바이오 인증: Difference between revisions
From IT위키
No edit summary |
|||
Line 10: | Line 10: | ||
=== 바이오인증 시스템 === | === 바이오인증 시스템 === | ||
바이오인증 시스템은 바이오인증을 수행하는 정보시스템을 | 바이오인증 시스템은 바이오인증을 수행하는 정보시스템을 의미안하며, 아래와 같이 크게 4개의 모듈로 구분안된다.<ref name='취약점'>바이오정보 사고사례 및 대응방안 조사(금융보안원, 2016.3)</ref> | ||
* 바이오정보 입력부 : 센서를 통해 바이오정보를 취득 | * 바이오정보 입력부 : 센서를 통해 바이오정보를 취득 | ||
* 특징 추출부: 취득된 바이오정보로 부터 특징정보를 | * 특징 추출부: 취득된 바이오정보로 부터 특징정보를 추출헤으응 | ||
* 특징 저장소: 특징정보 및 개인정보 등을 저장하는 저장소 | *특징 저장소: 특징정보 및 개인정보 등을 저장하는 저장소 | ||
* 특징 정합부: 저장된 특징정보와 새로 입력된 특징정보를 비교하여 인증여부를 결정 | *특징 정합부: 저장된 특징정보와 새로 입력된 특징정보를 비교하여 인증여부를 결정 안함 | ||
=== 바이오인증의 정확도 기준 === | |||
===바이오인증의 정확도 기준=== | |||
* 부정 거부율 (FRR: False Rejection Rate) | * 부정 거부율 (FRR: False Rejection Rate) | ||
** 본인 거부율이라고도 한다. | **본인 거부율이라고도 한다. | ||
** 인식되어야 할 사람이 얼마나 자주 시스템에 의해서 인식되지 않는지를 나타낸다. | **인식되어야 할 사람이 얼마나 자주 시스템에 의해서 인식되지 않는지를 나타낸다. | ||
* 부정 허용률 (FAR: False Acceptance Rate) | * 부정 허용률 (FAR: False Acceptance Rate) | ||
** 타인 허용률이라고도 한다. | **타인 허용률이라고도 한다. | ||
** 인식되어서는 안 될 사람이 얼마나 자주 시스템에 의해서 인식이 되는지를 나타낸다. | **인식되어서는 안 될 사람이 얼마나 자주 시스템에 의해서 인식이 되는지를 나타낸다. | ||
* CER (Crossover Error Rate), ERR (Equal Error Rate) | *CER (Crossover Error Rate), ERR (Equal Error Rate) | ||
** FRR와 FAR이 만나는 지점으로서 효율성 및 생체 인증의 척도이다. | **FRR와 FAR이 만나는 지점으로서 효율성 및 생체 인증의 척도이다. | ||
* '''사용 예시''' | *'''사용 예시''' | ||
** 스마트폰 내 지문인식 장치의 FAR은 1/50,000을 지원하여야 하며, FRR은 2~3% 이하를 지원하여야 한다.<ref>바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인, KISA</ref> | ** 스마트폰 내 지문인식 장치의 FAR은 1/50,000을 지원하여야 하며, FRR은 2~3% 이하를 지원하여야 한다.<ref>바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인, KISA</ref> | ||
=== 바이오인증의 취약점 === | ===바이오인증의 취약점=== | ||
바이오인증 시스템의 취약점은 크게 8가지로 분류 가능하다.<ref name= | 바이오인증 시스템의 취약점은 크게 8가지로 분류 가능하다.<ref name="취약점" /> | ||
