IT(정보기술) 및 금융 서비스에서 주목받는 생체인증이 일상 기술의 발달로 뜻밖의 곤욕을 겪고 있다.

생체인증이란 사람의 홍채, 지문, 음성 등을 비밀 번호 대신 쓰는 보안 체제다. 애초 이 인증법은 위조ㆍ해킹이 어렵다는 평이 지배적이었지만, 디지털카메라나 인공지능(AI) 등 우리 삶에서 흔해진 기술이 신체 일부를 복제하는 데 악용되며 '철통 보안' 이미지가 흔들리고 있다.

26일 IT 업계에 따르면 최근 독일의 해커그룹 카오스컴퓨터클럽(CCC)은 삼성전자의 간판 스마트폰인 갤럭시 S8의 홍채 보안인증을 뚫는 동영상을 공개해 국내외에 큰 반향을 일으켰다.

표적이 된 사용자의 눈을 디지털카메라의 야간 촬영 모드로 찍어 눈동자 이미지를 빼돌리고, 이후 이 사진에 콘택트렌즈를 붙여 '가짜 눈'을 만들면 단말기 잠금을 풀 수 있다는 얘기다.

갤럭시 S8의 홍채인식 센서가 적외선으로 작동한다는 점을 노려, 적외선 기반의 디지털카메라의 야간 모드를 썼다.

이렇게 찍은 복제한 눈동자 이미지에 렌즈만 얹어도 기계가 진짜 사람의 홍채로 착각한다는 것이다.

음성 인식도 논란거리다. 대화형 서비스에 꼭 필요한 AI 음성 합성 기술이 잠금장치를 깨는 데 악용될 수 있다.

음성 합성은 특정 인물의 육성 데이터가 있으면 이 사람처럼 들리는 목소리를 합성할 수 있다. 국내에서는 특히 양대 포털인 네이버와 카카오가 AI 음성 합성 기술의 개발에 적극적이다.

네이버는 배우 유인나의 목소리를 합성한 오디오북을 작년 8월 공개했고 카카오는 뉴스를 손석희 앵커의 목소리로 읽어주는 시범 서비스를 2015년 4월 선보인 바 있다.

문제는 이런 기술이 동영상이나 통화 파일에서 데이터를 추출해 불법 목소리 복사를 하는데도 쓰일 수 있다는 것이다.

영국 주간지 이코노미스트는 지난달 기사에서 5분가량의 육성을 추출해 만든 가짜 목소리로도 음성 보안 소프트웨어(SW)의 80% 이상이 뚫린다는 미국의 연구 결과를 거론하며 음성 인식 체제가 근본적으로 위험하다고 지적하기도 했다.

그러나 국내 IT 업계에서는 이런 우려로 생체 인식 기술을 포기하기는 아직 이르다는 주장도 만만찮다. 생체 인식만큼 쓰기 편하고 일정 수준 이상의 보안성을 보장하는 기술도 드물다는 이유에서다.

고려대 정보보호대학원의 임종인 교수는 "센서의 인식 정확도를 대폭 높여 위조시도를 잡아내고, 비밀번호 등 다른 보안 수단을 혼용하는 조처로 문제를 극복할 수 있다"고 설명했다.