지난해 미국에서는 아마존의 AI 스피커가 TV 뉴스 앵커의 말을 주인의 명령으로 알아듣고 주문을 한 해프닝이 벌어진 바 있다. 한 가정의 6살 아이가 AI 스피커에게 인형의 집과 과자를 주문했으며, 부모도 모르는 사이에 주문과 결제가 이뤄졌다. 이 소식을 TV 뉴스에서 앵커가 전했는데, 각 가정의 AI 스피커가 앵커의 음성을 주인의 명령으로 인지하고 아마존에 인형의 집과 과자를 주문한 것이다.
이 사고는 스마트 기기의 인증이 실패할 경우 어떤 일이 일어나는지 단적으로 보여주는 예이다. 쉽게 생각할 수 있는 예로, 달리는 차량 안에서 말다툼 중 “차 세워”라고 말했다고 해서 차량이 멈춘다면 큰 사고가 발생할 수 있다. 스마트 기기가 사용자의 명령을 정확하게 파악하지 못하고 농담이나 우발적인 감정으로 말한 것을 실제 명령으로 알아듣고 수행한다면 심각한 피해를 입게 될 수도 있다.
‘인증’은 IoT에서 가장 중요한 기술로 꼽힌다. 특히 관리자의 개입 없이 자동으로 명령을 인지하고 동작하는 AI 기기, 사물간 통신 등의 분야에서 인증은 가장 기본적으로 해결돼야 할 기술로 꼽힌다.
IoT 환경에서 인증은 간편하면서도 안전하며 보안성이 보장돼야 한다는 복잡한 문제를 안고 있다. 보안이 강화되면 사용이 불편하고, 사용이 편리해지면 보안이 약해진다는 것이 정설이지만, 앞으로 인증은 사용자 혹은 기기가 인지하지 못한 상태에서 자연스럽게 이뤄지면서도 고도의 안전성과 보안성이 보장돼야 한다.
디지털화된 정보 이용한 지속적·무자각 인증
진승헌 ETRI 정보보호연구본부장은 13일 과학기술정보통신부와 한국인터넷진흥원이 개최한 ‘노플러그인 기반 신기술 전자서명서비스에 대한 기술설명회’에서 “차세대 인증은 상식적이면서 편의성과 보안성을 높이는 기술과 서비스가 될 것”이라며 “특히 상황인지 기반 무자각 인증 기술, 지속적인 인증 기술 등이 필요하다”고 말했다.
모든 생활이 인터넷에 연결되는 환경에서는 사용자 정보는 거의 대부분 디지털화 될 것이다. 기존에 사용하던 비밀번호, 사용자가 갖고 있는 고유의 생체정보 뿐 아니라 디지털 기기 사용 습관, 주로 머무는 장소, 주로 수행하는 업무, 사용자만이 갖고 있는 행동 패턴, 인증이 이뤄지는 환경 등을 파악해 사용자도 모르는 사이에 인증이 이뤄지게 될 것이라는 설명이다.
인증이 필요한 서비스도 다양해질 것이다. 인터넷 상에서 이뤄지는 각종 거래는 물론이고, 각종 스마트 기기, 스마트카, 스마트워크, 오프라인 결제 등 모든 분야에서 인증을 필요로 할 것이다.
아마존의 무인상점 ‘아마존고’를 예로 들어보자. 스마트폰에서 아마존고 앱을 다운받고 상점 입구에서 체크인 한 후 입장한다. 구매하려는 상품을 들면 장바구니에 담기고, 내려놓으면 장바구니에서 삭제된다. 쇼핑 후 체크아웃 후 상점에서 나오면 자동으로 결제된다.
준비는 끝난다. 그 후에는 상점에 들어가서 물건을 장바구니에 담은 후 상점에서 나오면 된다. 사용자가 체크인하고, 선택한 물건의 가격을 계산하고 신용카드로 결제할 때 진행돼야 하는 모든 인증은 사용자가 인지하지 못한 상태에서, 지속적으로 이뤄지게 될 것이다.
비밀번호 보안 취약성 심각
차세대 인증 분야에서 최근 각광받는 것이 사용자 행위 기반 인증이다. 사용자의 습관을 지능적으로 인지해 실제 사용자인지 인증하는 것이다. 예를 들어 수기 서명을 할 때 속도, 압력, 펜을 드는 각도 등 수십가지 요소를 인지해 실제 사용자와 일치하는지 확인하는 것이다. PIN 번호를 입력할 때, 속도, 압력, 자판의 어느 부분을 터치하는 지 등을 인지한다.
공격자가 사용자의 비밀번호를 알아낸다 해도 세밀한 습관까지 따라하는 것은 불가능하기 때문에 안전하고도 편리한 인증으로 인정받을 수 있다. 생체정보를 직접 이용하지 않기 때문에 유출로 인한 불안함도 해결할 수 있다.
차세대 인증 플랫폼으로 주목받는 ‘FIDO’는 최근 웹에서도 사용할 수 있는 2번째 버전이 발표됐으며, 앞으로는 온라인 뿐 아니라 오프라인에서도 인증이 가능한 플랫폼으로 확장될 것으로 보인다. 이외에도 다양한 인증 기술이 등장하면서 IoT와 클라우드 시대의 편리성과 안정성을 보장하게 될 것이다.
진승헌 본부장은 “NIST에서도 현재 사용하는 비밀번호의 위험성을 경고한 바 있다. 아무리 복잡한 문자와 숫자의 조합으로 비밀번호를 만든다 해도 공격자는 쉽게 알아낼 수 있다. 사용자를 불편하게 하는 비밀번호는 현재는 물론 미래 환경에 적합하지 않다”며 “지속적이며 지능적이고, 편리하면서도 안전한 차세대 인증 기술이 다양하게 사용될 수 있어야 한다”고 말했다.