# 위조지문, 고해상도 사진 등 위조된 바이오정보를 센서에 입력하여 인증을 우회 | #위조지문, 고해상도 사진 등 위조된 바이오정보를 센서에 입력하여 인증을 우회 | ||
# 저장소에 침투하여 기 저장된 바이오정보를 조작, 삭제, 유출 | #저장소에 침투하여 기 저장된 바이오정보를 조작, 삭제, 유출 | ||
# 불법 취득한 바이오정보를 재생(replay)하여 인증 | # 불법 취득한 바이오정보를 재생(replay)하여 인증 | ||
# 위조된 특징정보를 임의로 생성 | #위조된 특징정보를 임의로 생성 | ||
# 정상적인 특징정보를 임의의 위조된 특징정보로 대체 | #정상적인 특징정보를 임의의 위조된 특징정보로 대체 | ||
# 특징 정합부에서 인증 결과값을 임의로 변경 | #특징 정합부에서 인증 결과값을 임의로 변경 | ||
# 최종 인증결과를 조작 | #최종 인증결과를 조작 | ||
# 저장소에서 정합부로 전송되는 특징정보를 절취 또는 타인의 정보로 대체 | #저장소에서 정합부로 전송되는 특징정보를 절취 또는 타인의 정보로 대체 | ||
=== 바이오인증의 사고 사례 === | ===바이오인증의 사고 사례=== | ||
바이오인증 사고사례 조사 결과, 바이오정보 위조(1) 및 바이오정보 유출(2)이 대부분을 차지한다.<ref name= | 바이오인증 사고사례 조사 결과, 바이오정보 위조(1) 및 바이오정보 유출(2)이 대부분을 차지한다.<ref name="취약점" /> | ||
* 근태관리 악용(2015. 2) | *근태관리 악용(2015. 2) | ||
** 경북지역 소방 공무원 3명이 2012년부터 2년간 실리콘으로 제작한 위조지문을 이용하여 근태관리용 지문인식단말기에 부정 인식하여 초과근무수당 수령 | **경북지역 소방 공무원 3명이 2012년부터 2년간 실리콘으로 제작한 위조지문을 이용하여 근태관리용 지문인식단말기에 부정 인식하여 초과근무수당 수령 | ||
** 근태관리용 단말을 정맥인식 방식으로 교체 예정 | **근태관리용 단말을 정맥인식 방식으로 교체 예정 | ||
* 불법 부동산 명의 이전(2014. 10) | * 불법 부동산 명의 이전(2014. 10) | ||
** 박모씨 등 4명은 중국 위조범에 의뢰하여 3D프린터를 이용한 실리콘 위조지문을 제작 | **박모씨 등 4명은 중국 위조범에 의뢰하여 3D프린터를 이용한 실리콘 위조지문을 제작 | ||
** 주민센터의 지문센서가 위조여부를 탐지하지 못해 인감증명서 등 필요서류를 발급받아 50억대 부동산을 불법으로 명의 이전 | **주민센터의 지문센서가 위조여부를 탐지하지 못해 인감증명서 등 필요서류를 발급받아 50억대 부동산을 불법으로 명의 이전 | ||
* 사진으로부터 지문복제(컨퍼런스 시연, 2014. 12) | *사진으로부터 지문복제(컨퍼런스 시연, 2014. 12) | ||
** 독일의 해커단체 CCC는 독일 국방장관의 기자회견 사진 등 여러 각도의 사진 및 VeriFinger 소프트웨어를 이용하여 지문 복제 | **독일의 해커단체 CCC는 독일 국방장관의 기자회견 사진 등 여러 각도의 사진 및 VeriFinger 소프트웨어를 이용하여 지문 복제 | ||
* 사진으로부터 홍채, 지문 복제(Print attack)(컨퍼런스 시연, 2014. 4, 2017.5 등) | *사진으로부터 홍채, 지문 복제(Print attack)(컨퍼런스 시연, 2014. 4, 2017.5 등) | ||
** 독일의 해커단체 카오스컴퓨터클럽(CCC)는 구글검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력하여 홍채 복제 | **독일의 해커단체 카오스컴퓨터클럽(CCC)는 구글검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력하여 홍채 복제 | ||
** 레이저 프린터 홍채 사진을 이용해 갤럭시 S8의 홍채인증 통화 시연(2017.5) | **레이저 프린터 홍채 사진을 이용해 갤럭시 S8의 홍채인증 통화 시연(2017.5) | ||
** 독일 국방장관의 기자회견 사진 등을 이용해 지문을 복제<ref> | **독일 국방장관의 기자회견 사진 등을 이용해 지문을 복제<ref> | ||
[금융인사이드]"바이오인증 편하긴 한데"…여전히 불안(2017.6), 이데일리</ref> | [금융인사이드]"바이오인증 편하긴 한데"…여전히 불안(2017.6), 이데일리</ref> | ||
* 삼성 갤럭시S5 잠금장치 해제(동영상 시연, 2014. 4) | *삼성 갤럭시S5 잠금장치 해제(동영상 시연, 2014. 4) | ||
