생체인증의 진화 ( 인증 서비스 )
신원확인에 대한 부분은 지속적으로 이슈가 되고 있다. 며칠 전 은성수 금융위원장은 인증/신원 확인 제도혁신을 위한 태스크포스(TF)를 출범한다고 한다. 말그대로 팀이 꾸려지면서 혁신적 인증수단 개발,활용할 수 있는 것을 마련하는 것이다.
아무래도 최근에 있었던 '신분증 위조'로 1억 2천만원까지 대출을 받은 사례가 금융권에서 파장이 컸던 것 같다. 작년에도 비슷한 일이 있었는데, 올해에도 또 발생하였다. 위조 '신분증'과 '알뜰폰'을 이용해 미래에셋대우에서 3개, DB금융투자, 유진투자증권, 케이뱅크에서 각각 1개씩 총 6개의 비대면 계좌를 만들었고 광주은행과 한화생명에서 대출을 받았다고 한다. 이런 문제가 생기는 건 '본인확인'이라는 것을 비대면으로 진행하면서 제대로 된 신원을 확인할 수 없다는 것이다.
카드번호와 신분증만으로는 알뜰폰 개통이 쉽고, 대부분이 금융 인증이 본인 명의의 휴대폰 인증이기 때문에 가장 많이 문제가 많이 생기고 있다. 통신사, 기기 등 보안이 다 엮여 있는데 알뜬폰을 개통해서 비대면에 대한 정보를 본인 정보로 탈바꿈시켜 신분을 속일 수 있게 되었다.
http://www.joseilbo.com/news/htmls/2020/06/20200611399950.html
http://www.ntoday.co.kr/news/articleView.html?idxno=73113
지난3일엔 1700만명이 가입한 토스에서는 8명의 고객 계좌에서 938만원이 결제되는 사건이 발생하는가하면 보이스피싱범이 유도한대로 휴대폰 화면을 바라보던 중 생체인증이 돼 돈이 인출되는 사건도 발생하였다.
http://www.koreaittimes.com/news/articleView.html?idxno=98107
http://www.opinionnews.co.kr/news/articleView.html?idxno=33940
공인인증서의 우월적 법적 지위 폐지(2018.1월)되면서 공인/사설 인증서 차별이 없어져 전자서명시장에서 블록체인, 생체인증 등 다양한 신기술을 이용해서 새로운 전자서명 서비스 개발이 활성화될 예정이다. 이전에는 공인전자서명(공인인증서)이 있으면 문서의 위-변조가 없는 것으로 추정했기 때문에 공인인증서가 거의 독점으로 이용되어왔다. 하지만, 공인인증서가 신기술 전자서명기업의 시장진입을 차단하게 되고, 이용자들은 엑티브엑스 설치를 해야되서 불편을 초래하는 등 다양한 문제들이 지속적으로 지적되어왔기 때문에 없애게 되었다.
그동안, 공인인증서의 한계점으로는
특정기술 강제: 특정 웹 브라우저(인터넷 익스플로어)와 함께 구동되는 Active X를 사용하는 환경에서만 구현
보안취약성: PC USB등 다양한 매체에 저장 가능➔ 해킹에 따른 유출 및 분실 위험
인증은 사용자를 식별하는 행위로써 보통 모바일에서 인증은 '본인인증'과 '기기인증'으로 나뉘어지는데 본인인증 '수단'에 따라 다양한 이인증방식이 존재하며 이용주체의 정책 등으로 선택되어 활용되기도 하는데,
본인인증의 경우에는 3가지 ❶지식기반 ❷생체기반 ❸ 소유기반으로 나뉘어집니다.
❶ 지식기반: 비밀번호,패턴, 간편번호,코드,이미지 등
❷ 생체기반:안면, 지문,홍채,음성,정맥,뇌파 등
❸ 소유기반: 보안카드, USB, 카드, OTP
공인인증서의 규모가 650억 정도라고 하고, 그동안 신기술 전자서명기업의 시장진입을 차단해왔지만 역사속으로 사라질 가능성이 커지게 되면서 이를 대체할 수 있는 새로운 인증 수단으로 생체인식 기술이 주목받고 있습니다.
사람의 신체적 행동적 특징을 자동화된 장치로 추출하여 개인을 인증하거나 식별하는 기술입니다. 생체인식 기술로 사용하기 위해서는 누구나 갖고 있으며, 각 사람마다 고유하여 변하지않고 센서에 의한 획득과 정량화가 쉬운 특징을 갖고 있어야 합니다.
