생체 정보를 출입통제, 금융 거래 등에서 사용하려면 신뢰도가 매우 높아야 한다. 내 생체정보를 다른 사람으로 잘못 인식하거나, 내 생체정보를 인식하지 못하는 경우가 발생하면 일반적인 사용에 불편함을 느끼게 되고, 더 나아가서는 많은 문제가 발생하기 때문이다. 생체 정보의 신뢰성을 말하는 기준이 있는데 가장 많이 사용하는 수치로는 FAR과 FRR이 있다.
FAR(인식오류)이란 False Acceptance Rate 로 등록되지 않은 사람을 등록된 사람으로 오인하거나 등록된 사람 A를 등록된 사람 B로 인식하는 등의 인식 오류를 말한다.
FRR(인식거부)이란 False Rejection Rate 로 정상적으로 등록된 사람의 정보를 저장된 DB에서 정보를 찾지 못해서 등록된 사용자가 아니라고 인증을 거부하는 것을 말한다.
인식거부(FRR)는 생활속에서도 쉽게 경험할 수 있는데, 지문으로 주민센터에서 증명서를 발급받을 때나, 회사 출입할 때 지문이 인식되지 못하는 경우이다. 그런데, 이와 같은 경우 2~3회 반복하여 시도하면 인식되는 경우가 대부분이고, 인식이 되지 않아서 출입을 허가하지 않는 것이기 때문에 다소 불편하긴 하지만 RFID카드 등으로 출입이 가능하기 때문에 큰 문제가 발생하지 않는다. 그러나 인식오류(FAR)는 허가 받지 않은 사람을 허가 받은 사람으로 오인을 하는 것이므로 허가 받지 않은 사람이 출입을 하게 됨으로 문제가 발생할 여지가 크다. 사업장에서는 급여 관리, 근태 관리로 사용하기도 하고, 사람에 따라 출입 가능한 권한도 다르기 때문에 많은 문제가 발생할 수 있다.
RFID 카드, NFC의 경우 디지털 방식이고, 카드마다 고유의 난수를 입력하여 사용한다. 이런 난수 발생방법은 규칙이 있으며, 국가별로 또는 회사별로 할당된 영역 내에서 카드에 난수를 발생하여 집어넣기 때문에 국제적으로 이 기준만 따르면 제작 회사가 다르더라도 중복되는 경우가 발생하지 않는다. 따라서 제작과정에서 실수로 중복된 카드를 제작하거나, 제작된 카드로 복제 카드를 만들지 않는 이상 등록되지 않은 다른 카드로 출입이 가능한 경우는 발생하지 않는다. 그리고, 카드의 회로가 물리적으로 손상된 경우를 제외하고는 인식거부도 발생하지 않는다.
생체정보는 디지털 정보가 아닌, 아날로그 정보를 디지털로 변환하여 인증하는 방식이기 때문에 필연적으로 인식 거부와 인식오류가 발생할 수밖에 없다. 사용하는 생체 정보에 따라서도 인식오류는 많은 차이가 나는데, 각 신체 부위에서 추출 가능한 정보의 량에 따라서 차이가 나는 것이다.
현재 기술을 기준으로 음성의 경우 1/500, 지문은 1/10,000, Apple Touch ID 지문은 1/50,000, 얼굴 인식 1/100,000, 홍채 1/500,000 정도이다. DNA 분석의 경우 비용과 시간도 많이 걸리지만 1/800,000,000,000,000 이다.( What Every CISO, Product Strategist, or Consumer Needs to Know About Biometric Recognition for MFA 발표기준)
사실 이러한 값은 특정 인식 기술을 기준으로 말하는 것이기 때문에 생체정보 뿐 아니라 인식 기술에 따라서 큰 차이가 있다. 위에 표를 보면 같은 지문을 이용하더라도 일반적인 지문 인식 방식과 Apple의 Touch ID의 인식 오류에는 5배 정도 차이가 나듯이 사용하는 프로그램의 알고리즘에 따라서도 인식오류 수준은 많은 차이가 난다.
