사용자 자격 증명을 노리고 기업 네트워크에 침입해서 큰 피해를 일으키는 해커는 점점 많아지고 있습니다. 실제로 IBM 데이터 유출 비용(CODB) 보고서에 따르면, 도난당한 자격 증명은 데이터 유출의 가장 일반적인 공격 벡터입니다.
많은 조직에서 이러한 종류의 사이버 공격을 차단하고 사용자 계정을 보호하기 위해 생체 인식을 채택하고 있습니다. 생체 인식 정보는 개인에게서 비롯되기 때문에 일반적으로 비밀번호 및 보안 자격 증명과 같은 토큰보다 훔치거나 위조하기가 더 어렵습니다.
또한 생체 인식은 신원을 증명하기 위해 기억하거나 특별한 물건을 소지할 필요가 없기 때문에 더욱 편리한 사용자 경험을 제공할 수 있습니다. 생체 인식 기술을 사용하면 다른 유형의 인증보다 더 안전하고 간소화된 비밀번호 없는 인증이 가능합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
모든 인증 시스템은 인증 요소, 즉 개인이 자신이 주장하는 사람임을 입증하는 증거에 의존합니다. 생체 인식 인증은 특히 물리적 및 행동적 양식을 사용하여 사람을 식별합니다.
물리적 요인이라고도 하는 내재적 요인은 망막의 혈관 패턴과 같이 사람에게 고유한 신체적 특성입니다.
생체 인식 인증 시스템은 측정 가능하고 뚜렷하며 변경 가능성이 거의 없는 물리적 식별자를 사용합니다. 일반적인 물리적 생체 인식 인증 방법에는 얼굴 인식 및 지문 스캔이 포함됩니다. 체중이나 머리카락 색깔과 같은 특성은 변할 수 있으므로 인증에 부적절할 수 있습니다.
발의 열 화상이나 입술 모양과 같은 고유한 고유성 요소에 대한 새로운 옵션들이 지속적으로 연구되고 있습니다.1
대부분의 고유 요인은 일관되게 유지되지만, 부상으로 인해 지문이나 얼굴 특징이 바뀌는 등 개인의 특징이 변경되는 경우 어려움이 발생할 수 있습니다.
고유성 요소의 또 다른 잠재적인 어려움은, 공격자가 물리적 인증 요소를 탈취했을 경우(예: 데이터베이스에서 지문 스캔을 탈취하는 경우), 해당 요소는 변경할 수 없다는 점입니다. 비밀번호는 변경할 수 있지만 지문은 변경할 수 없습니다.
또한 조직이 사람들의 생체 인식 데이터를 수집한 후 이를 사용하는 방식과 관련하여 잠재적인 개인정보 보호 문제가 발생할 수 있습니다.
현재 사용 중이거나 평가 중인 고유성 요소는 다음과 같습니다.
눈 인식에는 고유한 패턴을 찾기 위해 홍채 또는 망막을 스캔하는 작업이 포함됩니다. 이러한 유형의 생체 인증은 매우 정확하지만 비용이 많이 들고 특수 장비가 필요합니다. 이는 보안이 가장 중요한 고려 사항인 정부 또는 산업용으로 더 실용적입니다.
얼굴 인식 기술은 모바일 장치의 잠금을 해제하고 법 집행 기관의 신원 확인에 사용할 수 있을 만큼 충분히 정확합니다.
그러나 얼굴 스캔은 라이브 스캔의 각도가 파일에 저장된 스캔과 달라 인증에 실패할 수 있는 등 어려움이 있을 수 있습니다. 과장된 얼굴 표정도 스캔을 왜곡할 수 있습니다.
사람 목소리의 톤, 피치 및 주파수는 지문만큼이나 독특할 수 있습니다.
음성 인식 검증은 매우 정확하고 사용하기 쉬우며 비교적 비용 효율적이지만, 고급 음성 복제 기술로 인해 속일 수 있습니다. OpenAI와 같은 일부 생성형 AI 개발자는 이러한 이유로 조직이 음성 인식에서 벗어나야 한다고 주장합니다.2
지문은 기원전 300년부터 중국에서 신원 증명으로 사용되어 온 오랜 생체 인증 방법입니다.3 그 유용성은 오늘날에도 계속되고 있습니다.
지문은 고유하여, 두 사람 사이에서 동일한 지문이 나올 확률은 640억 분의 1에 불과합니다.4 (현재 지구상에는 80억 명이 조금 넘는 인구가 살고 있습니다.)
지문은 오늘날의 디지털 디바이스에도 이상적입니다. 읽기, 수집, 분석 비용이 저렴하고 나이가 들어도 변하지 않습니다.
