지문인식 전자인증은 지문인식 모듈과 인증서를 내장한 지문인식 보안토큰(이후 지문 보안토큰)을 사용한다.
보안토큰은 스마트카드칩을 내장해 전자서명 생성키 등의 개인정보가 외부로 나가지 않도록 하드웨어적으로 구현해 공인인증서를 안전하게 보관할 수 있다. 보안토큰 자체가 인증서를 해킹으로부터 안전하게 보관 가능하지만 보안토큰은 비밀번호만 알면 누구나 보안토큰 내 인증서를 이용해 전자서명을 할 수 있는 보안상의 취약점을 안고 있다.
하지만 지문 보안토큰은 지문인식 기술을 접목함으로써 지문 정보로 본인임을 확인한 후에만 보안토큰 내 공인인증서 사용이 가능하다. 본인만의 바이오 정보로 본인임을 인증할 수 있기 때문에 보안 토큰 대여를 원천적으로 방지할 수 있는 효과를 지니고 있다.
조달청 민원실에서 지문 등록을 하게 되면 사용자의 지문 정보는 조달청의 서버에 저장되는 것이 아니라 개인의 바이오정보 보호를 위해 지문 보안토큰에 직접 저장되고 이 지문 정보는 사용자가 지문 보안토큰을 사용하고자 지문 인증을 수행할 때만 사용된다.
지문 보안토큰의 지문 등록은 조달청 민원실에서만 할 수 있다. 조달청 민원실에서 신원확인을 거친 사용자의 지문 정보를 지문 보안토큰에 저장하기 때문에 타인의 불법적인 지문등록을 방지한다. 지문을 등록할 때 조달청 지문 보안토큰에 등록한 보안토큰임을 검증하는 인증 정보가 함께 저장된다. 실제 입찰에서는 이를 검증해 정상적으로 조달청이 인증한 보안토큰이 아니면 투찰할 수 없다.
지문 보안토큰은 불법 입찰이 원천적으로 불가능하지만 만약 지문 보안토큰이 위조 지문에 취약하면 위조 지문을 악용해 불법 입찰에 쓸 가능성이 있다. 조달청은 이러한 문제점을 사전 차단하기 위해 해당 지문 보안토큰에 위조 바이오 인조물 저항성 시험을 수행, 위조 지문을 판별하는 기능이 뛰어난 제품만을 선정했다.
현재 사용 중인 지문 보안토큰에 사용한 지문인식센서는 지문의 표피가 아닌 진피층의 이미지를 획득해 종이, 실리콘, 고무 등으로 제작한 위조 지문으로는 지문 인증을 하지 못한다.
지문 외에도 각종 바이오 정보를 보안토큰에 활용 가능하다. 홍채·지문·안면·음성 등 바이오 정보를 인식 방법으로 적용할 수 있다. 현재는 지문인식 보안토큰 제품만 상용화된 상태다. 지문인식 기술이 다른 바이오인식 기술보다 보급률이 높고, 지문인식 센서가 다른 바이오인식 센서보다 크기가 작아 보안토큰에 사용하기 적합하기 때문이다.
이경원기자 won@etnews.co.kr