[중앙SUNDAY 김은기의 '바이오 토크']<72> 지문·홍채는 뻥 뚫어도 뇌파는 못 뚫는다

지문·홍채는 뻥 뚫어도 뇌파는 못 뚫는다

:막겠다는 생체인식, 뚫겠다는 해킹

 

홍채는 동공(흑색) 옆의 조직으로 근육, 색소에 따라 다양한 모양을 가진다. [사진 김은기]

 

“얘들아, 엄마다” 하고 늑대는 문을 두들겼다. 하지만 검은 손, 갈라진 목소리 늑대를 아기 양들은 문틈으로 알아봤다. 침입에 실패한 늑대는 머리를 짜냈다. 밀가루로 손을 칠하고 꿀로 목소리를 바꾼 늑대 속임수에 그만 덜컥 문이 열리고 말았다. 보안이 뚫렸다. 동화 속 이야기지만 남 이야기가 아니다. 지문인식 사용하는 내 사무실, 내 스마트폰은 안전할까. 일란성 쌍둥이도 지문이 다르다고 하니 지문인식 보안은 완벽해 보인다. 그럴까. 미국 뉴욕대 나시르 교수팀은 8200개 지문을 분석했다. 지문들의 공통 패턴을 골라내서 ‘마스터 지문’을 만들었다. 이 마스터지문으로 여러 종류 스마트폰을 65% 로그인할 수 있었다. 현재 스마트폰 보안 정도는 맘먹으면 뚫을 수 있다는 이야기다. 스마트폰이 아닌 핵미사일 발사 벙커라면? 

 

8200개 지문 분석한 마스터 지문

여러 종류 스마트폰 65% 로그인

눈동자 찍어 레이저 프린트로 인쇄

그 위에 콘텍트렌즈 놓아 홍채 위조

뇌파 발생 장치는 뇌 밖에 없어

사람 뇌를 들고 갈수 없으니 안전

 

 

 

핵 발사 버튼 누르려 IS가 잠입한다면…

 미국 중북부 노스다코타  ‘미놋’ 공군기지. 지하벙커 깊숙한 곳에 미국 방위 핵심 시설이 있다. 단추 하나로 수백 개 대륙간핵탄두미사일이 발사된다. 세계에서 가장 완벽한 본인인증이 요구되는 곳이다. 99.99%가 아닌 100% 확실해야 한다. 이곳을 이슬람국가(IS) 테러리스트가 잠입, 핵 발사 버튼을 눌러 중국·소련이 대응발사, 세계를 핵으로 초토화할 수 있을까. 상상 속으로 들어가 보자. 핵 발사 담당 A대위는 가족과 함께 인질로 잡혀 있다. 그의 정문 출입증은 내장된 칩만 복사하면 된다. 얼굴은 3D프린트한다. 실제로 얼굴사진과 5만원을 보내면 3D프린팅된 실리콘 얼굴을 보내 주는 미국 회사도 있다. 한 보안 회사 간부는 이걸 쓰고 본인 회사 얼굴인식 보안장치도 통과했다고 밝혔다. 핵 통제센터 건물 출입문은 비밀번호와 지문으로 열린다. 비밀번호는 A대위처럼 가족 목숨이 위협받는 상황이면 쉽게 얻을 수 있다. 요즘은 기억해야 할 비밀번호 개수도 많아서 헷갈린다. 잊어버릴 수 있고 도용도 쉽다. 생체인식(biometric)이 유리한 이유다. 몸 자체가 비밀번호 덩어리다. 따로 외우거나 가지고 다니지 않아도 된다. 지문·손모양·손정맥·홍채·망막핏줄·DNA·얼굴모양은 신체특징이다. 걸음걸이·음성·타이핑패턴은 행동특징이다. 이걸 도용할 수 있을까.

 

지문은 특징점(적색)의 종류, 상대적 위치에 따라 다르다.

