생체 인증 – Samsung Newsroom Korea

홍채 인식, 모바일 보안의 새 지평 열다

jinsoo2.park — Tue, 23 Aug 2016 12:05:05 +0000

기술적으로 연결된 현대 사회에서 보안은 가장 큰 이슈 중 하나입니다. 사람들은 모바일 기기로 물건 값을 계산하고 돈을 주고받습니다. 심지어 건강 정보까지 공유합니다. 그러면서도 대부분의 사용자는 기기 보안에 대해 오래 고민하기 싫어합니다. 그보다 자신이 사용하는 모든 기술에 보안이 완벽하게 통합돼 있길 기대합니다.

그래서 세계적인 모바일 기기 제조사들은 2중 생체 인증(two-factor biometric authentication) 등의 보안 기능을 제품에 통합하며 모바일 보안을 강화하기 시작했습니다. 삼성전자 역시 이런 첨단 모바일 솔루션을 제공하는 업체 중 하나입니다. 삼성전자의 신규 기기들은 최적의 보안을 제공하기 위해 지문 또는 홍채 인식 기술을 적용하고 있습니다. 이 같은 인증 기술 환경에선 사용자 자신이 곧 비밀번호가 됩니다. 생체 인증 요소는 개인∙금융 등 필수적 사용자 정보를 보호하기 위해 설계된 보안 체계(security chain) 완성에 매우 큰 도움이 됩니다.

‘더 강력한 보안’에 대한 수요의 등장

비밀번호는 여전히 개인정보 보호의 가장 보편적인 형태입니다. 하지만 사용자 자신이 조심하지 않을 경우, 얼마든지 악용될 수 있습니다. 실제로 같은 비밀번호를 재사용하거나 보안성 약한 비밀번호를 사용하는 사람이 적지 않습니다. 주변 사람과 비밀번호를 공유하는 경우, 이메일이나 전화로 비밀번호를 알려주는 경우도 종종 있습니다. 이런 현상은 보안에 치명적 위험 요인이 됩니다.

비밀번호는 다른 방식으로도 위협 받을 수 있습니다. 보이스피싱 전화나 이메일이 대표적 형태입니다. 원격으로 비밀번호를 공략하는 일은 해커에게 그리 어렵지 않습니다. 따라서 그들은 이 방식을 비교적 간단한 해킹에 활용합니다. 예전에 다른 글에서도 밝힌 적이 있지만 하드웨어에 기반한 다중 인증(multifactor authentication)과 생체 보안에 기반한 새로운 모바일 보안 패러다임이 필요한 건 바로 이 때문입니다.

생체 인식 기술로 한층 확장될 사용성

모바일 업계에선 지난 2011년부터 선도적 기기 제조사들이 지문 인식 기술을 상용화하며 생체 인식 기술이 적용돼왔습니다. 이후 생체 인식 기술은 사용자 경험과 일상생활을 변모시켰습니다. 도입 초기 지문 인식은 기기 잠금 해제에 한해 사용됐지만 현재는 모바일 플랫폼과 서비스에 완벽하게 통합되고 있습니다. 모바일 결제 서비스 ‘삼성 페이’가 좋은 사례입니다.

생체 인식 기술은 그 자체로도 중요하지만 지속적으로 활용되려면 기능성과 사용자 편익도 등한시할 수 없습니다. 홍채 인식은 생체 인식 기술에서도 꾸준히 관심을 끌어온 분야입니다. 눈을 이용해 문을 열거나 기기에 접근하는 모습은 불과 몇 년 전까지만 해도 영화에서나 볼 수 있는 광경이었습니다. 하지만 기기가 점차 소형화되며 홍채 인식은 실용적 보안 기술로 급부상했습니다. 실제로 한 조사 결과에 따르면 홍채 인식 기술은 오는 2020년까지 20% 이상 성장할 전망입니다.

