바이오 인증 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
10번째 줄: | 10번째 줄: | ||
=== 바이오인증 시스템 === | === 바이오인증 시스템 === | ||
바이오인증 시스템은 바이오인증을 수행하는 정보시스템을 | 바이오인증 시스템은 바이오인증을 수행하는 정보시스템을 의미하며, 아래와 같이 크게 4개의 모듈로 구분된다.<ref name='취약점'>바이오정보 사고사례 및 대응방안 조사(금융보안원, 2016.3)</ref> | ||
* 바이오정보 입력부 : 센서를 통해 바이오정보를 취득 | * 바이오정보 입력부 : 센서를 통해 바이오정보를 취득 | ||
* 특징 추출부: 취득된 바이오정보로 부터 특징정보를 | * 특징 추출부: 취득된 바이오정보로 부터 특징정보를 추출 | ||
*특징 저장소: 특징정보 및 개인정보 등을 저장하는 저장소 | * 특징 저장소: 특징정보 및 개인정보 등을 저장하는 저장소 | ||
*특징 정합부: 저장된 특징정보와 새로 입력된 특징정보를 비교하여 인증여부를 결정 | * 특징 정합부: 저장된 특징정보와 새로 입력된 특징정보를 비교하여 인증여부를 결정 | ||
=== 바이오인증의 정확도 기준 === | |||
===바이오인증의 정확도 기준=== | |||
* 부정 거부율 (FRR: False Rejection Rate) | * 부정 거부율 (FRR: False Rejection Rate) | ||
**본인 거부율이라고도 한다. | ** 본인 거부율이라고도 한다. | ||
**인식되어야 할 사람이 얼마나 자주 시스템에 의해서 인식되지 않는지를 나타낸다. | ** 인식되어야 할 사람이 얼마나 자주 시스템에 의해서 인식되지 않는지를 나타낸다. | ||
* 부정 허용률 (FAR: False Acceptance Rate) | * 부정 허용률 (FAR: False Acceptance Rate) | ||
**타인 허용률이라고도 한다. | ** 타인 허용률이라고도 한다. | ||
**인식되어서는 안 될 사람이 얼마나 자주 시스템에 의해서 인식이 되는지를 나타낸다. | ** 인식되어서는 안 될 사람이 얼마나 자주 시스템에 의해서 인식이 되는지를 나타낸다. | ||
*CER (Crossover Error Rate), ERR (Equal Error Rate) | * CER (Crossover Error Rate), ERR (Equal Error Rate) | ||
**FRR와 FAR이 만나는 지점으로서 효율성 및 생체 인증의 척도이다. | ** FRR와 FAR이 만나는 지점으로서 효율성 및 생체 인증의 척도이다. | ||
*'''사용 예시''' | * '''사용 예시''' | ||
** 스마트폰 내 지문인식 장치의 FAR은 1/50,000을 지원하여야 하며, FRR은 2~3% 이하를 지원하여야 한다.<ref>바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인, KISA</ref> | ** 스마트폰 내 지문인식 장치의 FAR은 1/50,000을 지원하여야 하며, FRR은 2~3% 이하를 지원하여야 한다.<ref>바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인, KISA</ref> | ||
===바이오인증의 취약점=== | === 바이오인증의 취약점 === | ||
바이오인증 시스템의 취약점은 크게 8가지로 분류 가능하다.<ref name= | 바이오인증 시스템의 취약점은 크게 8가지로 분류 가능하다.<ref name='취약점'/> | ||
#위조지문, 고해상도 사진 등 위조된 바이오정보를 센서에 입력하여 인증을 우회 | # 위조지문, 고해상도 사진 등 위조된 바이오정보를 센서에 입력하여 인증을 우회 | ||
#저장소에 침투하여 기 저장된 바이오정보를 조작, 삭제, 유출 | # 저장소에 침투하여 기 저장된 바이오정보를 조작, 삭제, 유출 | ||
# 불법 취득한 바이오정보를 재생(replay)하여 인증 | # 불법 취득한 바이오정보를 재생(replay)하여 인증 | ||
#위조된 특징정보를 임의로 생성 | # 위조된 특징정보를 임의로 생성 | ||
#정상적인 특징정보를 임의의 위조된 특징정보로 대체 | # 정상적인 특징정보를 임의의 위조된 특징정보로 대체 | ||
#특징 정합부에서 인증 결과값을 임의로 변경 | # 특징 정합부에서 인증 결과값을 임의로 변경 | ||
#최종 인증결과를 조작 | # 최종 인증결과를 조작 | ||
#저장소에서 정합부로 전송되는 특징정보를 절취 또는 타인의 정보로 대체 | # 저장소에서 정합부로 전송되는 특징정보를 절취 또는 타인의 정보로 대체 | ||
===바이오인증의 사고 사례=== | === 바이오인증의 사고 사례 === | ||
바이오인증 사고사례 조사 결과, 바이오정보 위조(1) 및 바이오정보 유출(2)이 대부분을 차지한다.<ref name= | 바이오인증 사고사례 조사 결과, 바이오정보 위조(1) 및 바이오정보 유출(2)이 대부분을 차지한다.<ref name='취약점'/> | ||
*근태관리 악용(2015. 2) | * 근태관리 악용(2015. 2) | ||