쉽게 말하면 네이버나 구글 등 검색 엔진에서 동일한 검색어를 넣더라도 검색 결과는 많은 차이가 나듯이, 생체 인식 알고리즘도 마찬가지로 회사마다 다른 생체 인식 알고리즘을 사용하기 때문에 차이가 날수 밖에 없는 것이다.
얼굴인식을 예를 들면 눈과 눈사이, 눈썹 길이, 인중, 입술 두께, 얼굴 윤곽 등의 정보로 동일인인지를 인식하는데 이용하는데, 인식에 사용하는 부위가 많을수록, 같은 부위라도 정교하게 인식할수록 인식오류의 신뢰도는 높아지는데, 문제는 많은 부분을 인식 할수록 인식하는데 시간이 길어지고, 인식거부가 되는 경우 또한 많아진다.
그렇다고, 인식하는 부위를 적게, 단순화하면 인식거부가 되는 경우는 적어지는데, 인식오류 또한 많아진다. 인식하는 속도도 차이가 생기므로 인식거부와 인식오류가 최적화 되는 점을 결정하여 알고리즘을 개발 해야한다. 이러한 최적화 기준은 회사마다 기술이 다르고 우선순위가 다르므로 어떤 회사의 방식이 가장 적합하다고 말하기 힘들다.
일부 생체 인식 프로그램의 경우 관리 프로그램에서 인식 수준을 조절할 수도 있는데, 설치 장소가 대형 건물의 여러 회사가 함께 출입하는 1층의 스피트 게이트처럼 단순 인증을 하여 통과시키는 수준이면 빠르게 인식하고 인식 거부를 낮추면 되고, 각 층의 회사의 출입문처럼 보안이 중요하여 확실한 출입 통제가 필요하거나, 출퇴근 근태 관리, 임금 산정 등을 해야하는 경우라면 정교하게 인식하게 하여 인식 속도가 조금 더 걸리더라도 정확한 인식이 필요하도록 하게 하면 된다.
보안을 높이는 방법은 다른 방식도 있는데, 홍체의 경우 인식오류가 1/500,000 정도인데, 한쪽 홍채가 아닌 양쪽 홍채를 모두 인증해야 권한을 부여할 경우 왼쪽 1/500,000 X 오른쪽 1/500,000 이므로 인식 오류는 250,000,000 로 높아지게 된다. 이렇듯 멀티 인증을 도입하면 보다 완벽한 출입 권한 등을 부여할 수 있다.
앞으로 고성능 카메라 등 인식 장치의 성능 향상과 개발로 같은 생체 정보를 이용하더라도 나를 다른 사람으로 오인하는 경우(FAR)는 거의 발생하지 않을 것이며, 인식이 되지 않아 거부하는 경우(FRR)도 거의 발생하지 않을 것이다. 또한 CPU의 발달과 알고리즘의 개선으로 인식 속도도 매우 빠르게 개선될 것이다.
석기 시대에서 철기 시대로 바뀐 것은 석기보다 훨씬 편리한 도구인 철기를 만들 수 있는 기술이 생겼기 때문이다. 결국, RFID 카드, NFC, 번호키 등의 개인 인식 방법은 생체 정보 인식 기술의 발달로 사라지게 될 것이다.
한상준 joon@ctstechno.com 무인 보안 솔루션 회사인 씨티에스테크놀러지 대표이사. 생체 보안과 IoT를 접목시키는 사업을 하고 있다. 한글과컴퓨터, 이미지 클릭 등 IT 분야에서 20년 넘게 일하고 있다. 80년 말에 컴퓨터 통신을 시작한 1세대 통신인. 대학생 때부터 새로운 HW와 SW를 사용하고 분석하여 잡지사 신문사 등에 기고하며 얼리아답터 활동을 하고 있다. IT 분야 뿐 아니라 아마추어 마라토너, 요리 등 다양한 취미 생활과 관심 분야의 자료를 모으고, 분석하고 정리하여 글로 남기고있다.