[최희원의 보안세상]확산되는 생체인증

카메라를 통해 지문, 얼굴, 목소리 등 생체인증이 작동하는 장면. 경향신문 자료사진

히가시노 게이고의 추리소설 <플래티나 데이터>는 범죄 방지를 위해 권력이 국민의 DNA 정보를 데이터베이스화해서 개인정보를 관리하는 가까운 미래를 배경으로 한다. 범인을 검거할 목적으로 개발된 DNA 수사시스템에서 권력자들의 자기보호장치도 등장한다. 이 과정에서 시스템 개발자가 살해되고 권력이 국민의 DNA 정보를 어떤 식으로 남용하면서 관리하는지를 보여준다. 소설은 디지털 사회에서 충분히 있을 법한 미래 상황을 예측하고 생체정보 관리, 즉 개인정보 문제라는 화두를 던진다.

리서치 전문회사 가트너는 올해 말까지 스마트폰의 40%가 생체인식센서를 장착하게 될 것이라고 전망했다. 애플은 3년 전부터 이를 실행했다. 아이폰5s를 출시하면서 지문인식 시스템을 부착하고 최고의 비밀번호라고 호들갑을 떨기도 했지만, 여전히 구멍은 존재했다. 해커는 지문의 해상도를 높여 촬영한 화면으로 아이폰의 터치 시스템을 해킹했다. 젤리나 실리콘으로 만든 손가락에 지문을 복제한 후 지문인식기를 가뿐하게 통과하는 영화 속의 장면을 보여주었다. 생체인식이 안전하고 편리할뿐더러 기술도 정교해지고 있어 확산되는 추세지만, 해킹, 도난, 유출 시 난감한 상황을 맞을 수 있다. 지문이나 홍채 정보가 해킹당했다고 손가락, 눈을 바꿔달라고 할 수는 없기 때문이다.

비밀번호, 암호 패턴을 기억하지 않아도 높은 보안성을 확보할 수 있는 차세대 시스템이라면 빨리 갈아타는 게 당연하다. 하지만 약점이 존재한다. 생체정보는 비정형 데이터로 상대적으로 암호화가 쉽지 않다. 중요한 것은 생체정보 관리다. 믿을 만한 기관에서 주민등록번호 등 개인정보와 별 차이 없이 지문 등 생체정보가 고스란히 유출되는 것을 보면 우려스럽다.

미국 인사관리처가 자체 서버에서 560만개의 지문 정보를 도난당한 사례가 그것이다. 뚫리지 않을 것이라고 믿었던 곳이 개인정보 유출의 통로가 되고 해커의 먹잇감이 되고 있다.

유출된 지문들이 온라인상이나 오프라인에서 범죄자들이나 해커들의 손때를 타고 있다. 지문이 유출된 개인들에게 어떤 비상상황이 닥칠지 아무도 모른다. 생체정보는 개인에게 하나밖에 없는 유일한 식별정보이며 한 인간의 고유 특성이기도 하다.

해킹 피해자의 경우 본인 아닌 다른 사람이 생체정보를 사용, 피해자의 카드나 통장의 돈을 마음대로 사용할지 모른다. 물론 금융적인 위험은 사소한 사례가 될지 모른다. 평화로운 주말 저녁, 거실에서 가족들과 한가롭게 대화를 하고 있는데 범죄자들이 마음먹고 들이닥칠 수도 있다. 훔친 자들이 이렇게 엄청난 일을 벌이는 동안, 피해자는 본인이 하지 않은 일에 책임을 져야 한다. 본인의 생체 신원을 부인할 수 없다는 이야기다.

길가에 설치된 보안카메라를 지나 걸어가기만 해도 신원이 확인되기도 한다. SF영화에서나 볼 수 있는 이야기가 아니다. 이 같은 안면인식기술은 수많은 곳에서 사용되고 있고, 정확도도 매우 높다. 페이스북은 이 분야에서 세계 최고다. 페이스북의 얼굴 인식은 사람의 뇌보다 정확하며, 미 연방수사국(FBI)보다 정확하다고 한다. 이 때문에 캘리포니아나 일리노이주에서는 페이스북의 얼굴 인식 기능을 제한하라는 판결을 내렸다. 굳이 페이스북에 자신의 사진이나 집의 위치를 자주 노출시키지 않는 게 신상에 좋을 것이다.

소설에서처럼 DNA 정보가 데이터베이스화되어 국가가 관리하는 날이 올 수도 있다. DNA야말로 가장 개인적인 정보다. 혹시 어디엔가 우리의 DNA가 수집돼, 거대한 데이터베이스에 보관돼 있을지도 모를 일이다.

경찰이 범죄자를 잡기 위해 비공개 DNA 데이터베이스에 접근하는 경우도 있을 것이다. 머지않아 태어나는 신생아들의 경우 소설 속의 등장인물들처럼 의무적으로 중앙데이터시스템에 DNA를 제출하는 것으로 출생신고를 갈음하게 될지 모른다. 물론 여기서도 중요한 것은 DNA 관리 문제다. 생체정보를 분할해 서로 다른 곳에 저장한 후, 인증 시 재결합해 사용하는 분산관리가 대안으로 떠오르고 있지만, 완전한 방법은 아니다.

어쨌든 DNA 분석기업인 앤세스트리(Ancestry)닷컴이나 23andMe 같은 유망 벤처, 그리고 FBI가 생체정보를 제대로 보관할지도 우려스럽다.

모든 데이터베이스가 영원히 해킹되지 않을 것이라고 믿는 것은 어리석은 일이다. 해킹 안전지대란 존재하지 않는다. 생체정보는 우리가 생각하고 있는 것, 그것 이상으로 중요하다. 통제하지 못할 경우에는 심각한 상황이 벌어질 수 있다. 생체인증이 보안의 새로운 돌파구인 것만은 분명하지만, 생체정보의 유출과 해킹에 제대로 대처하지 못한다면 그 피해는 우리에게 고스란히 돌아올 것이다.

최희원 ‘해커묵시록’ 작가, 인터넷진흥원 수석 연구위원