사람의 홍채는 매우 복잡하기 때문에 정확하게 복제하기 어렵습니다. 홍채 인식이 ‘가장 안전한 기술’로 꼽히는 건 그 때문입니다. 정교한 홍채 인식은 266가지 독특한 특징을 인식하는 반면, 지문 인식은 40가지 특징만을 파악합니다. 지문 인식이 오늘날 가장 일반적인 생체 인증 방식이긴 하지만 홍채 인식은 그보다 한층 엄격한 기술입니다.

또한 홍채 인식은 사용자가 기기를 바라보기만 하면 작동하므로 쉽고 편리합니다. 생체 인증은 기기 보안을 향상시키는 동시에 비밀번호 없이도 잠금 해제가 가능하도록 시간을 단축시켜 사용성 향상에도 도움이 됩니다.

홍채 인식 기술, 앞으로 남은 과제는?

홍채 인식 기술이 탁월한 식별 데이터를 제공하는 건 사실이지만 여전히 몇몇 과제가 남아있습니다. 우선 홍채 인식 기술은 현행 지문 인식 기술보다 더욱 효과적일 필요가 있습니다. 사용자는 빠르면서도 아무런 지장 없이 사용할 수 있는 생체 인식을 기대합니다. 그 요건을 충족시키지 못하는 제품은 시장에서 외면 받을 가능성이 큽니다.

홍채 인식 기술은 추가 보안 차원에서 다른 생체 인식 기술과 함께 사용할 수 있어야 합니다. 사용자의 신뢰를 얻어야 하는 건 물론입니다. 생체 관련 데이터가 안전하게 저장되는 동시에 안전성 검증 부문에서도 문제가 없어야 합니다.

홍채 인식 기술이 다른 형태의 생체 인식 기술과 마찬가지로 잠금 해제 이상의 사용성을 갖추려면 애플리케이션(이하 ‘앱’) 개발자나 운영체제(OS)를 필요로 합니다. 삼성전자 같은 스마트폰 선도 업체는 홍채 등 새로운 생체 인식 기술의 사용성을 향상시킬 수 있는 위치에 있습니다. 사용자가 잠금 해제 이외의 용도로 생체 데이터를 활용하게 해줄 수 있는 기반을 갖고 있기도 합니다.

노트7은 ‘모바일 보안’ 상식 바꿀 제품

이 글을 쓰기에 앞서 갤럭시 노트7의 홍채 인식 기능을 사용해봤습니다. 우선 지문 인식 못지않게 빠른 반응 속도와 편의성이 인상적이었습니다. 일반적 기기 사용에 지장을 주지 않으면서 안심할 수 있는 수준의 보안을 제공하는 점에도 높은 점수를 줄 만했습니다. 실제로 갤럭시 노트7 사용자는 자신이 저장한 데이터나 내려받은 앱의 민감성에 따라 다양한 수준의 보안을 적용할 수 있습니다. 홍채 또는 지문 인식 기능을 활용, 웹사이트에 로그인할 수도 있습니다. 삼성전자의 기업용 모바일 보안 플랫폼 녹스 워크스페이스(Knox Workspace)에서도 비밀번호나 PIN, 패턴을 홍채 인식과 함께 사용할 수 있습니다. 말하자면 ‘다중 인증’ 방식입니다.

갤럭시 노트7의 홍채 인식 기능은 타인을 사용자로 잘못 인식하는 오인률(false acceptance rates)이 낮습니다. 뿐만 아니라 위장 사이트를 통해 이뤄지는 해킹, 일명 ‘스푸핑(spoofing)’을 어렵게 해 이전 세대 기술보다 한층 안전합니다.

삼성전자는 녹스와 결합된 갤럭시 노트7을 통해 이제까지 알려져온 ‘모바일 보안’의 개념을 완전히 바꿀 수 있습니다. 보안의 지평을 바꾸고 보다 안전한 차세대 모바일 기기 도입을 촉진할 잠재력을 지니고 있는 겁니다. 아울러 삼성전자는 모바일 보안의 새로운 표준으로서 향후 홍채 인식 기술 다변화에도 영향을 주리라 예상됩니다.

