"생체 기술, 일상에서의 남용은 위험"

CSO
지문 정보와 같은 생체 정보가 지나치게 널리 일상적으로 수집되고 있다고 보안 기업 프로티그리티 USA(Protegrity USA)가 지적했다.

이 기업의 수니 먼샤니 CEO는 "일례로 오늘날 많은 금융 기관들이 모바일 기기에서의 로그인 과정에 생체 정보를 이용하고 있다"라며, 일부 편리할 수는 있겠지만 지나치게 일상적으로 활용되는 현상에는 문제가 있다고 진단했다.

그는 "생체 정보는 훨씬 더 신중하게 활용되는 것이 맞다고 본다"라고 덧붙였다.

가트너에 따르면 2016년까지 전체 스마트폰의 40%가 바이오 센서를 내장할 것으로 예상되고 있다. 이러한 가운데 지난 블랙햇 컨퍼런스에서는 파이어파이 타오 웨이와 율롱 장이 모바일 기기들로부터 지문을 대규모로 수집하는 시연을 진행해 눈길을 끌었던 바 있다.

당시 웨이와 장은 "모든 벤더들이 지문을 안전하게 저장하고 있는 것은 아니다"라며, "몇몇 벤더들은 사용자 지문을 암호화해 저장한다고 주장하지만, 실제로는 평범한 텍스트로 접근 가능한 공간에 저장하고 있었다"라고 경고했다.

일례로 HTC 원 맥스는 사용자 지문을 접근이 쉬운 공간에 가독 가능한 형식으로 저장하고 있었다고 그들은 설명했다.

생체 정보 도난은 이미 일어나고 있는 일이기도 하다. 지난 9월 말에는
미 인사국이 총 560만 건의 지문을 도난 당했다고 인정했다. 여기에는 비밀 접근 권한을 보유한 연방 정부 공무원들의 지문도 포함돼 있었다.

지문과 같은 생체정보의 유출은 비밀번호보다 심각한 문제를 일으킬 수 잇다. 비밀번호처럼 손쉽게 재설정할 수 없기 때문이다. 즉 한번 입수하면 두고두고 가치를 지닐 수 있으며, 이로 인해 해커들이 더욱 눈독을 들일 수 있다.

먼샤니 CEO는 생체정보를 적합하게 이용하는 방법은 2차 수단으로 저장하는 것이라고 주장했다. 그는 "생체 데이터는 유일무이성을 지니고 있다. 비밀번호 대체나 접근 제어용으로 이용되어서는 안 된다. 인증(authentication)이 아닌 인가(authorization)용으로 이용되는 것이 좋다"라고 말했다.

예를 들면 비밀번호나 주소 변화, 새로운 결제업체로의 지불, 특정 기업 시스템에의 접근 허용과 같은 용도로 활용될 수 있을 것이라고 그는 덧붙였다.

먼샤니는 "즉 생체 데이터는 긴급상황에 대비한 고차원 용도로만 활용될 필요가 있다. 난 그렇게 확신한다"라고 말했다. ciokr@idg.co.kr