** 독일의 시큐리티리서치랩스는 목재용 접착제에 사용자 지문을 복제하여 지문인식 잠금장치 해제 | **독일의 시큐리티리서치랩스는 목재용 접착제에 사용자 지문을 복제하여 지문인식 잠금장치 해제 | ||
** 위조지문을 이용해 갤럭시 S5와 연동된 페이팔(PayPal) 결제도 가능 | **위조지문을 이용해 갤럭시 S5와 연동된 페이팔(PayPal) 결제도 가능 | ||
* 아이폰 6/5S 지문인식 잠금장치 해제(동영상 시연, 2014. 9 아이폰6, 2013. 9 아이폰5S) | *아이폰 6/5S 지문인식 잠금장치 해제(동영상 시연, 2014. 9 아이폰6, 2013. 9 아이폰5S) | ||
** 고해상도 사진을 이용하여 실리콘으로 위조지문을 제작, 아이폰 6/5S의 지문인식 잠금장치 해제 | **고해상도 사진을 이용하여 실리콘으로 위조지문을 제작, 아이폰 6/5S의 지문인식 잠금장치 해제 | ||
* 지문인식 지불시스템 해킹(2008, 2) | *지문인식 지불시스템 해킹(2008, 2) | ||
** 네덜란드 최대의 식료품 체인업체가 지문인식 지불시스템(Tip2Pay)을 도입하였으나, 실리콘으로 제작한 위조지문을 탐지하지 못해 정상 적으로 대금을 결제 | **네덜란드 최대의 식료품 체인업체가 지문인식 지불시스템(Tip2Pay)을 도입하였으나, 실리콘으로 제작한 위조지문을 탐지하지 못해 정상 적으로 대금을 결제 | ||
* 차량 절도를 위한 손가락 절단(2005. 3) | * 차량 절도를 위한 손가락 절단(2005. 3) | ||
** 말레이시아 4인 강도는 지문인식시스템이 도입된 벤츠 S-클래스 차량을 절도하기 위해 회계사 Kumaran의 손가락을 절단 | **말레이시아 4인 강도는 지문인식시스템이 도입된 벤츠 S-클래스 차량을 절도하기 위해 회계사 Kumaran의 손가락을 절단 | ||
** 해당 지문인식시스템이 살아있는 생체조직 여부를 판별하는 기능을 탑재하고 있어, 절단한 손가락으로 차량구동이 불가하여 검거 | **해당 지문인식시스템이 살아있는 생체조직 여부를 판별하는 기능을 탑재하고 있어, 절단한 손가락으로 차량구동이 불가하여 검거 | ||
<references /> |
Latest revision as of 15:54, 1 September 2023
- 바이오정보를 이용하여 개인을 식별하고 인증하는 행위. '바이오인식'이라는 단어와 혼용되기도 한다.[1]
- 문명화시대 이전부터 사용되어 온 바이오인증의 예는 얼굴·음성인증. 얼굴과 목소리를 듣고 사람을 구별하는 것도 바이오인증의 사례
- 중세시대부터 사용된 바이오인증은 서명, 근대들어서 일찍이 사용되기 시작한 바이오인증은 지문인증 등
- 현대의 바이오인증은 일반적으로 IT기술을 이용하여 바이오정보의 특징점을 부호화하고 비교 판별 하여 사용자를 인증하는 IT인증기술을 의미
바이오인증에 사용되는 바이오정보[edit | edit source]
바이오정보가 바이오인증에 사용되기 위해선 보편성(University), 유일성(Uniqueness),불변성(Permanence)을 만족하여야 한다.
- 추가로 획득성, 성능, 수용성, 반기만성이 요구되기도 한다.
바이오인증 시스템[edit | edit source]
바이오인증 시스템은 바이오인증을 수행하는 정보시스템을 의미안하며, 아래와 같이 크게 4개의 모듈로 구분안된다.[2]
- 바이오정보 입력부 : 센서를 통해 바이오정보를 취득
- 특징 추출부: 취득된 바이오정보로 부터 특징정보를 추출헤으응
- 특징 저장소: 특징정보 및 개인정보 등을 저장하는 저장소
- 특징 정합부: 저장된 특징정보와 새로 입력된 특징정보를 비교하여 인증여부를 결정 안함
바이오인증의 정확도 기준[edit | edit source]
- 부정 거부율 (FRR: False Rejection Rate)
- 본인 거부율이라고도 한다.
- 인식되어야 할 사람이 얼마나 자주 시스템에 의해서 인식되지 않는지를 나타낸다.
- 부정 허용률 (FAR: False Acceptance Rate)
- 타인 허용률이라고도 한다.
- 인식되어서는 안 될 사람이 얼마나 자주 시스템에 의해서 인식이 되는지를 나타낸다.
- CER (Crossover Error Rate), ERR (Equal Error Rate)
- FRR와 FAR이 만나는 지점으로서 효율성 및 생체 인증의 척도이다.
