지문인식 보안기술의 잠재적 위험

작년 9월 애플이 출시한 아이폰 5s에는 ‘터치 ID’라는 지문인식 보안센서가 채용돼 있다. 사용자는 센서에 손가락을 갖다대는 것만으로 휴대폰의 잠금을 해제하고 앱스토어, 아이튠스, 뉴스스탠드를 결제할 수 있다. 편의성에 대해 생체인식 보안기술의 보편화라는 측면에서도 멋진 기능임에 틀림없다. 또한 애플은 지문 정보의 보안에도 자신감을 표명한다. 사용자의 지문은 아이폰 프로세서의 격리구역에 저장되고, 아이클라우드와도 연동되지 않으며, 제3자의 활용이 철저히 차단된다는 것.

생체인식은 좋은 기술이다. 지문은 현존하는 가장 확실한 신원 인식 수단의 하나이기 때문이다. 애플에 따르면 사용자의 지문이 어쩌다가 터치 ID를 만진 다른 사람의 지문과 일치할 확률은 5만 분의 1에 불과하다고 한다. 이러한 지문의 차별성 덕분에 지문인식은 많은 보안시스템에 채용돼 있으며, 머지않아 전자결제에도 쓰일 전망이다. 올해 초 미국 사우스다코타주 소재 한 학교의 학생 50명은 지문을 사용해 교내 상점에서 물건을 구입하는 시범프로그램을 위해 자신의 지문을 제출했다. 프랑스의 어느 슈퍼마켓은 비밀번호 대신 지문과 맥박으로 고객의 신원을 인식하는 프로그램에 참여하고 있다.

문제는 현재의 결제시스템이 우리의 기대만큼 안전하지 않다는 데 있다. 신용카드를 사용할 때를 떠올려보자. 결제 한 번 하려면 여러번의 인증이 필요하다. 그런데 각 인증과정은 해킹 공격에 취약하다. 실제로 2012년 미국의 전자결제 솔루션 기업인 글로벌 페이먼츠의 보안이 뚫리면서 4개 신용카드사에서 150만개의 카드번호 정보가 유출돼 9,400만 달러의 잠재적 손실이 발생했다. 우리나라만 해도 얼마 전 3개 카드사에서 사실상 경제활동인구 전체의 개인정보가 빠져나가는 초유의 사태가 일어났다. 모두 회수됐다고는 하지만 국민적 분노와 불안감은 사그라지지 않고 있는 상태다.

생체인식 결제시스템의 도입은 이렇듯 개인정보 유출 전력이 있는 기업에게 지문정보까지 넘겨준다는 것을 의미한다. 혹시 지문 복제가 불가능하다면야 괜찮을지도 모르지만 그건 그리 어렵지 않다. 디지털 지문을 레이저 프린터로 출력하면 그만이다. 독일의 한 해커그룹도 그와 비슷한 방법으로 아이폰 5s가 출시된 지 2주일도 되지 않아 터치 ID를 속이는데 성공했다.

우리는 편의를 위해 개인정보를 내어주는 것에 익숙하다. 매일 무수한 사람들이 서비스를 이용하고자 다양한 웹사이트와 소셜미디어에 개인정보를 준다. 신용카드사들은 현금 대신 카드를 사용하는 편리함을 제공하는 대가로 온갖 개인정보를 요구한다. 적어도 지금까지는 이러한 거래는 우리 입맛대로 풀려왔다.

종종 문제가 생겨도 회피할 방법이 있었다. 웹사이트를 탈퇴하거나, 비밀번호를 바꾸거나, 신용카드를 새로 발급받는 것처럼 말이다. 그러나 지문은 변경할 수도, 업데이트 할 수도 없다. 이 점에서 지문의 최대 장점인 유일성은 최악의 약점이기도 하다. 지문정보가 뚫리면 돌이킬 방법은 없다.



우리는 편의를 위해 개인정보를 내어주는데 익숙하다. 적어도 지금까지 이러한 거래는 우리 입맛대로 풀려왔다. 하지만 지문은 다르다.




<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>