주요 생체인식 기술로는 5가지가 있습니다. 지문, 얼굴,정맥,홍채,음성 입니다. 각각 장단점이 존재합니다. 금융권 모바일 인증 수단으로 주로 쓰이는 것은 이 중 4가지로 지문, 얼굴,정맥,홍채 입니다.
다음은 생체인식 기술에 대한 장단점입니다.
사람 손가락에 있는 지문의 고유패턴을 판별하여 인증 (광학식/정전용량식/초음파식)
장점: 다양한 장치에 적용 가능
단점: 지문 손상 및 지문이 없는 경우 이용 불가
얼굴의 특정점을 추출하여 저장된 데이터베이스 내 자료와 비교하여 신원을 확인
장점: 타인의 얼굴을 보고 신원을 확인하는 방식과 유사, 비접촉식으로 사용자의 거부가 적음
단점: 조명 및 환경, 영상의 간도에 빈감하고 변장을 한다거나 세월에 따른 얼굴변화, 성형수술, 쌍둥이의 유사한 얼굴 특징을 인식하는데 어려움
적외선을 사용하여 혈관을 투시한 후 정맥 패턴을 분석해 신분을 확인
장점: 지문/손가락이 없는 사람도 이용 가능, 정맥은 인체 내부에 있어 외상이나 노화로 인한 변경 가능성이 적음
단점: 하드웨어 구성이 복잡하고 소형화가 어려워 시스템의 크기가 크고 구축비용이 높음
사람의 목소리를 100분의 1초마다 한번씩 샘플링한 음성 주파수 그래프를 저장하여 신원 확인
장점: 인간에게 친숙한 정보전달 방법으로 별도의 학습이나 훈련 없이도 손쉽게 사용 가능, 손발이 자유롭게 못한 상황에서도 정보입력 가능
단점: 사용자에 따라 인식률 차이, 주변 잡음, 인식대상 어휘 제한 등에서 한계
http://www.bloter.net/archives/382898
눈에서 중앙의검은 동공과 흰자위 사이에 존재하는 도넛 모양의 홍채를 이용하여 사용자를 인증
장점: 쌍둥이들조차 서로 다른 패턴을 가지고 있어 통계학적으로 DNA보다 정확하다고 알려져있음
외상, 드문 질병을 제외하고 일생동안 변화하지 않으며 콘텍트렌즈/안경을 착용하더라도 인식 가능
단점: 인식방법에 따라 거부감이 생길 수 있으며 시스템을 구축하는 비용이 고가임
개인적으로 편리성은
지문>홍채>얼굴>정맥>음성 이었다.
지문의 경우에는 저장만 잘 되어있으면 누르기만 하면 금방 해제할 수 있어서 편리하였다.
홍채는 렌즈를 끼거나 어두웠을 경우에 인식률이 좋지 않았다.
얼굴의 경우에는 카카오페이 Face id가 처음 나왔을 때 부터 계속 써왔는데, 인식률이 좋지 않았다.
정맥은 편리하지만 ATM출금을 잘 이용하지 않아서.. (이모나 할머니는 한번 등록하니 편리하시다고 하셨다. 이 중 제일 보안수준이 높다)
음성의 경우에는 인식율이 좋지 않았다. '시리'나, '헤이카카오', '헤이 빅스비'를 외치지 않은 이상.. 다른 플랫폼을 사용해서 음성으로 인증하려고 하였을 땐, 인식률이 좋지는 않았다. 그리고 개인적으로 금융업무를 음성으로 처리하기엔 버겁단 느낌이 든다. privacy가 중요하다고 느껴지기 때문에 특정한 장소/환경이 아닌 이상 사용하진 않을 것 같다.
생체 정보 인증방식은 2가지가 있는데 서버 저장방식과 FIDO(Fast Identity Online) 방식이 있습니다. 서버 저장방식은 대표적으로 디지털 키오스크, ATM, 영업점 창구가 있으며 국내 금융권에서는 바이오정보 분산관리 시스템을 이용해 유출 및 위변조 가능성을 차단합니다. FIDO(Fast Identity Online)방식은 생체정보가 단말에 저장되고 모바일뱅킹, 간편결제를 이용할 수 있습니다. 생체정보를 서버에 저장하지않아 인증시스템의 신뢰도가 높고 편의성이 뛰어납니다. FIDO 서버에는 인증된 결과값만 전송되어 온라인 환경에서 ID, 비밀번호 없이 생체인식 기술을 활용하여 보다 편리하고 안전하게 개인 인증을 수행하는 기술입니다.