그러나 스마트폰과 PC에서 볼 수 있는 일부 소비자용 지문 스캐너는 위조 지문을 사용하여 액세스할 수 있습니다. 손가락이 젖었거나, 건조하거나, 기름기가 있는 등의 일반적인 상태는 잘못된 거부 반응의 원인이 될 수 있습니다.
이러한 오류 때문에, 일부 스캐너는 이제 혈관 패턴을 인식하여 오탐의 수를 줄이는 데 도움을 주고 있습니다.
정맥 인식은 패턴 인식 기술을 사용하여 사용자의 신체 일부에 있는 혈관 배열을 이미 파일에 있는 스캔과 일치시킵니다.
많은 지문 스캔 방법보다 정확하지만 정맥 스캔 프로세스는 번거로울 수 있습니다. 또한 혈관 패턴을 스캔하는 장비는 아직 널리 보급되지 않아 고도로 전문화된 환경에서 주로 사용됩니다. 손바닥 전체와 이마의정맥도 스캔할 수 있습니다.
사람의 손 모양을 스캔하여 수학적 표현으로 저장할 수 있습니다. 측정에는 손가락 길이, 손의 여러 부위 간 거리, 손가락 마디 사이의 굴곡 윤곽 등이 포함됩니다.
모든 생체 인식 요소 중에서 DNA가 가장 정확하다고 여겨지는 경우가 많습니다. '일란성 쌍둥이'라 할지라도 일반적으로 완전히 동일한 DNA를 가지고 있지는 않습니다.5
그러나 DNA의 정확성과 DNA 샘플이 어떻게 사용되는지에 대한 의문은 많은 사람들이 잠재적인 인증 요소로 사용하는 것을 불편하게 만듭니다.
미국 정부 연구에 따르면 사람들은 DNA보다 지문 형태의 생체 인식 데이터를 제공하는 것을 훨씬 더 편하게 여기는 것으로 나타났습니다.6
행동 생체 인식은 개인의 활동에서 나타나는 고유한 패턴을 이용해 개인을 식별합니다. 인증에 사용되는 일반적인 행동 특성은 다음과 같습니다.
사람들은 디바이스에서 작업할 때 터치스크린 사용 방식이나 마우스 움직임의 빈도 및 유동성 등 독특한 행동 패턴을 보이는 경우가 많습니다.
조직은 머신 러닝 알고리즘을 사용하여 이러한 패턴을 분석하고 사용자의 일반적인 행동에 대한 모델을 구축할 수 있습니다. 사용자의 후속 행동을 인증 모델과 비교할 수 있습니다.
사람의 키보드 패턴은 타이핑 속도와 일반적으로 사용하는 단축키를 포함하여 고유할 수도 있습니다. 타이핑 역학은 원격으로 눈에 띄지 않게 모니터링할 수 있지만 지문이나 홍채 스캔보다 정확도가 떨어지고 사용자의 패턴은 시간이 지남에 따라 변경될 수 있습니다.
사람의 걸음걸이를 인증에 사용할 수 있습니다. 걸음걸이와 발 각도는 사람마다 미묘하게 다를 수 있습니다.
멀티모달 생체 인증(MBA) 시스템은 두 가지 이상의 생체 인증 방법을 사용하여 개인을 식별합니다. 예를 들어, MBA 시스템은 사용자의 출입을 허용하기 전에 지문 스캔과 망막 스캔 또는 얼굴 인식 및 입력 패턴 분석을 모두 요구할 수 있습니다.
멀티모달 생체 인증의 목적은 보안 조치를 크게 강화하는 것입니다. 해커가 인증 프로세스 중에 여러 생체 인식 식별자를 성공적으로 스푸핑하는 것은 매우 어렵습니다.
생체 인식 인증의 기본 기능은 간단합니다. 첫 번째 단계는 등록 절차로, 개인의 생체 정보 기록이 생체 인식 시스템에 디지털 방식으로 저장됩니다. 사용자가 인증받기 위해 시스템으로 돌아올 때마다 이 원본 템플릿을 사용자의 특성과 비교합니다. 생체 인식 기능이 일치하면 인증이 확인됩니다.
디지털 스토리지를 절약하고 검증 요소의 비교 속도를 높이기 위해 템플릿은 핵심 사항만 저장하는 경우가 많습니다. 예를 들어, 얼굴 스캔의 경우 많은 시스템이 전체 얼굴이 아닌 얼굴의 특정 부분만 저장합니다. 지문 스캔과 같이 전체 이미지가 저장되는 경우도 있습니다.
많은 안면 인식 시스템은 얼굴 전체가 아닌 얼굴의 일부만 저장합니다.
