생체인증 시스템 도입시 고려사항 3가지
[보안뉴스= 김용환 안보기술연구원 C4I연구본부장] 공인인증서는 전자상거래 시 본인의 신원과 문서의 위·변조, 거래사실 부인 방지 등을 위해 사용하는 전자정보로 1999년 전자서명법이 제정되면서 독점적 지위가 부여돼 왔다. 하지만 몇 년 전부터 공인인증서의 불편함이 부각되었고 결국, 정부가 올해 1월 22일, 공인인증서 제도 폐지 등의 내용을 포함한 규제혁신 방안을 발표했다. 그리고 블록체인이나 생체인증 등의 다양한 전자 인증 수단 확산과 핀테크 등 혁신적 비즈니스의 활성화, 액티브X 없이도 편리하게 인터넷을 사용할 수 있는 환경 조성을 기대하고 있다.
[이미지=iclickart]
하지만 블록체인은 ‘사람’이 아니라 ‘그 사람’의 지불 능력을 증명하는 기술에 더 가깝다. 추후에는 블록체인과 생체인증이 융합해 더 큰 시너지 효과를 내겠지만 현 시점에서는 생체인증이 더욱 주목 받을 수밖에 없다.
생체인증은 출입통제 시장을 비롯해 은행, 지불 결제, 병원에서의 환자 확인, 시스템 상의 본인 인증 등 다양한 분야의 보안 관련 핵심 기술이 되었다. 이미 여러 분야에서 본인 인증과 확인용으로 사용되면서 외부 공격에 대한 대비 및 다양한 보안 환경에 맞춰 운영할 수 있도록 준비돼 당장 공인인증서를 대처해 사용해도 무리가 없을 것으로 예측된다. 하지만 실제 공공기관이나 금융권 등에서 적용하기 전에 반드시 주의해야 할 사항들이 있다.
첫째, 편리함과 안전함에 대해 고민을 해야 한다. 정책을 세우다 보면 항상 부딪히는 두 가지 명제가 보안 등급과 사용자의 편의성이다. 사용자는 공인인증서와는 다른 약간의 불편함을 감안해야 하고 서비스 제공기관에서는 높은 보안등급 안에서 사용자 편리성을 높여 나가야 한다.
둘째, 올바른 생체인증 기술의 확인이다. 원천 기술을 가지고 있는 업체와 원천 기술의 사용료를 내고 이용하는 업체는 문제 발생 대응 방법이나 방향 등에서 차이가 나기 때문에 해당 업체의 기술에 대해서 반드시 검증을 해야 한다. 한국인터넷진흥원(KISA)에서는 10년 전부터 생체인식 알고리즘에 대해 평가해 왔으며 국내 유수의 생체인식 업체가 평가 인증서를 받아 왔다. 또, 금융 거래를 위해 금융결제원에서 지원하는 분산생체인증센터 입주 여부와 금융결제원의 생체인증 기술 성능평가 획득 여부 등을 필수적으로 확인해야 한다.
셋째, 공공기관이나 금융기관 납품 이력을 확인해야 한다. 공공기관이나 금융기관은 1차적 검증이 끝난 기업의 제품을 사용하기 때문에 기존의 생체인증 시스템 납품 이력이 필요하다. 또한, 많은 생체 정보를 체계적으로 관리하고 서비스를 한 경험이 있는지도 중요하다.
마지막으로 국내 생체인식 알고리즘 사용인지 여부이다. 국내에서 사용하는 여러 생체인식 기술 중에는 해외 기업의 알고리즘들이 포함돼 있다. 분산 서버 방식의 경우 많은 국민의 생체정보를 저장하고 관리하게 될 것인데, 국내 알고리즘이 아닌 외국 기술을 이용해 수집한 생체정보가 많아질수록 해외에 그리고 해당 해외 기업에 종속적일 수밖에 없다. 자국민의 생체정보를 보호하지 못할 경우, 해당 국가의 기업 요구사항에 따라 국민의 세금이나 사용료가 유출되거나 자국민의 생체정보를 해외 기업이 관리하는 상황이 발생할 수 있다.
본인 인증 방법으로 가장 먼저 주목을 받고 도입하게 될 생체인증의 경우 충분한 검토를 통해 적용해야 한다.
보안에 관련된 사항이니 만큼 서비스 제공자나 사용자의 신중한 접근이 필요하다. 기존에 사용해 왔던 공인인증서뿐만 아니라 상황과 환경에 맞는 여러 인증 기술이 사용돼 편의성과 보안을 한 번에 해결할 수 있기를 기대한다.
