공인인증서에 지문을 사용해도 되는 걸까

0
241

한국은 수십 년 전 개발한 보안 시스템을 아직까지 이용하면서 결제 과정에 공인인증서 같은 비표준 구형 기술이나, 카드 결제에 ‘액티브 X, EXE 프로그램들을 사용하고 있습니다. 수십 년 전 기술의 한계로 인해 만들어졌던 보안 기술들이 아직까지 사용되고 있는 겁니다. 훨씬 강력한 표준 기술이 널려있는 지금 시대에 말입니다.

하지만 얼마 전부터 마이크로소프트, 구글이 위험한 구형 기술들을 차단하자 정부는 울며 겨자 먹기로 시스템을 바꾸어 나가기 시작하였습니다. 우선 엑티브X가 퇴출되고, exe 형태의 보안 프로그램들이 들어왔습니다. 하지만 마찬가지로 이 방식도 전면 차단되면서 최신 브라우저들은 현 결제 시스템을 사용하지 못하고 있습니다.

그리고 박근혜 정부가 공인인증서의 번거로운 방식을 개선하라는 명령에 의해 KISA(한국인터넷진흥원)은 새로운 방법을 마련했습니다. 바로 ‘지문인식 공인인증’입니다.

 

공인인증

지문인식 공인인증서?

기존 공인인증서를 사용하기 위해서는 전용 exe 프로그램이나 액티브 X를 이용한 프로그램을 설치해야 하고 문자+숫자+특수문자가 섞인 10자리 이상 비밀번호도 있어야 했습니다. 하지만 KISA가 새로 도입하는 지문인식 공인인증서는 지문인식 센서가 있는 스마트폰과 공인인증서를 연동하여 공인인증서 비밀번호 대신 지문을 인식킵니다.

공인인증서를 사용할 때 비밀번호 대신 스마트폰의 지문인식 기능을 활용하여 비밀번호 입력을 대체하는 것으로 공인인증 과정을 매우 간단히 만들수 있게 됩니다. 간단히 공인인증서를 이용할 수 있다는 것은 장점이지만 여러 가지 문제가 존재합니다. 바로 보안입니다. 공인인증서는 본인의 인증을 위해 사용하는 건데 과연 스마트폰에 있는 지문인식 기능을 신뢰할수 있을까요?

게다가 현재 지문인식이 장착된 스마트폰은 소수의 플래그쉽 모델이나 삼성의 일부 보급기 만입니다. 무엇보다 KISA가 스마트폰의 지문인식 시스템을 이용하고자 하면 구글 API와 애플 API를 이용하여 앱을 만들어야 하는데 이 API를 통해 지문인식이 가능한 스마트폰은 넥서스5X와 넥서스6P 그리고 아이폰5S 이상의 아이폰이 전부입니다. 만약 삼성 지문인식 API까지 추가 지원한다면 삼성 지문인식 기능까지 활용이 가능하긴 합니다.

구글은 안드로이드 6.0 마시멜로부터 지문인식을 지원하기 시작했고 ‘앱’이 지문인식 센서를 이용하고자 하면 구글 지문인식 API를 이용해 앱을 개발해야 합니다. 현재 지문인식이 탑재된 안드로이드 6.0 스마트폰은 넥서스5X와 넥서스6P가 유일합니다.

 

스마트폰은 사람을 구별하지 못한다

현재 KISA가 정확한 원리를 공개하지는 않았지만 안드로이드/iOS를 적용한 스마트폰에서 지문인식 기능을 사용할 수 있는 방법은 한정되어 있습니다. 바로 정식 API를 이용해 개발하는 것이 전부입니다.

구글과 애플은 지문인식 API를 공개하여 각 앱이 지문인식 기능을 사용할 수 있도록 하고 있습니다. 하지만 지문인식 기능을 사용할 수 있다고 해서 ‘앱’이 지문 데이터나 지문인식 센서에 접근할 수 있는 것은 아닙니다. 오히려 해당 부분은 TEE라는 보안 시스템을 통해 시스템에서 완전히 분리되어있습니다. 지문인식 API는 지문인식 결과만을 알려주지 관련 데이터는 절대 제공하지 않습니다.

따라서 KISA가 만드는 지문인식 공인인증은 스마트폰에 저장되어 있는 지문과 현재 사용하고 있는 사람의 지문이 일치하는지 결과만을 가지고 본인인증을 진행하게 됩니다. 그런데 스마트폰에 지문을 등록하는 것은 본인이 아니어도 가능합니다. 친구의 지문을 등록하면 친구의 지문에 확인 사인을 내리고, 심지어 분실된 스마트폰에 지문을 등록하더라도 스마트폰은 그 지문인 주인의 것인지, 습득자의 지문인지 알수 없습니다.

