4월 20일 MasterCard는 남아프리카에서 새로운 생체 인식 직불카드 출시를 발표했습니다. 카드 발급사는 해당 국가를 시험장으로 활용하여 다른 국가로 확장되기 전에 기술을 조정하고 성숙시키길 원합니다.
그 어느 때보다 더 빨리 지불할 수 있는 가능성을 누릴 것으로 예상되는 사람들의 일반적으로 긍정적인 반응에도 불구하고 지문이 구식 PIN 번호보다 반드시 더 안전한지 여부를 물어봐야 합니다. 결국 더 편리하고 미래지향적인 인증 방식이 더 효과적인 보안을 제공하는 것은 아닙니다.
생체 인증은 강력한 추세입니다.
암호를 사용하여 특권 정보에 액세스하는 방법은 고대 보초가 침입자에게 해당 문구를 반복하여 허용할지 여부를 결정하도록 요청했을 때부터 있었습니다. 디지털 시대에 사용자 계정의 안전을 유지하는 저렴하고 쉬운 방법이었습니다. 지문을 통한 인증은 일반적으로 대기업과 국가 기관에만 관심이 있었습니다.
이 모든 것은 애플과 삼성이 휴대폰의 지문 스캐너로 서로를 경쟁하기 시작한 이후로 뒤집혔습니다. 이후 다양한 고급 제품에 생체 인증을 포함하는 추세입니다. 삼성의 최신 Galaxy S8에는 홍채 스캐너도 포함되어 있습니다.
사람들은 고유한 인증 형식을 신뢰하는 경향이 있습니다. . 해커가 될 사람은 당신과 같은 지문이나 홍채 패턴을 갖고 있지 않을 것이라고 가정하는 것이 안전합니다. 귀하가 귀하의 장치 및 계정에 "생물학적으로 연결되어" 있다는 것을 아는 확실한 확신이 있습니다. 이것이 MasterCard가 이 신뢰를 사용하고 안전한 PIN을 만들기 위해 카드에 지문 스캐너를 구현하기로 결정한 이유 중 하나일 것입니다. 더 적은 지불이 가능합니다.
걱정할 이유가 있는 이유
MasterCard의 최근 움직임은 은행 계좌와 같은 친밀한 것이 PIN 번호가 아닌 지문에 연결되어야 하는지에 대한 몇 가지 질문을 제기합니다. 처음에는 건전한 전략처럼 보입니다. 지문보다 더 안전할 수 있는 것은 무엇입니까? 기존의 4자리 PIN 번호에는 10,000가지 가능한 변형(0000 – 9999)이 있는 반면 지문에는 수십억 개의 가능한 순열이 있습니다. 후자를 추측하기가 더 어려울 것입니다.
그 논리에는 한 가지 작은 문제가 있습니다. 도둑과 해커는 방금 훔친 카드의 인증 세부 정보를 거의 추측하지 않습니다. 그것은 너무 많은 에너지를 필요로 하고, 많은 카드가 특정 횟수의 실패 시도 후에 잠깁니다. 자격 증명을 도용하면 추측이 제거됩니다. ATM에 가짜 키패드를 설치하거나 피해자가 어깨 너머로 입력하는 것을 지켜보는 등 다양한 영리한 방법을 통해 PIN 번호를 얻을 수 있다는 것이 밝혀졌습니다.
처음부터 PIN 번호는 생체 인식보다 훨씬 덜 안전합니다. 지문은 훔칠 수 없잖아요?
틀렸습니다.
사실, 지문을 훔치는 것은 실제로 매우 쉽습니다. Jan Kissler라는 유명한 해커는 독일 국방장관 Ursula von der Leyen의 고해상도 사진에서 지문 데이터를 추출하고 생체 인식 데이터에 액세스할 수 있을 만큼 충분히 복제했습니다.
스위스 연구원들이 이 방법을 우회하기 위해 특수 이미징 기술을 사용한 후 손가락 내부의 정맥 패턴을 매핑하여 지문 스캐너를 더 강력하게 만들려는 시도도 무용지물이 되었습니다. 물론 2015년 7월 해커가 2,150만 개의 사회 보장 번호를 훔친 미국 인사 관리국의 침해를 잊을 수 없습니다. 그 데이터와 함께 560만 명의 지문도 훔쳤습니다.
중요한 이유
방금 언급한 것과 같은 대규모 데이터베이스가 침해되어 해커가 비밀번호를 훔쳐가는 경우 그 영향이 다소 심각하지만 비밀번호를 빠르게 변경하여 피해가 확산되는 것을 방지할 수 있습니다. 하지만 지문이 도난당했다면? 어떻게 바꾸나요?
문제의 핵심은 다음과 같습니다. 지문은 취소할 수 없는 데이터입니다. 당신은 그것을 가지고 태어났고, 그것이 당신이 평생 동안 가지고 있는 것입니다. 홍채 또는 기타 생체 인식 식별자도 마찬가지입니다. 당신이 할 수 있는 최선은 손가락을 바꾸는 것이지만, 당신은 그 중 10개만 가지고 있습니다. 세간의 이목을 끄는 대상이거나 웹에 고해상도 사진이 많이 게시되어 있는 경우 이러한 현실을 피할 수 없습니다.
밝혀진 바와 같이 생체 인증은 공공 생활이 많지 않은 사람들(예:정부 요원)이 매우 민감하고 안전한 환경에서 사용할 때 가장 효과적입니다. 소비자 기술의 일부로서 보안을 잠재적으로 희생하는 것은 편리함입니다. 아이러니하게도 공개적인 사람이 될수록 지문의 보안이 취약해집니다.
오늘날과 같이 생체 인식에 대한 모든 믿음을 두는 것은 해커가 대규모 지문/홍채 데이터베이스에 대한 액세스 권한을 얻으려고 하는 몇 년 내에 엔트로피 상태에 도달할 시한 폭탄이 될 수 있습니다.
소비자 기술에서 생체 인증을 더 안전하게 사용할 수 있는 방법이 있다고 생각하시나요? 댓글로 모든 것을 알려주세요!