삼성에서 새로 발매된 ‘갤럭시 노트7’이 호평을 받고 있다. 스마트폰 자체의 완성도와 함께 이런저런 기능을 언급하고 있는데, 그중 ‘홍채인식’이 가장 스포트라이트를 받고 있다.

홍채인식은 생체인증의 한 종류로, 간단하게 말하자면 우리 몸의 특정 부분을 비밀번호로 쓴다는 거다. 대표적인 생체인증으로는 지문이 있고, 지문 이외에도 개인마다 다른 부분들(홍채 모양, 정맥모양 등)은 어디라도 생체인증의 대상이 될 수 있다.

생체인증, 특히 홍채인식을 사용하면 뭔가 엄청나게 보안이 강해질 것처럼 느껴진다. 영화, 드라마, 만화 어디든 보안이 아주 강조된 특별한 연구소든 격납고 같은 곳을 들어갈 때 흔히 홍채인증하는 장면이 나오기 때문에 그렇다.

홍채를 인식하는 로봇

(영화 <마이너리티 리포트> 중)

연구소나 격납고 같은 데서 홍채인식을 사용하는 걸 보면 확실히 보안에 강할 것 같다. 그러면 똑같이 홍채인식을 사용하는 노트7도 보안이 엄청나게 강할까?

홍채인식의 방식은 이렇다. 사용자가 스마트폰의 카메라를 쳐다보고 있으면 스마트폰이 홍채부분의 이미지를 인식하고 데이터화해 저장한다. 그리고 로그인 할 때 사용자가 얼굴을 대면, 홍채 부분을 인식해서 데이터화 한 다음, 저장된 데이터와 비교해서 일치하면 잠금을 풀어준다.

뭔가 좀 허무하다고? 생체인증과 기존의 비밀번호 혹은 패턴방식의 비밀번호의 방식은 기본적으로 동일하다. 특정 정보를 저장해놓고 다시 입력된 정보와 비교해서 일치하면 승인된다는 식이니까.

그럼 홍채인식을 사용하면 보안이 강화되는 걸까? 일정 부분은 그렇지만 그렇지 않은 부분도 있다. 홍채를 통해 만들어진 비밀번호는 우리가 일반적으로 사용하는 비밀번호와 비교도 되지 않을 정도로 긴 무작위 데이터를 만들어 준다. 따라서 나올 수 있는 경우의 수를 대입하는 기초적인 해킹 시도에는 당연히 강하다.

하지만 요즘 일어나는 보안 사고들을 보면, 개인의 비밀번호를 이런 식으로 해킹하지 않는다. 너무 귀찮기도 하고, 반복되는 비밀번호 입력을 해킹 시도로 간주해 횟수에 제한을 두거나 심한 경우 계정을 정지시켜 버리기 때문이다.

대부분의 해킹은 이른바 ‘서버가 털리는’ 형식으로 이루어진다. 해커가 사용자의 데이터를 훔쳐가기도 하고 관리자가 빼서 팔아먹기도 하는 등 사용자 데이터를 통째로 넘겨버린다. 이 경우엔 생체인증을 통해 생성된 인증정보나 일반적인 비밀번호나 오십보백보다. 컴퓨터는 아무리 긴 데이터도 손쉽게 Ctrl+C, Ctrl+V 할 수 있기 때문이다.

서버가 통째로 털린다면 생체인증이 아니라 생체인증 할애비가 와도 별 무소용이란 말씀. 게다가 일반적인 비밀번호는 털리고 바꾸기라도 하면 되지만 생체인증을 통해 만들어진 데이터는 바꿀 수도 없다(홍채 모양이나 지문을 바꿀 수는 없으니). 생체인증을 위한 데이터를 만드는 주체, 노트7을 만든 삼성이 홍채를 인식해서 데이터화하는 과정을 변경하면 되겠지만, 적지 않은 시간이 필요하다(개발자들이 밤샘하고 테스트 하고 배포하고…).

결국 생체인증을 사용했을 때 보안이 강화되려면 ‘생체인식 데이터가 절대 털리지 않는다’는 가정이 있어야 하는데, 노트7은 털리지 않을까?

기본적으로 아이폰의 운영체제인 IOS는 프로그램 간 데이터가 샌드박스라는 형태로 엄격하게 분리되어 있기 때문에 서로의 데이터에 접근하기가 어렵다. 그래서 ‘휴대폰 인증’을 할 때 번호를 자동으로 인식해서 알아서 입력해주는 안드로이드와 달리, 사용자가 직접 눈으로 보고 숫자를 입력해야 하는 거다.

하지만 안드로이드는 다르다. 프로그램 간 데이터 공유가 쉽다. 다시 말해 악의를 가지고 만들어진 앱을 통해 홍채 데이터에 접근할 가능성이 있다는 뜻이다. 특정 바이러스나 앱을 통해 사용자의 생체인증 데이터가 유출되면? 이 생체인증 정보를 금융관련 인증에 쓰고 있다면?

생체인증이 스마트폰에서 활성화된 것은 홈버튼으로 지문을 스캔하는 방식을 도입한 아이폰 때문이다. 이전에도 지문인증 방식이 스마트폰에 도입되지 않은 것은 아니지만, 이전의 것들은 아이폰에 비해서 너무 느리고 인식률도 떨어졌다.

사용자 관점에서 보더라도 스마트폰을 들고 비밀번호 입력을 위해 여러 차례 화면을 터치해야 하는 것보다 홈버튼을 누르는 동작만으로 인증이 완료되는 게 훨씬 편하다. 거기다 비밀번호를 잊어버리거나 헷갈릴 염려도 없다. 단순히 보안의 강화뿐만 아니라 사용 자체가 편리해진다.

그럼 홍채인식은 어떨까? 우선 카메라를 쳐다봐야 한다. 카메라를 통해 얼굴을 스캔해야 인증이 완료되기 때문에 여러 가지 변수들이 있다. 눈동자가 머리카락이나 모자 등에 가려질 수도 있고 주변이 지나치게 어두울 수 있다. 급하게 걸어가다가도 인증을 위해서 스마트폰을 한번 응시해야 한다.

홍채인식은 보기엔 멋지지만 효용성 면에선 글쎄…. 스마트폰을 똑바로 쳐다본 후 깜짝 놀랄 자신의 얼굴을 보고 나야 인증이 완료되는 게 편할까 아니면 스마트폰을 든 순간 인증이 완료되어 있는 것이 편할까. 생각해보면 금방 알 수 있는 일이다.

우리나라는 아직 설익은 IT 기술을 너무 성급하게 도입하는 경향이 있다. 좋게 말하면 도전정신이지만, 나쁘게 말하면 기술들을 억지스럽게 사용해 부작용을 초래하기도 한다. 아직도 많은 기업에서 골머리를 썩고 있는 액티브 X나 모든 국민들의 공공의 적 공인인증서 같은 게 대표적인 예다.

한번 유출되면 돌이키기 어려운 정보인 생체인증 정보에 대해 좀 더 신중한 접근이 필요한 이유다.

초하류

편집: 딴지일보 챙타쿠