저장된 생체 인식 데이터는 도난당할 경우 신원 도용에 사용될 수 있으므로 강력한 데이터 보안 조치가 필요합니다. 또한 생체 인식 데이터는 변경할 수 없기 때문에 도난당하면 피해자는 평생 어려움을 겪을 수 있으며, 더 많은 개인 데이터가 위험에 노출될 수 있습니다.
생체 인식 시스템은 종종 고급 인공 지능(AI)을 사용하여 인식 프로세스의 속도를 높입니다. 딥 러닝, 특히 컨볼루션 신경망(CNN 또는 ConvNet)은 지문과 같은 템플릿과 스캔의 패턴을 식별하는 데 있어 큰 가능성을 보여주고 있습니다.
민감한 앱이나 데이터에 대한 액세스 권한을 부여하기 전에 해당 사용자의 디지털 신원을 확인하는 것이 중요합니다. 생체 인식 보안 시스템은 해커가 유효한 사용자의 신원을 스푸핑하여 시스템에 액세스하려는 프레젠테이션 공격을 방지하는 데 도움이 될 수 있습니다.
생체 인증 수단은 민감한 물리적 위치를 보호하는 데에도 사용할 수 있습니다. 정부 기관은 여권 소지자의 사진과 지문이 포함된 마이크로칩 여권을 사용하여 등록된 생체 정보와 대조하여 개인의 신원을 확인할 수 있습니다. 의료 분야에서 생체 인식은 환자에게 약을 투여하고 정확한 사람에게 시술이 이루어졌는지 확인하는 데 사용할 수 있습니다.
생체 요소를 다른 인증 요소와 함께 사용하여 다중 요소 인증(MFA) 구현에 추가 사이버 보안을 제공할 수 있습니다.
MFA에는 비밀번호와 같은 정보와 지문 스캔과 같은 생체 인식 요소가 모두 포함될 수 있습니다. MFA는 두 개 이상의 인증 수단을 요청하고 그 중 적어도 하나는 쉽게 도용할 수 없도록 함으로써 공격자가 사용자 계정을 탈취하기 어렵게 만듭니다.
생체 정보는 개인을 관찰하고 움직임을 추적하는 데 사용할 수 있습니다. 예를 들어, 법 집행 기관은 관심대상자를 식별하기 위해 얼굴 특징과 지문의 생체 인식을 사용하는 경우가 많습니다.
결제 처리에 생체 인식을 사용하면 금융 거래 확인 속도를 높이고 사용자 경험을 간소화할 수 있습니다. 예를 들어 지문 인식기를 사용하여 스마트폰에서 결제를 확인하거나 음성 인식을 통해 온라인 뱅킹 지침을 확인할 수 있습니다.
일부 오프라인 소매점, 예를 들어 Whole Foods 매장에 손바닥 인식기를 설치하는 등 생체 인식 결제 방식을 실험하고 있기도 합니다.7
생체 인식 인증 시스템은 조직과 소비자에게 큰 이점을 제공할 수 있습니다. 잊을 수 없고 고유한 생체 인식은 빠르고 사용하기 쉬우며 신뢰할 수 있는 확실한 신원 확인을 신속하게 제공합니다.
비밀번호나 신분증은 지문보다 훨씬 쉽게 탈취될 수 있는 반면, 홍채 스캔이나 기타 신체적 표식을 복제하는 것은 해커에게 매우 어려운 일입니다(물론 영화 속에서는 예외일 수 있습니다).
생체 인식 보안 시스템이 완벽하다는 의미는 아닙니다. 시스템이 사용자 액세스를 잘못 거부하는 현상은 여전히 발생할 수 있습니다. 시스템이 잘못된 사용자를 허용하는 경우도 발생할 수 있습니다.
일부 덜 정교한 생체 인식 시스템은 스푸핑에 취약할 수 있습니다. 예를 들어, 얼굴 인식 시스템은 실제 사람이나 딥페이크로 만든 이미지 또는 사전 녹화된 동영상으로도 속일 수 있습니다.
생체 인증은 개인의 신체적 측면에 의존하기 때문에 항상 신원 확인이 가능합니다. 손바닥 무늬는 항상 손에 있지만, 칩이 내장된 신분증은 분실될 수 있고 복잡한 비밀번호는 잊어버릴 수 있습니다.
사용자는 생체 인식을 사용하여 소매 환경의 바코드 리더와 같은 장비에 더 빠르게 로그온할 수 있습니다. 일반적으로 암호를 입력하는 것보다 지문을 스캔하는 데 시간이 덜 걸립니다.
생체 인식은 소매업 등과 같은 환경의 공유 장비에서 자주 사용되는 “1111111” 같은 단순한 암호보다 더 안전할 수도 있습니다.