환경에 따른 사용자의 고유한 패턴을 집중적으로 분석해 다양한 환경과 조건에서도 인증할 수 있는 방법을 개발 중입니다. 쉽게 말해 ATM, POS, 자동차, 출입통제 등의 서비스 디바이스가 사용자의 개입 없이도 어떻게 사용자 본인 여부를 안전하게 확인할 수 있을까를 끊임없이 연구하고 있는 것이죠.” |
| 그는 연구 목표를 명료하게 언급했다. 먼저 연구원에서 개발한 기술들을 올해 4월 확정된 FIDO2에 맞춰 기술이전과 상용화에 집중하는 것을 단기적인 목표로 잡았다. 장기적인 목표로는 앞서 영화의 예처럼, 사용자가 인식조차 하지 않을 정도로 편리하게 인증하는 인비저블 시큐리티(Invisible Security) 기술을 개발하는 것이다. 결국, 일상생활에서 빈번하게 마주치는 등록, 인증, 결제, 출입에 필요한 신원확인, 거래 절차 등을 자동화해 궁극적으로는 삶의 질을 높이는 것이 김수형 책임연구원을 비롯한 정보보호연구본부의 목표인 셈이다. |
| 김수형 책임연구원을 필두로 한 연구진들은 틈 날 때마다 다양한 경우의 수를 상상한다. 모든 것이 연결되는 초연결사회가 될수록 그에 따르는 보안과 인증 방법 역시 다양해지기 때문이다. 문이 많아질수록 드나드는 통로 역시 많아지기 때문이다. | |
| 김수형 박사 |
“요즘은 AI 스피커나 냉장고 등 IoT 기기를 통해 주문하고 결제하는 시대가 되었습니다. 멀지 않은 시기에는 자동차가 주요한 상거래 플랫폼이 될 거라는 예측도 있습니다. 이를 위해 연구진들은 온라인을 뛰어넘어 사용자의 실생활 환경에서 사용자를 식별하고 인증하는 방법을 집중적으로 연구하고 있습니다. 실서비스 환경에 따른 사용자의 고유한 패턴을 집중적으로 분석해 다양한 환경과 조건에서도 인증할 수 있는 방법을 개발 중입니다. 쉽게 말해 ATM, POS, 자동차, 출입통제 등의 서비스 디바이스가 사용자의 개입 없이도 어떻게 사용자 본인 여부를 안전하게 확인할 수 있을까를 끊임없이 연구하고 있는 것이죠.” |
| 그는 연구 목표를 명료하게 언급했다. 먼저 연구원에서 개발한 기술들을 올해 4월 확정된 FIDO2에 맞춰 기술이전과 상용화에 집중하는 것을 단기적인 목표로 잡았다. 장기적인 목표로는 앞서 영화의 예처럼, 사용자가 인식조차 하지 않을 정도로 편리하게 인증하는 인비저블 시큐리티(Invisible Security) 기술을 개발하는 것이다. 결국, 일상생활에서 빈번하게 마주치는 등록, 인증, 결제, 출입에 필요한 신원확인, 거래 절차 등을 자동화해 궁극적으로는 삶의 질을 높이는 것이 김수형 책임연구원을 비롯한 정보보호연구본부의 목표인 셈이다. | |
그동안 영화에서만 보던 다양한 사용자인증 방식들은 이미 많은 부분에서 상용화되어 일상의 풍경들을 바꾸어 주었다. 앞으로 어떠한 형태의 인증기술들이 개발되어 삶을 더 편리하고 안전하게 바꿀지 자못 궁금하다. 지금까지 그래왔던 것처럼, 인증기술의 미래를 혁신적으로 바꾸는 주인공으로서 ETRI가 다시 한번 활약할 수 있기를 기대해본다.