 

 지문은 끊기거나 합쳐지는 특징점 위치를 데이터화한다. 하지만 인터넷에 실리콘·점토로 지문 복사방법이 올라와 있을 정도로 지문위조는 쉽다. 실제 2008년 일본 공항 출입국 게이트에 가짜 실리콘 지문을 손가락에 입힌 중국 여성이 검거됐다. A대위 실리콘지문을 만든 IS 테러리스트는 첫째 관문을 통과, 지하벙커 엘리베이터를 탄다. 엘리베이터는 손바닥모양과 정맥인식 스캐너로 열린다. 손바닥 보안은 지문과 같다. 다섯 손가락 상대적 길이, 손금 패턴이 데이터화되어 있다. 이것도 가짜를 만든다. 손은 3D프린터로, 손금은 실리콘으로 입히면 된다. 극단의 경우 손 자체를 절단해 올 수도 있다. 실제로 말레이시아에서는 차량 절도범이 벤츠 자동차를 훔치기 위해 운전사 손을 절단한 경우도 있다.

 

 손(가락)정맥인식은 지문보다 위조가 어렵다. 혈관이 3차원 구조라 2차원 지문처럼 데이터화하기가 쉽지 않고 혈압 따라 혈관 두께가 변하는 단점도 있다. 근적외선으로 정맥 속 헤모글로빈 흡수도를 사진으로 찍는다. 하지만 실제 기계로 읽은 정맥패턴을 프린트해 기계에 대면 손정맥으로 인식되기도 한다. 상상 속 IS요원은 A대위 손정맥 패턴을 인쇄한 필름을 입힌 손으로 정맥인식기를 통과, 엘리베이터에 탑승했다. 엘리베이터를 나오자 긴 복도 옆에 스캐너가 붙어 있다. 걸음걸이 인식이다. 영화 ‘미션임파서블: 로그네이션’ (2015, 미국)에서도 나오는 장면이다. 지문·홍채 같은 신체특징이 아닌 행동특성, 즉 사람마다 독특한 걸음걸이를 데이터화한 방식이다. 영화 속에서는 흉내를 못 내서 컴퓨터 속 걸음패턴 데이터 원본을 교체하여 통과했다. 하지만 실제로 걸음걸이를 본인인증으로 사용하기는 쉽지 않다. 에러가 많기 때문이다. 좋은 생체인식방법은 1)보편성: 누구나 있고 2)유일성: 개인마다 다르고 3)영속성: 언제나 일정하고 4)획득성: 쉽게 얻을 수 있고 5)친화성: 개인 거부감이 없고 6)보안성: 위조가 어려워야 한다. 걸음걸이가 매번 일정하기는 쉽지 않다. 보행패턴은 ‘내가 나’임을 증명하는 본인인증보다는 수많은 사람 중에서 독특한 걸음패턴을 가진 ‘용의자 찾기’에 적합하다. 음성인식도 늘 일정치 않아 개인인식에 사용하기는 어렵다. 

 

 이제 마지막 관문, 홍채인식장치다. 홍채는 눈 동공을 둘러싼 원 형태조직이다. 근육·색소에 따라 다양한 색·모양을 가진다. 촬영한 홍채사진을 데이터화한다. 생후 1~2년에 형성된 후 평생 변치 않고 쌍둥이도 다르며 양쪽 눈이 서로 다르다. 홍채인식의 탁월함을 보여 준 일화가 있다.

 

17년 전 사진 속 홍채로 본인인증을 한 아프간 난민 소녀. [중앙포토]

 

 1985년 내셔널지오그래픽 표지 소녀 사진이 온 세계에 아프간 참상을 알렸다. 17년 후 사진기자는 이 소녀를 찾으려 했다. 유명세가 붙은 이 사진이 자기라며 많은 여성들이 몰려 왔다. 정확하게 소녀를 골라낸 방법은 바로 17년 전 사진 속 홍채 비교였다. 변하지 않고 개인마다 독특한 홍채는 생체인식 보안의 최고봉처럼 보인다. 하지만 창과 방패처럼 해킹기술은 함께 진화한다. 디지털카메라 야간촬영모드로 그 사람 눈동자를 찍어서 레이저 컬러프린터로 인쇄한다. 그 위에 콘택트렌즈를 놓아서 실제 눈의 원형처럼 보이게 하면 어떨까. 실제 지난 5월 독일해커그룹(CCC)은 이런 방법으로 스마트폰 홍채인식 해킹이 가능함을 동영상으로 보여 주었다. 물론 이런 식 해킹이 실제 일상생활에서 그리 쉬운 일은 아니라고 스마트폰 제조업체는 이야기한다. 하지만 스마트폰이건 핵 발사 시설이건 생체보안의 아킬레스건은 따로 있다. 바로 원본데이터가 해킹될 경우다.

