2017.06.01

생체인증 약점, '이중인증'으로 잡는다

Evan Schuman | Computerworld
현재까지 단일 생체인증은 사전 녹화된 비디오나 녹음으로 속일 수 있는 보안상 허점이 있다. 또한 인증 과정에서 발생하는 오류에 대한 처리도 완벽하지 않다. 이에 따라 이중 생체인식 인증을 '동시'에 사용해 문제를 개선하고 보안을 강화하는 움직임이 나타나고 있다.



생체 인증의 문제는 진행 과정에서 오류가 발생하면 해결할 방법이 거의 없다는 점이다. 시스템이 사용자의 안구를 인식하지 못하면 "비밀번호 찾기" 같은 대체 인증 조치가 없고, 대신 PIN과 같은 사용자 식별이 덜 분명한 기존 인증 방식을 다시 사용해야 한다.

이에 따라 일부 인증 솔루션 업체는 동시 다중 생체 인증으로 이러한 문제의 해법을 찾고 있다. 여기서 가장 중요한 것은 "동시"이다. 두 가지 방법을 차례로 사용하면 시간이 더 많이 걸리고 이에 불편함을 느낀 사용자의 외면을 받을 수 있기 때문이다.

다중생체 인증 업체 센서리(Sensory)가 대표적이다. 시작은 하나의 생채 인식을 다른 것과 통합하면 오류율이 높아진다는 것을 깨닫는 것부터 시작됐다. 예를 들어 음성과 얼굴 인식을 동시에 사용하면 몇 가지 이유로 실패할 수 있다. 또한, 두 가지 인증 방식을 사용할 때 둘 중 하나라도 문제가 생기면 인증 실패로 이어지고 인증 거부가 된다.

망막 스캔의 경우 기술 특성상 동시에 다른 어떤 동작을 거의 할 수 없다. 음성 인식은 배경 소음이나 후두염이 있을 경우 혼동될 수 있고, 얼굴 인식은 어두운 조명, 화장의 변화, 콘텍트 렌즈나 안경 사용, 새로 기른 수염, 짙은 썬텐이나 기타 외모의 변화로 인증이 안될 수 있다.

따라서 센서리도 일반적으로 여러 인증 방식 중 하나만 사용할 것을 권장한다. 음성 및 얼굴 인식은 기본적으로 서로의 백업 역할을 한다. 하나가 오류가 나면 다른 방식으로 인증을 할 수 있다. 이론적으로는 사용자가 조명과 소음 상태가 매우 좋지 않은 곳에 있지 않는 한 인증에 문제는 없다.


그러나 이런 선택 가능한 인증 설정이 모든 사용자를 만족시키는 것은 아니다. 그래서 센서리는 두 방식 모두를 사용하돼 오류를 대비해 인증 '감도'를 설정하도록 지원한다. 사용자가 감도의 수준을 조정할 수 있으며 인증 방식을 변경할 수도 있다. 예를 들어 은행은 돈을 송금할 때 더 높은 감도를 사용할 수 있고, 잔액 보기와 같은 것은 중간 수준의 감도를 사용한다. 금액이 많아질 수록 인증 강도를 더 높일 수 있는 것이다.

이런 고감도 인증은 스푸핑(승인 받은 사용자인 것처럼 시스템에 접근하는 공격 행위) 시도를 막을 수 있다. 비디오로는 얼굴인식을, 음성으로는 음성인식을 속일 수 있다. 하지만 이중 생체 인식으로 음성 및 얼굴 인식을 최소 수준으로라도 모두 사용한다면 스푸핑이 더 어려워진다.

센서리는 여기서 한발 더 나아가 다중 인식을 결합해 두 가지 인증 방식을 연동해 활용하는 방법을 찾고 있다. 음성 및 얼굴 인식을 별도의 스트림을 통해 인증하는 대신, 두 인증의 특징이 다른 인증의 요소가 되는 개념이다.

이 회사의 비전 기술 수석 이사인 고든 하우프트는 "예를 들어 시스템이 사용자의 입술 모양을 읽고 마이크가 듣는 단어와 같은지를 판단하는 것이다. 사용자가 암호를 (문장으로) 말할 때 입술 모양의 변화를 관찰할 수 있도록 입술을 읽는 생체인증 시스템을 만들고 있다"고 말했다.

이 기능은 스푸핑을 확실히 더 어렵게 만들 수 있다. 그는 "센서리의 암호문은 사용자 별로 달라지고 알고리즘에 의해 임의로 정해진다. 도둑이 암호문을 미리 알아낼 수 없다면 스푸핑도 훨씬 어려워진다”고 말했다.

