생체인식: 안전한 최신 인증 방식
스타 트렉에서부터 터미네이터에 이르기까지 할리우드를 대표하는 공상과학 영화들을 보면 사람의 신원을 확인하기 위해 안면 인식, 망막 스캔, DNA 매칭, 뇌 스캔 등의 생체인식 정보를 사용하는 장면들이 나옵니다. 이렇게 미래에나 있을 법했던 기술들이 오늘날 현실이 되어 첫 번째 생체인식 인증요소가 비밀번호를 대신해 해킹을 방지할 수 있는 핵심 대안으로 보안 환경에 적용되면서 비즈니스 세상은 흥분을 감추지 못했습니다.
하지만 AI 생성 지문이 등장하고 지능적인 안면 인식 시스템에서조차 취약점이 존재한다는 사실로 인해 생체인식은 불가침 영역이 아니라는 말이 나오면서 이러한 흥분과 관심도 급격이 줄어들었습니다. 기업의 90%가 2020년에 생체인식을 사용할 계획이었지만 Spiceworks 리서치 결과, 생체인식이 단독 인증요소로 사용할만큼 충분히 안전하다고 생각하는 전문가는 10%에 불과한 것으로 나타났습니다.
진실을 얘기하자면 해킹이 불가능한 아이덴티티 시스템이나 증명은 없습니다. 그렇기 때문에 강력한 아이덴티티 관리 솔루션에 다수의 보안 인증요소를 추가하여 각 요소의 균형을 유지하면서 취약점을 메울 수 있어야 하는 것입니다. 또한 구현할 인증요소를 고려할 때 생체인식이 오늘날 기업에게 가장 안전한 아이덴티티 인증 방법인 것도 사실입니다.
생체인식이 안전한 이유
인증을 안전하게 보호하려면 사용자가 한 치의 의심도 없이 자신의 신원을 입증해야 합니다. 음성, 지문, 망막, 정맥은 본질적으로 고유하다는 점에서 생체인식이야 말로 궁극적인 신원 입증 방법이라고 할 수 있습니다.
생체인식이 대중 문화에 확산되고 소비자들이 기꺼이 받아들일 수 있게 된 것은 매우 간편한 사용자 경험 때문입니다. 지문이나 얼굴로 자신의 아이덴티티를 입증하면 PIN을 입력하거나 비밀번호를 기억하여 정확하게 입력하는 것보다 더 빠르고 쉽기 때문입니다. 지문이나 얼굴 스캔은 일상적인 소비자 디바이스에 널리 사용되는데, 디바이스의 잠금을 풀거나 소액 구매를 인증해야 할 때 특히 그렇습니다. 원활한 상호작용을 원하는 소비자들에게 생체인식은 오늘날 문제가 가장 적은 보안 인증요소인 셈입니다.
생체인식 기술은 이렇게 원활한 경험 덕분에 기업에게 더욱 안전한 것입니다. 생체인식으로 보안 환경이 취약해지는 일은 없기 때문입니다. 오히려 비밀번호를 기록하거나 재사용할 일이 없어서 복잡한 로그인 경험을 회피할 수 있습니다. 오늘날 데이터 유출 위험이 그 어느 때보다 커지면서 IT 부서가 위험을 제어하거나 완화하는 데 어려움을 겪게 된 이유도 로그인 경험이 복잡했기 때문입니다. 생체인식 경험에서는 효율적인 보안 관리가 무엇보다 중요합니다.
생체인식이 적용된 MFA 모범 사례 구현
생체인식이 흥미롭고 안전하게 들릴지 모르지만 이를 신뢰할 수 있는 단일 소스로 사용해서는 안 됩니다. 그 이유는 생체인식 정보가 대체로 공개되기 때문입니다. 사람들은 어디를 가든 지문을 남기게 되고, CCTV에 얼굴이 노출되는 일이 많으며, 생체인식 시스템도 해킹이 가능한 것으로 알려져 있습니다.
해커들은 이러한 정보에 액세스하여 생체인식 특징을 복제하거나 위조할 수 있습니다. 하지만 특정 표적에게 접근해야 하기 때문에 어려울 뿐만 아니라 필요한 비용과 시간도 만만치 않아서 특정 목적을 가진 교묘한 공격자들만 감행할 가능성이 높습니다. 이에 반해 직원의 비밀번호를 노리는 대규모 공격은 훨씬 빠르고 쉽기 때문에 악의적인 행위자가 감행하여 성공할 가능성이 높습니다.
따라서 "가장 안전한 인증 방법은 무엇인가?"라는 질문에 답한다면 과거에도 그랬고, 지금도 그렇지만 "다중 인증 요소"라고 말할 수 있습니다. 생체인식과 다중 요소 인증을 함께 사용하면 기업 시스템을 가장 안전하게 보호할 수 있.
생체인식은 할리우드 감독들의 몽상에서 시작되었지만 혁신적인 인증요소와 간단한 기존 인증요소를 결합한다면 현대의 기업을 가장 효과적으로 보호할 수 있는 방법이 될 것입니다. 예를 들어 사용자에게 PIN 코드 입력과 함께 지문 입증 정보를 제출하도록 요구하면 사용자 신원에 대한 신뢰성이 크게 높아질 수 있습니다. 여기에 사용자 위치나 IP 주소를 통해 다른 컨텍스트까지 추가한다면 보안 수준을 더욱 강화하여 기업에게 안심할 수 있는 환경을 제공할 수 있습니다.