디지털 선도국가 대한민국에 보안 비상이 걸렸다. 지금도 진행 중인 쿠팡 고객정보 내부 유출사건을 비롯해 이동통신 3사와 메이저 금융업체, 심지어 공공기관까지 줄줄이 보안 사고에 노출돼 국민을 불안하게 만들고 있다. 인공지능(AI) 3대 강국 구호를 내걸고 엔비디아 CEO로부터 GPU 반도체 자원 확보에 성공했음을 자랑하지만, 국가 안보 기밀과 개인정보가 해외 해커들의 사냥감으로 전락하는 현실에서 공허한 메아리일 뿐이다. 정부는 급기야 대포폰 범죄를 막는다며 새 스마트폰 개통 시 얼굴 이미지 의무등록이란 궁여지책을 내놓았다가 개인정보 남용 비판까지 받고 있다.  

 

▲ 복합 생체인증 관련 이미지 [챗GPT 생성]

 

인터넷 등장 초기에는 비밀번호가 보안의 전부였다. 소수의 인수분해 계산 난점을 응용한 RSA 암호체계라고 불리는 기술이다. 생일, 기념일 등 외우기 쉬운 번호와 상상하기 힘든 복잡한 번호를 생성하는 양 갈래 길에서 모두 헤맸다. 그 후에도 비번을 자동으로 채우거나 다른 곳에 보관하는 방법, OTP 카드나 패턴 등 다양한 방식의 보안 및 암호가 고안되었지만 큰 테두리를 벗어나진 못했다.

그러다가 지문, 홍채 등 지구상 모든 인류에서 단 한 사람도 같지 않은 인체의 고유 무늬를 판독하는 생체 인식이 제2의 암호체계로 급부상했다. 초창기에는 인식 오류율이 높아 RSA의 보완재 정도로 사용되다가, 성능이 향상되면서 간편 결제나 공항 등 공공 신원확인용으로 널리 보급되기 시작했다. 중국의 지능형 CCTV 신원확인이 인권보호 차원에서 국제적으로 비판받고 유럽연합(EU) 인공지능법은 아예 상업적인 정보 수집을 금지하고 있지만, 얼굴 인식(face ID)은 속도와 편리성 측면에서 잠재력을 지닌 인식방식이다. 또, 음성으로 AI를 제어하는 대규모언어모델(LLM)이 3년 전부터 매우 빠른 속도로 보급되면서 목소리의 지문(성문, 聲紋)을 자물쇠로 쓰는 암호도 주목받고 있다. 지문과 홍채는 이제 금융권에서도 상당수 채택 중일 정도로 어느 정도 검증이 끝난 생체보안 ID이다. 한마디로 '내 몸이 비밀번호'가 된 것이다.

 

 

현재 글로벌 선두 빅테크들의 보안 정책은 뚜렷이 몇 갈래로 나뉘지만, 단 하나 공통점이 있다. 그것은 바로 복수(複數) 보안 인증체제를 갖추려는 움직임이다. 그 중에서도 지문, 홍채, 얼굴, 목소리 등 생체(bio) 정보를 여러 개 조합해 쓰는 '복합 생체인증(Multi-Biometrics) 방식'이 대세다. 여기에 사설 인증키(PKI) 기반의 전자서명 인증을 합쳐 신뢰와 보안의 구조를 설계하는 게 애플, 삼성, 구글, 테슬라, 아마존 등 대기업의 최신 기술동향이다. 개별 기기와 사용자 간 인증이 열차나 쇠사슬처럼 줄줄이 연결돼있다고 해서 인증 체인(Chain of Authentication)이라고 불린다.

이렇게 여러 개의 보안체계를 체인처럼 쭉 연결해 쓰는 것은 어느 한 가지 단일 인증으로는 사용자의 생명과 재산, 사생활을 지킬 수 없는 초연결사회가 되었기 때문이다. 올해 미국 CES에서 보았듯, 우리는 머리맡 핸드폰의 알람과 뉴스 브리핑 소리에 눈을 뜨고 로봇이 만들어주는 아침밥을 먹은 후, 자율주행차가 데려다주는 직장에 도착해 하루 종일 스마트 기기에 둘러싸여 일하는 세상으로 가고 있다. 이때 최소 2개 이상의 스마트 기기 간에 사용자의 신원을 확인하는 보안체계가 자연스럽게 연결되어야 한다. 얼굴 ID로 잠금 화면을 해제한 스마트폰과 음성인식으로 운전을 시작한 자율주행자동차 사이에 '얼굴과 목소리의 주인이 같은 사람'이란 증명이 물 흐르듯 이어지는 보안 기술을 요구하고 있다. 내가 사용하는 폰, 자동차, 안경, 가전 등 복수의 기기에서 동작과 결제, 승인 및 행동이 함께 이루어져야 한다. 이를 '신뢰의 사슬'(chain of trust)이라고 부른다. 신뢰 사슬은 AI 시대의 헌법, 신용카드, 주민등록증이다.

다행히도 우리가 강점을 가진 가전 분야에서 삼성, LG 등 국내업체들도 글로벌 표준인 '매터(Matter) 표준'에 동참하고 있다. 전 세계 550여 업체들이 참여한 이 표준은 모든 가전제품에 제조사 번호와 제품 번호라는 인증대상 코드 이름표를 붙여준다. 만약 해커가 내 지문이나 음성을 훔쳐도 지금 명령을 내린 기기가 평소 쓰던 스마트폰이나 TV의 인증대상 코드와 일치하지 않는다면 자동으로 통신채널이 폐쇄된다. 기기의 고유 인증과 사람의 인증을 합쳐 최종 신원을 파악하는 것이다. 이때 사람의 인증은 글로벌 생체인증 표준인 FIDO 표준을 쓴다. 애플페이, 카카오페이 등 세계 250여 개사가 참여한 인증체계이다.

매터 표준과 FIDO 표준은 모두 앞서 말한 대한민국의 사설 인증키(PKI)로 묶인다. 사설 인증서 플랫폼에는 인증대상 코드라는 비밀 주머니가 여러 개 들어있고, 여기에 사람의 생체 인식 정보와 기기의 물체 인식 정보를 무한대로 담을 수 있다. 우리가 세계의 인증 체인 선도국으로 발돋움할 수 있다는 이야기다. 특히, 이재명 정부는 피지컬 AI의 틈새시장을 노리며 AI 3강 진입을 노리고 있다. 소버린 AI와 같은 원천기술 개발도 중요하지만, AI의 주민등록증인 인증암호 표준 플랫폼을 먼저 완성해 제안하면 어떨까. 1960년대 세계 최초의 주민등록 번호를 만들어낸 것도 우리였다. '시큐리티 코리아'의 분발을 바란다.
 ▲ 노성열 논설위원

 

[ⓒ KPI뉴스. 무단전재-재배포 금지]