이러한 기술은 앞으로 현금자동입출금기(ATM) 보안에도 활용할 수 있다. 누군가 다른 사람을 대동하고 왔는데 극도의 공포가 얼굴과 목소리에 드러나 있다면, 소프트웨어가 이를 감지하고 누군가가 총구 앞에서 돈을 인출하도록 위협받는 상황이 의심된다고 경찰에 신고할 수도 있다. ciokr@idg.co.kr



2017.06.01

생체인증 약점, '이중인증'으로 잡는다

Evan Schuman | Computerworld
현재까지 단일 생체인증은 사전 녹화된 비디오나 녹음으로 속일 수 있는 보안상 허점이 있다. 또한 인증 과정에서 발생하는 오류에 대한 처리도 완벽하지 않다. 이에 따라 이중 생체인식 인증을 '동시'에 사용해 문제를 개선하고 보안을 강화하는 움직임이 나타나고 있다.



생체 인증의 문제는 진행 과정에서 오류가 발생하면 해결할 방법이 거의 없다는 점이다. 시스템이 사용자의 안구를 인식하지 못하면 "비밀번호 찾기" 같은 대체 인증 조치가 없고, 대신 PIN과 같은 사용자 식별이 덜 분명한 기존 인증 방식을 다시 사용해야 한다.

이에 따라 일부 인증 솔루션 업체는 동시 다중 생체 인증으로 이러한 문제의 해법을 찾고 있다. 여기서 가장 중요한 것은 "동시"이다. 두 가지 방법을 차례로 사용하면 시간이 더 많이 걸리고 이에 불편함을 느낀 사용자의 외면을 받을 수 있기 때문이다.

다중생체 인증 업체 센서리(Sensory)가 대표적이다. 시작은 하나의 생채 인식을 다른 것과 통합하면 오류율이 높아진다는 것을 깨닫는 것부터 시작됐다. 예를 들어 음성과 얼굴 인식을 동시에 사용하면 몇 가지 이유로 실패할 수 있다. 또한, 두 가지 인증 방식을 사용할 때 둘 중 하나라도 문제가 생기면 인증 실패로 이어지고 인증 거부가 된다.

망막 스캔의 경우 기술 특성상 동시에 다른 어떤 동작을 거의 할 수 없다. 음성 인식은 배경 소음이나 후두염이 있을 경우 혼동될 수 있고, 얼굴 인식은 어두운 조명, 화장의 변화, 콘텍트 렌즈나 안경 사용, 새로 기른 수염, 짙은 썬텐이나 기타 외모의 변화로 인증이 안될 수 있다.

따라서 센서리도 일반적으로 여러 인증 방식 중 하나만 사용할 것을 권장한다. 음성 및 얼굴 인식은 기본적으로 서로의 백업 역할을 한다. 하나가 오류가 나면 다른 방식으로 인증을 할 수 있다. 이론적으로는 사용자가 조명과 소음 상태가 매우 좋지 않은 곳에 있지 않는 한 인증에 문제는 없다.


그러나 이런 선택 가능한 인증 설정이 모든 사용자를 만족시키는 것은 아니다. 그래서 센서리는 두 방식 모두를 사용하돼 오류를 대비해 인증 '감도'를 설정하도록 지원한다. 사용자가 감도의 수준을 조정할 수 있으며 인증 방식을 변경할 수도 있다. 예를 들어 은행은 돈을 송금할 때 더 높은 감도를 사용할 수 있고, 잔액 보기와 같은 것은 중간 수준의 감도를 사용한다. 금액이 많아질 수록 인증 강도를 더 높일 수 있는 것이다.

이런 고감도 인증은 스푸핑(승인 받은 사용자인 것처럼 시스템에 접근하는 공격 행위) 시도를 막을 수 있다. 비디오로는 얼굴인식을, 음성으로는 음성인식을 속일 수 있다. 하지만 이중 생체 인식으로 음성 및 얼굴 인식을 최소 수준으로라도 모두 사용한다면 스푸핑이 더 어려워진다.

센서리는 여기서 한발 더 나아가 다중 인식을 결합해 두 가지 인증 방식을 연동해 활용하는 방법을 찾고 있다. 음성 및 얼굴 인식을 별도의 스트림을 통해 인증하는 대신, 두 인증의 특징이 다른 인증의 요소가 되는 개념이다.

이 회사의 비전 기술 수석 이사인 고든 하우프트는 "예를 들어 시스템이 사용자의 입술 모양을 읽고 마이크가 듣는 단어와 같은지를 판단하는 것이다. 사용자가 암호를 (문장으로) 말할 때 입술 모양의 변화를 관찰할 수 있도록 입술을 읽는 생체인증 시스템을 만들고 있다"고 말했다.

이 기능은 스푸핑을 확실히 더 어렵게 만들 수 있다. 그는 "센서리의 암호문은 사용자 별로 달라지고 알고리즘에 의해 임의로 정해진다. 도둑이 암호문을 미리 알아낼 수 없다면 스푸핑도 훨씬 어려워진다”고 말했다.

이러한 기술은 앞으로 현금자동입출금기(ATM) 보안에도 활용할 수 있다. 누군가 다른 사람을 대동하고 왔는데 극도의 공포가 얼굴과 목소리에 드러나 있다면, 소프트웨어가 이를 감지하고 누군가가 총구 앞에서 돈을 인출하도록 위협받는 상황이 의심된다고 경찰에 신고할 수도 있다. ciokr@idg.co.kr

X