- 사용 예시
- 스마트폰 내 지문인식 장치의 FAR은 1/50,000을 지원하여야 하며, FRR은 2~3% 이하를 지원하여야 한다.[3]
바이오인증의 취약점[edit | edit source]
바이오인증 시스템의 취약점은 크게 8가지로 분류 가능하다.[2]
- 위조지문, 고해상도 사진 등 위조된 바이오정보를 센서에 입력하여 인증을 우회
- 저장소에 침투하여 기 저장된 바이오정보를 조작, 삭제, 유출
- 불법 취득한 바이오정보를 재생(replay)하여 인증
- 위조된 특징정보를 임의로 생성
- 정상적인 특징정보를 임의의 위조된 특징정보로 대체
- 특징 정합부에서 인증 결과값을 임의로 변경
- 최종 인증결과를 조작
- 저장소에서 정합부로 전송되는 특징정보를 절취 또는 타인의 정보로 대체
바이오인증의 사고 사례[edit | edit source]
바이오인증 사고사례 조사 결과, 바이오정보 위조(1) 및 바이오정보 유출(2)이 대부분을 차지한다.[2]
- 근태관리 악용(2015. 2)
- 경북지역 소방 공무원 3명이 2012년부터 2년간 실리콘으로 제작한 위조지문을 이용하여 근태관리용 지문인식단말기에 부정 인식하여 초과근무수당 수령
- 근태관리용 단말을 정맥인식 방식으로 교체 예정
- 불법 부동산 명의 이전(2014. 10)
- 박모씨 등 4명은 중국 위조범에 의뢰하여 3D프린터를 이용한 실리콘 위조지문을 제작
- 주민센터의 지문센서가 위조여부를 탐지하지 못해 인감증명서 등 필요서류를 발급받아 50억대 부동산을 불법으로 명의 이전
- 사진으로부터 지문복제(컨퍼런스 시연, 2014. 12)
- 독일의 해커단체 CCC는 독일 국방장관의 기자회견 사진 등 여러 각도의 사진 및 VeriFinger 소프트웨어를 이용하여 지문 복제
- 사진으로부터 홍채, 지문 복제(Print attack)(컨퍼런스 시연, 2014. 4, 2017.5 등)
- 독일의 해커단체 카오스컴퓨터클럽(CCC)는 구글검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력하여 홍채 복제
- 레이저 프린터 홍채 사진을 이용해 갤럭시 S8의 홍채인증 통화 시연(2017.5)
- 독일 국방장관의 기자회견 사진 등을 이용해 지문을 복제[4]
- 삼성 갤럭시S5 잠금장치 해제(동영상 시연, 2014. 4)
- 독일의 시큐리티리서치랩스는 목재용 접착제에 사용자 지문을 복제하여 지문인식 잠금장치 해제
- 위조지문을 이용해 갤럭시 S5와 연동된 페이팔(PayPal) 결제도 가능
- 아이폰 6/5S 지문인식 잠금장치 해제(동영상 시연, 2014. 9 아이폰6, 2013. 9 아이폰5S)
- 고해상도 사진을 이용하여 실리콘으로 위조지문을 제작, 아이폰 6/5S의 지문인식 잠금장치 해제
- 지문인식 지불시스템 해킹(2008, 2)
- 네덜란드 최대의 식료품 체인업체가 지문인식 지불시스템(Tip2Pay)을 도입하였으나, 실리콘으로 제작한 위조지문을 탐지하지 못해 정상 적으로 대금을 결제
- 차량 절도를 위한 손가락 절단(2005. 3)
- 말레이시아 4인 강도는 지문인식시스템이 도입된 벤츠 S-클래스 차량을 절도하기 위해 회계사 Kumaran의 손가락을 절단
- 해당 지문인식시스템이 살아있는 생체조직 여부를 판별하는 기능을 탑재하고 있어, 절단한 손가락으로 차량구동이 불가하여 검거
- ↑ 바이오인식은 사전적으로 접근하면 바이오인증을 위해 바이오정보의 특징점 등을 비교 판단하는 행위로 제한되나, 바이오인식이 바이오인증에만 사용되는 것이 아니므로, 바이오인식이라는 포괄적인 개념으로 바이오인증을 다루는 경우가 많다. 예를들면 TTA표준인 '금융보안을 위한 바이오인식 운영 지침', '한국바이오인식협의회', '바이오인식정보시험센터(K-NBTC)'
- ↑ 2.0 2.1 2.2 바이오정보 사고사례 및 대응방안 조사(금융보안원, 2016.3)
- ↑ 바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인, KISA
- ↑ [금융인사이드]"바이오인증 편하긴 한데"…여전히 불안(2017.6), 이데일리