 

 은행 8자리 비밀번호가 해킹으로 모두 노출됐다고 하자. 은행은 즉시 예전 번호대신 신규 비밀번호를 등록받아 교체해 놓는다. 비밀번호는 교체가 가능하다. 하지만 생체인식은 안 된다. 내 홍채는 하나밖에 없다. 해킹되면 새로운 홍채데이터를 만들 수 없다. 이런 근본적인 문제에 과학은 답을 줄 수 있을까. 방법이 보인다. 바로 뇌파다. 뇌파는 뇌세포사이에 흐르는 전기 파형이다. 거짓말 탐지기도 질문 답변 시 감정 변화로 생긴 뇌파 이상여부를 확인한다. 뇌파로 ‘내가 바로 나’임을 확실하게 증명할 수 있을까. 

 

 

삶의 질 높이는 데만 쓰도록 견제해야

여러 사진을 보여 주면서 생성된 뇌파를 생체인식 수단으로 개발 중이다.

 

미 전기전자학회 발간지(IEEE TIFS)는 ‘이 사람이 그 사람’인지를 100% 정확하게 뇌파로 검증했다. 실험방법은 이렇다. 50명을 대상으로 우산, 보트 등 특정 사진들을 보여 주었다. 사람들은 일련의 사진을 보면서 감정 변화를 보였고 그것이 뇌파로 측정됐다. 다음에 시험자가 누군지 모르는 상태에서 같은 사진들을 보여 주고 뇌파를 측정했다. 이 뇌파데이터와 같은 사람을 찾아 보니 50명 중 단 한 사람, 바로 그 사람이었다. 이 방법의 장점은 위조가 힘들다는 점이다. 뇌파를 발생시키는 장치가 지금까지는 뇌 이외에는 없다. 다른 사람 뇌를 들고 갈 수는 없다. 뇌파측정은 밴드, 헬멧 형 측정기기를 머리에 쓰고 한다. 사람임이 분명하고 머리로 측정을 하게 만든다면 위조가 쉽지 않다. 이 방법의 가장 큰 장점은 저장되어 있는 개인뇌파정보를 지우고 새로운 뇌파정보로 저장할 수 있다는 점이다. 즉, 원본데이터가 해킹되었을 경우 사진종류를 바꾸어 새로운 뇌파데이터로 저장할 수 있다. 교체가능, 도용불가, 100% 정확도 생체인식기술이다.

 

 IS 테러리스트는 마지막 뇌파검사단계에서 실패, 체포됐다. 하지만 핵 발사 시설 같은 최첨단 보안시스템이 이제는 일상 속 스마트폰에도 적용되어야 한다. 생체인식이 곳곳에서 중요하게 쓰이고 있기 때문이다. 손에 쥐는 순간 지문인식으로 본인임이 확인되는 신용카드가 곧 나온다. 스마트폰뱅킹으로, 핀테크로 세상은 변하고 있다 한국바이오인식협의회 의장(김학일 교수)은 개인화가 핵심인 4차 산업혁명 시대에는 인공지능형 모바일 생체인식기술이 개인인증 핵심이라고 말한다. 하지만 산이 높으면 골도 깊다. 생체인식은 필요기술이지만 인간에게 번호를 매기는 행위에 대한 우려도 만만치 않다. 페이스북 얼굴인식능력이 97%다. 이제 CCTV로 누가 무엇을 하고 있는지 실시간으로 알 수 있다. 조지 오웰 소설 『1984』에서는 모든 사람 사생활이 철저히 감시당한다. 코스모스 저자 칼 세이건은 말한다. “우리는 과학기술시대를 살고 있지만 정작 과학기술이 무슨 일을 하고 있는지는 모른다.” 생체인식기술이 삶의 질을 높이는 도구로만 쓰일 수 있는 견제장치가 필요하다. 과학은 늘 직진하기 때문이다.