공인인증서의 기본적인 기능은 ‘본인인증’을 위한 장치인데 단순히 ‘본인의 것이라 추측‘되는 스마트폰에 저장되어 있는 ‘지문’이 본인의 지문이라 하는 것은 정말 어처구니없는 행위입니다.

스마트폰 지문인식의 보안성

 

von_der_leyen_thumbprint_vertical
From.Chaos Communication Congress

지문은 숨겨진 데이터가 아니다

그리고 ‘지문인식’이라는 시스템 자체에도 문제가 있습니다. 지문은 숨겨진 데이터가 아니라는 점입니다. 사람이 만지는 모든 물체에는 지문이 남고, 조금 전문적인 기술만 있다면 해당 물체에서 사람의 지문을 추출해내는 것이 가능합니다.

위에 있는 사진은 독일의 국방부장관 Dr. von der Leyen 인데 단 사진한장으로 지문을 검출해냈습니다. 그전에도 사진 여러 장을 이용해 메르켈 총리의 지문을 완벽히 재현해낸 적도 있었을 만큼 지문은 훔치기 매우 쉬운 데이터에 속합니다.

게다가 지문은 유출되었다고 해서 바꾸는 것도 불가능합니다. 생체인식 보안의 장점이자 단점인데 Dr. von der Leyen는 앞으로 평생 지문인식 시스템을 신뢰할 수 없게 되었습니다.

지문인식 공인인증서는 숨길 수 없는 데이터를 이용해 본인이라는 결과를 내리고 그 결과를 이용해 금융거래 등 중요한 작업을 진행할 수 있게 방치하는 시스템입니다.

 

iphone_5s_touch_id_fingerprint_video_hero_4x3

지문은 보안을 위한 장치가 아니다

스마트폰의 지문인식은 높은 보안을 위해 장착된 기능이 아닙니다. 쉬운 보안을 가능하게 해 평균적인 보안 수준을 끌어올리기 위한 장치입니다. 지문인식은 단순한 비밀번호보단 강력하지만 무작위 패턴의 비밀번호보단 약합니다. 무슨 말이냐 하면 ‘1111’ 같은 비밀번호보단 강력하지만 ‘3849’ 같은 무작위 비밀번호보단 약하다는 것입니다.

따라서 구글이나 애플은 지문인식이 복잡한 PIN이나 패턴보다 보안이 취약할 수 있다고 안내하고 있습니다. 하지만 KISA는 고액 결제나 꼭 본인인증이 필요한 경우 사용되는 ‘공인인증서’에 이런 기술을 사용하려 하고 있습니다. 기본적으로 한국은 본인 몰래 개통되는 핸드폰의 수가 많아 그 ‘핸드폰 본인인증’이라는 시스템 자체를 의심해 보아야 하는 상황에서 핸드폰 본인인증 시스템이 결합된 훨씬 취약한 방식을 도입하려 하는 것입니다.

한국의 결제 보안 시스템은 근본적으로 잘못된 길을 가고 있습니다. 수십 년 전에 개발된 공인인증서 시스템은 현재 어느나라에서도 사용하지 않는 기술입니다. 이미 모든 브라우저들은 서버 인증서 시스템을 지원하고 있고 공인인증서 시스템은 필요 없는 기술입니다.

앞으로 한국의 보안 시스템이 어디까지 막장으로 치닫을지 기대됩니다. 크롬과 인터넷 익스플로러는 오래전 액티브X를 차단했고 외부 EXE 실행이 가능하도록 했던 NPAPI 까지 차단하였습니다. 그들의 보안 시스템을 사용하기 위해서는 보안 수준이 낮은 구형 브라우저를 사용해야 합니다.

참고로 KISA는 구매자가 결제한 후 결제한 적이 없다고 발뻄하는 ‘부인방지’ 측면에서 최고 수준의 기술이라고 설명하고 있습니다. 사용 과정에서의 불편함을 없애고 유출 사고만 줄이면 앞으로도 활용 가능한 기술이라고 강조하고 있습니다. 네 이 결제 시스템은 시스템이 해킹되어 피해자가 발생하여도 누구도 책임지지 않아도 되도록 하는 기술입니다. 그리고 앞으로 해킹은 더 쉬워지고, 피해자들이 늘어나도 아무도 그 책임을 지지 않을 것입니다.