생체인식 기술 시장의 높은 성장세에도 불구하고 생체인증 자체의 불안정성, 위조, 유출, 사생활, 침해 등의 문제는 심각한 수준이라고 볼 수 있다. 가장 보안수준이 높은 것으로 알려진 정맥인증은 밀랍 손으로 본을 떠서 위조된 사례가 있다. CCTV 안면인식 기술의 발달로 공공장소에서 개인의 일거수일투족 감시가 되는 것도 문제이다. 최근 사용자 기술은 다중 생체인증, 개인의 행동을 추가로 검증하는 기술, 심전도/심박수 등 생체신호를 이용한 텔레바이오메트릭스 기술 등으로 발전하고 있으나 아직 이런 부분들은 금융거래에서는 적용하기 어려운 단계라고 볼 수 있다. 금융거래에서도 점점 진화하는 생체인식 기술을 사용해서 사용자의 요구를 충족시킬 수 있는 상품이 나올수도 있다. (예를 들면, 생체신호 기술을 활용해서 고객의 건강과 심리상태를 분석하고 반영한 관련 헬스케어 보험/펀드상품 것들..)
공인 인증서를 대체할만한 민간 전자서명으로는 ➊카카오페이 인증, ➋패스, ➌ 네이버 인증서, ➍뱅크사인이 있다. 뱅크사인의 경우에는 활용 범위 자체가 은행에만 국한되어있고 비은행권에서 사용할 수도 없으며 뱅크사인을 별도앱으로 깔아야하기 때문에 거론하진 않겠다
사설 인증서는 3곳이 요즘 제일 많이 쓰여지고 있다.
편의성으로 생각해보면
카카오>>>>>>>>>>>>>>>>>>패스>네이버
다 등록해두었지만 카카오의 '알림'은 압도적으로 편리했다. 신청 프로세스는 매우 편리했다.
네이버는 시작한지 얼마 안되서 범용성을 거론할 수준은 아니었고. (발급 프로세스는 간단했다)
PASS는 본인인증 때문에 제일 많이 쓰이고 있다. 그치만, 매우 간단한데도 불구하고 입력편의성이 좋지 않다.
PKI방식의 전자서명이 적용된 네이버 인증서는 고지서의 수령자인 네이버 이용자의 신원을 확인한다. PKI방식은 위조 및 변경이 불가한 전자서명 방식으로, 안전한 검증 절차로써 활용된다. 네이버는 올해 서울시에서 발급하는 민방위 소집 통지서, 국민연금공단에서 발급하는 연금 납부 고지서 등을 네이버 고지서 서비스를 통해 확인할 수 있도록 할 예정이며, 기존 적용된 메리츠화재 ‘화재보험’, 메리츠화재 ‘펫 보험’뿐만 아니라 자동차, 화재, 퇴직보험 등 보험사의 다양한 상품과도 연계해 나갈 예정이다.
2006년, 공인인증서 전자서명 기능 구현에 필요한 인증서 관리, 보안문제 해결을 위해 채택한 플러그인 방식(Active-X)에 대한 보안상 문제가 대두되고, 2015년에는 결제 시 불필요한 단계 제거 차원에서 공인인증서 의무화가 폐지되며 대체인증 시대가 열리게 되면서, 생체인증 기술에 대한 주목이 높아졌다. 생체인증 기술은 장단점이 존재하지만 점점 더 발전해가면서 오인률을 줄이게 될 것이다. 앞으로도 언컨택트 시대가 대두됨에 따라 개인 인증(전자서명) 이나 비대면 실명확인 서비스에 대한 것들이 전자서명 이용자 보호를 강화할 수 있또록 만들어져야할 것이다. 뿐만 아니라, 우리나라에 국한된 전자서명이 아니라 국제시장을 선도할 수 있는 전자서명 기술 개발들이 나와 국제통용 평가기준에 맞춘 신기술 전자서명으로써 개발되고 활용될 수 있길 바란다.
http://itdaily.kr/news/articleView.html?idxno=101343
https://www.mk.co.kr/news/economy/view/2019/08/587866/
http://inthenews3.mediaon.co.kr/news/article_print.html?no=8452
https://m.post.naver.com/viewer/postView.nhn?volumeNo=25750927&memberNo=11441650
http://www.itworld.co.kr/t/65211/%ED%94%84%EB%9D%BC%EC%9D%B4%EB%B2%84%EC%8B%9C/116811
https://www.hyosungfms.com/fms/promote/fms_news_view.do?id_boards=13355
https://www.zdnet.co.kr/view/?no=20180712171929
KYC 서비스에 대한 이해 (know your customer 디지털 신원/본인 확인)
http://wiki.hash.kr/index.php/%EA%B3%A0%EA%B0%9D%EC%8B%A0%EC%9B%90%ED%99%95%EC%9D%B8
KISA에서 발표한 17년도 대국민 전자서명 이용실태 조사