**경북지역 소방 공무원 3명이 2012년부터 2년간 실리콘으로 제작한 위조지문을 이용하여 근태관리용 지문인식단말기에 부정 인식하여 초과근무수당 수령 | ** 경북지역 소방 공무원 3명이 2012년부터 2년간 실리콘으로 제작한 위조지문을 이용하여 근태관리용 지문인식단말기에 부정 인식하여 초과근무수당 수령 | ||
**근태관리용 단말을 정맥인식 방식으로 교체 예정 | ** 근태관리용 단말을 정맥인식 방식으로 교체 예정 | ||
* 불법 부동산 명의 이전(2014. 10) | * 불법 부동산 명의 이전(2014. 10) | ||
**박모씨 등 4명은 중국 위조범에 의뢰하여 3D프린터를 이용한 실리콘 위조지문을 제작 | ** 박모씨 등 4명은 중국 위조범에 의뢰하여 3D프린터를 이용한 실리콘 위조지문을 제작 | ||
**주민센터의 지문센서가 위조여부를 탐지하지 못해 인감증명서 등 필요서류를 발급받아 50억대 부동산을 불법으로 명의 이전 | ** 주민센터의 지문센서가 위조여부를 탐지하지 못해 인감증명서 등 필요서류를 발급받아 50억대 부동산을 불법으로 명의 이전 | ||
*사진으로부터 지문복제(컨퍼런스 시연, 2014. 12) | * 사진으로부터 지문복제(컨퍼런스 시연, 2014. 12) | ||
**독일의 해커단체 CCC는 독일 국방장관의 기자회견 사진 등 여러 각도의 사진 및 VeriFinger 소프트웨어를 이용하여 지문 복제 | ** 독일의 해커단체 CCC는 독일 국방장관의 기자회견 사진 등 여러 각도의 사진 및 VeriFinger 소프트웨어를 이용하여 지문 복제 | ||
*사진으로부터 홍채, 지문 복제(Print attack)(컨퍼런스 시연, 2014. 4, 2017.5 등) | * 사진으로부터 홍채, 지문 복제(Print attack)(컨퍼런스 시연, 2014. 4, 2017.5 등) | ||
**독일의 해커단체 카오스컴퓨터클럽(CCC)는 구글검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력하여 홍채 복제 | ** 독일의 해커단체 카오스컴퓨터클럽(CCC)는 구글검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력하여 홍채 복제 | ||
**레이저 프린터 홍채 사진을 이용해 갤럭시 S8의 홍채인증 통화 시연(2017.5) | ** 레이저 프린터 홍채 사진을 이용해 갤럭시 S8의 홍채인증 통화 시연(2017.5) | ||
**독일 국방장관의 기자회견 사진 등을 이용해 지문을 복제<ref> | ** 독일 국방장관의 기자회견 사진 등을 이용해 지문을 복제<ref> | ||
[금융인사이드]"바이오인증 편하긴 한데"…여전히 불안(2017.6), 이데일리</ref> | [금융인사이드]"바이오인증 편하긴 한데"…여전히 불안(2017.6), 이데일리</ref> | ||
*삼성 갤럭시S5 잠금장치 해제(동영상 시연, 2014. 4) | * 삼성 갤럭시S5 잠금장치 해제(동영상 시연, 2014. 4) | ||
**독일의 시큐리티리서치랩스는 목재용 접착제에 사용자 지문을 복제하여 지문인식 잠금장치 해제 | ** 독일의 시큐리티리서치랩스는 목재용 접착제에 사용자 지문을 복제하여 지문인식 잠금장치 해제 | ||
**위조지문을 이용해 갤럭시 S5와 연동된 페이팔(PayPal) 결제도 가능 | ** 위조지문을 이용해 갤럭시 S5와 연동된 페이팔(PayPal) 결제도 가능 | ||
*아이폰 6/5S 지문인식 잠금장치 해제(동영상 시연, 2014. 9 아이폰6, 2013. 9 아이폰5S) | * 아이폰 6/5S 지문인식 잠금장치 해제(동영상 시연, 2014. 9 아이폰6, 2013. 9 아이폰5S) | ||
**고해상도 사진을 이용하여 실리콘으로 위조지문을 제작, 아이폰 6/5S의 지문인식 잠금장치 해제 | ** 고해상도 사진을 이용하여 실리콘으로 위조지문을 제작, 아이폰 6/5S의 지문인식 잠금장치 해제 | ||
*지문인식 지불시스템 해킹(2008, 2) | * 지문인식 지불시스템 해킹(2008, 2) | ||
**네덜란드 최대의 식료품 체인업체가 지문인식 지불시스템(Tip2Pay)을 도입하였으나, 실리콘으로 제작한 위조지문을 탐지하지 못해 정상 적으로 대금을 결제 | ** 네덜란드 최대의 식료품 체인업체가 지문인식 지불시스템(Tip2Pay)을 도입하였으나, 실리콘으로 제작한 위조지문을 탐지하지 못해 정상 적으로 대금을 결제 | ||
* 차량 절도를 위한 손가락 절단(2005. 3) | * 차량 절도를 위한 손가락 절단(2005. 3) | ||
**말레이시아 4인 강도는 지문인식시스템이 도입된 벤츠 S-클래스 차량을 절도하기 위해 회계사 Kumaran의 손가락을 절단 | ** 말레이시아 4인 강도는 지문인식시스템이 도입된 벤츠 S-클래스 차량을 절도하기 위해 회계사 Kumaran의 손가락을 절단 | ||
**해당 지문인식시스템이 살아있는 생체조직 여부를 판별하는 기능을 탑재하고 있어, 절단한 손가락으로 차량구동이 불가하여 검거 | ** 해당 지문인식시스템이 살아있는 생체조직 여부를 판별하는 기능을 탑재하고 있어, 절단한 손가락으로 차량구동이 불가하여 검거 | ||