※이 기고문은 패트릭 무어헤드(Patrick Moorhead) 무어인사이트앤스트래티지(Moor Insights & Strategy) 수석 애널리스트 [1]에 의해 작성됐습니다

[1] 패트릭 무어헤드는 시장분석업체 무어인사이트앤드스트래티지의 대표이자 수석 애널리스트입니다. 소프트웨어와 사물인터넷(IoT) 등을 포함, 폭넓은 주제를 다루는 산업 분야 분석가로 높은 평가를 받고 있습니다. 클라이언트 컴퓨팅과 반도체 분야에 조예가 깊은 전문가이기도 합니다. 그는 20여 년간 쌓아온 경험을 바탕으로 △핵심 전략 △제품 관리와 마케팅 △기업 마케팅 등 다양한 분야에서 두각을 나타내고 있습니다. 무어헤드에 대해 좀 더 자세히 알고 싶으시면 여기를 눌러 확인해보세요

비밀번호 스트레스에서 자유롭게, 삼성 패스 이야기

삼성전자 뉴스룸 — Thu, 18 Aug 2016 11:50:44 +0000

갤럭시 노트7은 생체 인식 기능을 통해 보안과 편의성을 더욱 강화했습니다. 이전 제품에 있던 지문 인식 기능에 홍채 인식 기능이 추가됐고, 여기에 삼성전자 모바일 보안 플랫폼 녹스(Knox)까지 결합돼 사용자가 스마트폰을 보다 안전하게 쓸 수 있도록 돕죠. ‘삼성 패스(Samsung Pass)’는 생체 인식을 활용, 갤럭시 노트7 사용을 더욱 편리하게 해주는 기능입니다. 사용자 고유의 생체 정보를 인식, 보다 쉽고 안전한 본인 인증 방식을 제공하기 때문입니다.

ID도, 비밀번호도 필요 없다… ‘나’ 자체로 인증 끝

요즘은 누구나 스마트폰으로 다양한 웹사이트에 접속합니다. 포털∙메일∙쇼핑 등 거의 모든 웹사이트가 회원 가입 절차를 요구하고 있죠. 중복될 가능성이 높아 모든 아이디(ID)를 동일하게 맞추기도 쉽지 않습니다. 보안이 중시되며 비밀번호 규정은 날로 까다로워지는 추세입니다. 몇 자리 이상으로, 문자와 숫자도 모자라 특수문자까지 포함시켜 비밀번호를 만들어야 하는 경우가 비일비재합니다. 기껏 만들어놓으면 일정 기간 후 “비밀번호 변경 주기가 됐다”는 통보를 받기 일쑤죠. 이 모든 요건을 충족시키려다보니 툭하면 ID와 비밀번호가 헷갈립니다.

삼성 패스는 ‘간편 웹 로그인’을 가능하게 해줍니다. 웹사이트에서 ID와 비밀번호를 일일이 입력하지 않아도 홍채∙지문 인식 한 번으로 본인 인증을 완료할 수 있으니까요. ‘자동 로그인’ 기능도 편리하긴 하지만 로그인 정보가 계속 저장되는 건 왠지 찜찜하게 느껴집니다. 갤럭시 노트7에서 삼성 패스를 설정하면 웹사이트 최초 접속 시 ID와 패스워드를 한 번만 입력해주면 됩니다. 이때 ‘삼성 패스로 생체 인식 사용하여 로그인’ 항목을 선택할 수 있습니다. 이후 동일 사이트에 다시 접속하면 생체 인식만으로 로그인이 완료됩니다. 삼성 패스는 갤럭시 노트7의 ‘설정’ 내 ‘잠금화면 및 보안’ 메뉴에서 간단히 설정할 수 있습니다.

