- 바이오정보를 이용하여 개인을 식별하고 인증하는 행위. '바이오인식'이라는 단어와 혼용되기도 한다.[1]
- 문명화시대 이전부터 사용되어 온 바이오인증의 예는 얼굴·음성인증. 얼굴과 목소리를 듣고 사람을 구별하는 것도 바이오인증의 사례
- 중세시대부터 사용된 바이오인증은 서명, 근대들어서 일찍이 사용되기 시작한 바이오인증은 지문인증 등
- 현대의 바이오인증은 일반적으로 IT기술을 이용하여 바이오정보의 특징점을 부호화하고 비교 판별 하여 사용자를 인증하는 IT인증기술을 의미
바이오인증에 사용되는 바이오정보
바이오정보가 바이오인증에 사용되기 위해선 보편성(University), 유일성(Uniqueness),불변성(Permanence)을 만족하여야 한다.
- 추가로 획득성, 성능, 수용성, 반기만성이 요구되기도 한다.
바이오인증 시스템
바이오인증 시스템은 바이오인증을 수행하는 정보시스템을 의미하며, 아래와 같이 크게 4개의 모듈로 구분된다.[2]
- 바이오정보 입력부 : 센서를 통해 바이오정보를 취득
- 특징 추출부: 취득된 바이오정보로 부터 특징정보를 추출
- 특징 저장소: 특징정보 및 개인정보 등을 저장하는 저장소
- 특징 정합부: 저장된 특징정보와 새로 입력된 특징정보를 비교하여 인증여부를 결정
바이오인증의 정확도 기준
- 부정 거부율 (FRR: False Rejection Rate)
- 본인 거부율이라고도 한다.
- 인식되어야 할 사람이 얼마나 자주 시스템에 의해서 인식되지 않는지를 나타낸다.
- 부정 허용률 (FAR: False Acceptance Rate)
- 타인 허용률이라고도 한다.
- 인식되어서는 안 될 사람이 얼마나 자주 시스템에 의해서 인식이 되는지를 나타낸다.
- CER (Crossover Error Rate), ERR (Equal Error Rate)
- FRR와 FAR이 만나는 지점으로서 효율성 및 생체 인증의 척도이다.
- 사용 예시
- 스마트폰 내 지문인식 장치의 FAR은 1/50,000을 지원하여야 하며, FRR은 2~3% 이하를 지원하여야 한다.[3]
바이오인증의 취약점
바이오인증 시스템의 취약점은 크게 8가지로 분류 가능하다.[2]
- 위조지문, 고해상도 사진 등 위조된 바이오정보를 센서에 입력하여 인증을 우회
- 저장소에 침투하여 기 저장된 바이오정보를 조작, 삭제, 유출
- 불법 취득한 바이오정보를 재생(replay)하여 인증
- 위조된 특징정보를 임의로 생성
- 정상적인 특징정보를 임의의 위조된 특징정보로 대체
- 특징 정합부에서 인증 결과값을 임의로 변경
- 최종 인증결과를 조작
- 저장소에서 정합부로 전송되는 특징정보를 절취 또는 타인의 정보로 대체
바이오인증의 사고 사례
바이오인증 사고사례 조사 결과, 바이오정보 위조(1) 및 바이오정보 유출(2)이 대부분을 차지한다.[2]
- 근태관리 악용(2015. 2)
- 경북지역 소방 공무원 3명이 2012년부터 2년간 실리콘으로 제작한 위조지문을 이용하여 근태관리용 지문인식단말기에 부정 인식하여 초과근무수당 수령
- 근태관리용 단말을 정맥인식 방식으로 교체 예정
- 불법 부동산 명의 이전(2014. 10)
- 박모씨 등 4명은 중국 위조범에 의뢰하여 3D프린터를 이용한 실리콘 위조지문을 제작
- 주민센터의 지문센서가 위조여부를 탐지하지 못해 인감증명서 등 필요서류를 발급받아 50억대 부동산을 불법으로 명의 이전
- 사진으로부터 지문복제(컨퍼런스 시연, 2014. 12)
- 독일의 해커단체 CCC는 독일 국방장관의 기자회견 사진 등 여러 각도의 사진 및 VeriFinger 소프트웨어를 이용하여 지문 복제
- 사진으로부터 홍채, 지문 복제(Print attack)(컨퍼런스 시연, 2014. 4, 2017.5 등)
- 독일의 해커단체 카오스컴퓨터클럽(CCC)는 구글검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력하여 홍채 복제
- 레이저 프린터 홍채 사진을 이용해 갤럭시 S8의 홍채인증 통화 시연(2017.5)
- 독일 국방장관의 기자회견 사진 등을 이용해 지문을 복제[4]
- 삼성 갤럭시S5 잠금장치 해제(동영상 시연, 2014. 4)
- 독일의 시큐리티리서치랩스는 목재용 접착제에 사용자 지문을 복제하여 지문인식 잠금장치 해제
- 위조지문을 이용해 갤럭시 S5와 연동된 페이팔(PayPal) 결제도 가능
- 아이폰 6/5S 지문인식 잠금장치 해제(동영상 시연, 2014. 9 아이폰6, 2013. 9 아이폰5S)
- 고해상도 사진을 이용하여 실리콘으로 위조지문을 제작, 아이폰 6/5S의 지문인식 잠금장치 해제
- 지문인식 지불시스템 해킹(2008, 2)
- 네덜란드 최대의 식료품 체인업체가 지문인식 지불시스템(Tip2Pay)을 도입하였으나, 실리콘으로 제작한 위조지문을 탐지하지 못해 정상 적으로 대금을 결제
- 차량 절도를 위한 손가락 절단(2005. 3)
- 말레이시아 4인 강도는 지문인식시스템이 도입된 벤츠 S-클래스 차량을 절도하기 위해 회계사 Kumaran의 손가락을 절단
- 해당 지문인식시스템이 살아있는 생체조직 여부를 판별하는 기능을 탑재하고 있어, 절단한 손가락으로 차량구동이 불가하여 검거