[글_ 김용환 안보기술연구원 C4I연구본부장(kimyh6936@naver.com)]
[보안뉴스= 김용환 안보기술연구원 C4I연구본부장] 공인인증서는 전자상거래 시 본인의 신원과 문서의 위·변조, 거래사실 부인 방지 등을 위해 사용하는 전자정보로 1999년 전자서명법이 제정되면서 독점적 지위가 부여돼 왔다. 하지만 몇 년 전부터 공인인증서의 불편함이 부각되었고 결국, 정부가 올해 1월 22일, 공인인증서 제도 폐지 등의 내용을 포함한 규제혁신 방안을 발표했다. 그리고 블록체인이나 생체인증 등의 다양한 전자 인증 수단 확산과 핀테크 등 혁신적 비즈니스의 활성화, 액티브X 없이도 편리하게 인터넷을 사용할 수 있는 환경 조성을 기대하고 있다.
[이미지=iclickart]
하지만 블록체인은 ‘사람’이 아니라 ‘그 사람’의 지불 능력을 증명하는 기술에 더 가깝다. 추후에는 블록체인과 생체인증이 융합해 더 큰 시너지 효과를 내겠지만 현 시점에서는 생체인증이 더욱 주목 받을 수밖에 없다.
생체인증은 출입통제 시장을 비롯해 은행, 지불 결제, 병원에서의 환자 확인, 시스템 상의 본인 인증 등 다양한 분야의 보안 관련 핵심 기술이 되었다. 이미 여러 분야에서 본인 인증과 확인용으로 사용되면서 외부 공격에 대한 대비 및 다양한 보안 환경에 맞춰 운영할 수 있도록 준비돼 당장 공인인증서를 대처해 사용해도 무리가 없을 것으로 예측된다. 하지만 실제 공공기관이나 금융권 등에서 적용하기 전에 반드시 주의해야 할 사항들이 있다.
첫째, 편리함과 안전함에 대해 고민을 해야 한다. 정책을 세우다 보면 항상 부딪히는 두 가지 명제가 보안 등급과 사용자의 편의성이다. 사용자는 공인인증서와는 다른 약간의 불편함을 감안해야 하고 서비스 제공기관에서는 높은 보안등급 안에서 사용자 편리성을 높여 나가야 한다.
둘째, 올바른 생체인증 기술의 확인이다. 원천 기술을 가지고 있는 업체와 원천 기술의 사용료를 내고 이용하는 업체는 문제 발생 대응 방법이나 방향 등에서 차이가 나기 때문에 해당 업체의 기술에 대해서 반드시 검증을 해야 한다. 한국인터넷진흥원(KISA)에서는 10년 전부터 생체인식 알고리즘에 대해 평가해 왔으며 국내 유수의 생체인식 업체가 평가 인증서를 받아 왔다. 또, 금융 거래를 위해 금융결제원에서 지원하는 분산생체인증센터 입주 여부와 금융결제원의 생체인증 기술 성능평가 획득 여부 등을 필수적으로 확인해야 한다.
셋째, 공공기관이나 금융기관 납품 이력을 확인해야 한다. 공공기관이나 금융기관은 1차적 검증이 끝난 기업의 제품을 사용하기 때문에 기존의 생체인증 시스템 납품 이력이 필요하다. 또한, 많은 생체 정보를 체계적으로 관리하고 서비스를 한 경험이 있는지도 중요하다.
마지막으로 국내 생체인식 알고리즘 사용인지 여부이다. 국내에서 사용하는 여러 생체인식 기술 중에는 해외 기업의 알고리즘들이 포함돼 있다. 분산 서버 방식의 경우 많은 국민의 생체정보를 저장하고 관리하게 될 것인데, 국내 알고리즘이 아닌 외국 기술을 이용해 수집한 생체정보가 많아질수록 해외에 그리고 해당 해외 기업에 종속적일 수밖에 없다. 자국민의 생체정보를 보호하지 못할 경우, 해당 국가의 기업 요구사항에 따라 국민의 세금이나 사용료가 유출되거나 자국민의 생체정보를 해외 기업이 관리하는 상황이 발생할 수 있다.
본인 인증 방법으로 가장 먼저 주목을 받고 도입하게 될 생체인증의 경우 충분한 검토를 통해 적용해야 한다.
보안에 관련된 사항이니 만큼 서비스 제공자나 사용자의 신중한 접근이 필요하다. 기존에 사용해 왔던 공인인증서뿐만 아니라 상황과 환경에 맞는 여러 인증 기술이 사용돼 편의성과 보안을 한 번에 해결할 수 있기를 기대한다.
[글_ 김용환 안보기술연구원 C4I연구본부장(kimyh6936@naver.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