간편 웹 로그인은 갤럭시 스마트폰에 기본적으로 탑재된 자체 브라우저 ‘삼성 인터넷’에서 이용할 수 있습니다. 기존 4.0 버전에선 지문 로그인 기능을 사용할 수 있었는데요. 갤럭시 노트7에 탑재된 4.2 버전은 여기에 홍채 로그인 기능까지 추가로 지원합니다. 사용자의 ID와 비밀번호는 암호화 과정을 거쳐 안전하게 저장됩니다. 특히 비밀번호는 특수키로 추가 암호 처리돼 보안성이 높아졌습니다.

더 편리하고 안전하게… 모바일 뱅킹, 신기원 열다

삼성 패스는 웹 로그인뿐 아니라 향후 다양한 애플리케이션(이하 ‘앱’)에서 사용자 인증 수단으로 활용될 전망입니다. 별도 터치 없이 스마트폰을 잠시 응시하는 동작만으로 각종 앱에 접속할 수 있게 되면 스마트폰 이용은 더욱 안전하고 편리해질 겁니다.

모바일 뱅킹은 삼성 패스 활용으로 가장 편리해질 분야 중 하나입니다. 실제로 국내 금융 업계에서 ‘간편하면서도 안전한 전자 금융’에 대한 관심은 날로 높아지는 추세입니다. 공인인증서에 이어 최근 보안카드와 1회용 비밀번호 생성기(OTP) 의무 사용까지 폐지됐기 때문입니다. 삼성 패스는 이전까지의 보안 수단을 홍채 인증으로 대체하며 모바일 뱅킹의 사용성을 한층 강화했습니다. 갤럭시 노트7 국내 출시일(19일) 이후 사용자들은 우리은행∙KEB하나은행∙신한은행 모바일 뱅킹에서 삼성 패스를 활용할 수 있게 됩니다. 우리은행과 KEB하나은행에선 로그인과 계좌이체가 가능해지고 신한은행은 간편 로그인 서비스부터 제공할 예정입니다. 삼성전자는 이 밖에도 신용카드사(신한카드∙하나카드∙KB국민카드 등)나 증권사(키움증권 등)와 손잡고 보다 다양한 금융 서비스에서의 삼성 패스 활용 방안을 모색하고 있습니다. 뱅크오브아메리카∙시티은행∙US뱅크 등 미국 주요 은행을 비롯, 글로벌 은행들과의 협력도 진행 중입니다.

삼성 패스에서의 생체 인증은 일명 ‘FIDO(Fast Identity Online)’ 방식으로 이뤄집니다. 홍채∙지문 등 갤럭시 노트7에 등록된 사용자 생체 정보는 디지털 정보로 변환된 후 암호화 과정을 거쳐 기기 내 별도 보안 영역인 ‘트러스트존(TrustZone)’에 저장됩니다. 이 과정에서 FIDO 인증 방식에 따라 개인키와 공개키가 각각 생성되는데요. FIDO 서버는 개인키를 알 수 없고 공개키만 활용하기 때문에 사용자가 등록한 생체 정보는 스마트폰 외부로 유출되지 않습니다. 생체 인식으로 본인 여부를 검증하는 절차는 사용자의 스마트폰에서 이뤄집니다. FIDO 서버가 공개키를 활용, 스마트폰이 전달한 검증 결과를 최종 인증하는 거죠.

삼성 패스의 적용 범위는 무궁무진합니다. 삼성 패스 지원 앱이 전면적으로 확대되면 향후 게임∙소셜∙쇼핑∙여행 등 다양한 서비스 분야에서 삼성 패스가 ID와 비밀번호를 대체할 겁니다. PC에서의 로그인이나 사물인터넷(IoT) 기기 작동에까지 활용할 수 있다면 금상첨화겠죠? 호텔 도어록이나 자동차 키 등에 적용된다면 삼성 패스가 실제 열쇠 역할을 대체할 수도 있습니다. 갤럭시 노트7 사용자라면 일단 간편 웹 로그인과 모바일 뱅킹부터 경험해보세요. ‘비밀번호 없는 세상’을 열고 있는 삼성 패스의 진가를 확인하실 수 있을 겁니다.