생체인증만으로 안전하지 않다···FIDO2 여러 인증 방법 병행해야 - 데이터넷
생체인증만으로 안전하지 않다···FIDO2 여러 인증 방법 병행해야 - 데이터넷
[데이터넷] 생성형 AI가 발전하면서 딥페이크를 이용한 신원인증 조작 공격도 현실화되고 있다. 오래 전부터 실리콘, 젤라틴, 고무 등을 이용한 위조된 지문, 사진, 3D 마스크 등을 이용한 위조된
www.datanet.co.kr
- 생체인증 위협의 현실화
- 생성형 AI와 딥페이크 기술로 사용자 얼굴 및 동작을 위조하는 공격 등장
- 기존 라이브니스(Liveness) 검증 기술로도 위조된 인증 요청 탐지 어려움
- 지문, 안면, 홍채 등 전통 생체정보는 고정값으로, 유출 시 복구 불가능한 위험 존재
- 국제 표준과 인증 기준의 미비
- ISO/IEC 30107 표준은 프레젠테이션 공격 탐지(PAD) 기술을 포함하지만 성능 기준 부재
- FIDO 얼라이언스의 생체인식 인증 프로그램은 ISO/IEC 기준에 기반하지만 테스트 요건은 낮은 수준
- PAD 기술의 성능, 사용자 경험(UX) 영향 등에 대한 산업계 합의 부재
- FIDO2와 다중 인증(MFA)의 병행 권장
- FIDO2는 패스워드리스 기반 인증을 제공하며, 생체정보와 기기 기반 인증을 결합
- 가트너는 장치 기반 생체인증을 단독으로 사용하는 것보다 패스키 기반의 다중 인증을 병행해야 한다고 권고
- 기기 소유 증명, 인증 토큰 보호, 자격 증명 보안 저장소 확보가 핵심 요소
- 생체인증 도입 시 유의사항
- 생체정보는 단말기 내 안전한 저장소(Secure Enclave, TPM 등)에 해시 형태로 저장 필요
- 인증 우회를 방지하기 위해 행동 기반 인증, 위험기반 접근제어(RBA) 등 보완 필요
- 기업 환경에서는 개인정보보호법 등 관련 규정에 맞춘 법적 설계 필요
- 사용자 측면에서는 생체정보 오용에 대한 불신 해소와 투명한 사용 안내 필요
- 향후 인증 보안 전략
- 생체인증은 사용자 경험과 보안성에서 장점 있으나, 단독 사용은 위험
- 딥페이크 기반 공격 방지를 위해 능동적(PAD), 수동적(Liveness), 다중 인증 요소 병행 필요
- IAM 솔루션 도입 시 인증 수단별 리스크 프로파일링 및 공격 탐지 체계 강화 필요
- 공급업체의 기술적 주장에 대한 독립적 검증 기준과 투명한 인증 수단 운영 필요
- 결론
- 생체인증 단독 사용을 지양하고, FIDO2 및 다중 인증 방식을 조합해 사용자 인증을 강화
- 딥페이크 우회 공격 대비를 위한 라이브니스 검증 및 프레젠테이션 공격 탐지 기술 고도화 필요
- 생체정보 보호를 위한 법적, 기술적 설계 확보 및 사용자 동의·고지 절차 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| BlackLock 랜섬웨어 그룹 운영 정보 유출 및 내부 인프라 취약점 분석 (0) | 2025.05.09 |
|---|---|
| AWS의 공공시장 전략과 보안 우선 원칙: AI 시대 클라우드 보안 인프라 강화 방향 (0) | 2025.05.09 |
| 'Q-Day'가 다가온다: 양자 컴퓨터 시대와 보안 위협의 전환점 (0) | 2025.05.09 |
| 소버린 클라우드가 AI 시대 데이터 거버넌스 구도를 재편하는 방법 (0) | 2025.05.09 |
| iOS 앱 보안 실태: 71%가 민감정보 노출 위험 (0) | 2025.05.09 |