바이오정보 템플릿 재발급 기술 조사 [금융보안원]

바이오정보 템플릿 재발급 기술 조사 [금융보안원]

작성자관리자 등록일2016.04.25

 

http://www.fsec.or.kr/Board.do?command=dataView&board_mng_idx=7&board_idx=130&pageNum=1&searchKey=All&searchVal=

 

제목 : 바이오정보 템플릿 재발급 기술 조사

배포일 : 2016년 4월 22일

문의 : 보안기술팀

 

 

메일링 서비스를 신청하시면 등록되는 연구보고서를 이메일로 수신하실 수 있습니다.

메일링 서비스는 무료이며, <메일주소> 를 정보보호동향 이메일주소로 보내주시면 신청이 완료됩니다.

보내주신 정보는 메일링 서비스를 위해서만 활용 되며, 메일링 서비스를 해지하고 싶은 경우에는 해지신청 메일을 보내주시면 언제든지 해지하실 수 있습니다.

 

- 정보보호동향 메일주소 : research@fsec.or.kr

 

 

  - 1 -
바이오정보 템플릿 재발급 기술 조사
(보안연구부 보안기술팀 / 2016.4.22.)
□ 개 요
o 최근 금융거래시 바이오인증이 본격 도입되고 있지만, 바이오정보는 도난·
유출될 경우 패스워드 등 다른 인증정보와 달리 자유로운 갱신 불가
o 이에 바이오정보가 유출되더라도 이를 폐기하고 새로운 템플릿*을 재발급
(Renewable)할 수 있는 템플릿 재발급 기술의 개요 및 기법들에 대해 조사
* 센서로 부터 취득된 바이오정보 원본(지문, 얼굴 이미지 등)에서 추출한 특징정보
(feature)들의 집합으로 바이오정보 비교 시 직접 비교되는 대상
□ 바이오정보 템플릿 재발급 기술
o (필요성) 템플릿 저장 및 전송 시 유출 위협에 대한 대응하기 위해, 템플릿을
이용해 인증 정보*를 생성 후, 템플릿은 즉시 폐기하여 저장 및 전송되지
않도록 보호하는 방안 필요
* 템플릿과 무관하거나, 템플릿을 역추출할 수 없어야 함
o (현황) 바이오인증 관련 표준 및 가이드라인1)에서 템플릿 저장 및 전송 시
위협에 대한 주요 대응책으로 바이오정보 템플릿 재발급 기술 요구
※ 바이오인증 보안위협 및 대응방안은‘금융보안원, 바이오정보 사고사례 및 대응방안 조사, 2016.3.4.’
참고
o (기술 개요) 비교 단계에서 원본 템플릿을 그대로 사용하지 않고, 보조데이터
(Auxiliary Data, AD)를 통해 새로운 비교정보(이하 ‘비교정보’)를 생성 및 비교
- (비교정보) 템플릿을 대신하여 바이오정보 비교 시 실제 비교되는 정보
- (보조데이터) 바이오정보 등록 및 인증 시, 비교정보 생성(복구)에 필요한 정보
1) 금융보안원, 금융서비스 바이오정보 인증·관리 가이드라인, 2016.2.
ISO/IEC 24745, Biometric information protection, 2011., KS X ISO/IEC 24745, 생체인식 정보보호, 2014.
보안연구부-2016-019

- 2 -
<템플릿 재발급 기술 개요>
o (기술 분류) 보조데이터 및 비교정보 형태 등에 따라 크게 2가지로 분류2)
<템플릿 재발급 기술 분류>
- (특징 변환) 템플릿에 보조데이터(암호화 키 등)를 추가하여 암호화 및 해시
(hash) 변환 값을 비교정보로 사용*
* 인증 시에는 인증 요청자의 템플릿도 보조데이터와 함께 암호화하여 암호화된 두 템플릿,
즉 비교데이터를 비교
<특징 변환 방식 개요>
2) Anil K. Jain, et al., Biometric Template Security, EURASIP Journal on Advances in Signal Processing, 2008.

- 3 -
세부 분류 비교정보 보조데이터 비교정보 재발급 대표 기술
솔팅 및
바이오해싱
암호화된 템플릿 암호화 키
키 교체
- 암호화 토큰
- 바이오 해싱
역변환 불가 변환 템플릿의 해시 값 해시 키 - 강인한 특징점 해시
※ 대표 기술 세부내용은「KS X ISO/IEC 24745, 생체인식 정보보호, 2014」의‘부속서 D’참고
- (바이오정보 암호방식) 비교정보로 키 형태의 비밀 문자열을 생성 및 사용
하고, 보조데이터를 사용하여 비교정보를 안전하게 보호*
* 인증 시에는 인증 요청자의 템플릿과 보조데이터를 결합하여 비교정보를 복구 및 비교하는 방식
<바이오정보 암호방식 개요>
세부 분류 비교정보 생성 보조데이터 생성 비교정보 재발급 대표 기술
키 바인딩
임의 생성
(템플릿과 의존성 X)
비교정보와
템플릿 결합
(바인딩) 키(비교정보)
재생성
- 퍼지 볼트
- 보안 스케치
키 생성
템플릿 및
보조데이터로부터 생성
템플릿으로부터
유도
- 퍼지 추출기
o (장.단점 비교) 템플릿 재발급 기술별 비교정보 및 보조데이터의 생성 방식
및 형태 등에 따라 서로 다른 장.단점 존재
대분류 소분류 장점 단점
특징변환 솔팅
- 이용자 및 애플리케이션별 독립적인
비교정보 생성 가능
- 비교정보가 유출될 경우, 다른 키를
사용하여 손쉽게 재발급 가능
- 하나의 키라도 유출될 경우, 원본
템플릿까지 유출 가능
- 두 템플릿을 암호화한 후에 비교하기
때문에 바이오정보 인식 성능이 낮을
경우 비교 결과의 신뢰성이 저하됨

- 4 -
o (주요 보안요구사항) 템플릿 재발급 기술 방식에 따라, 보안요구사항 상이
대분류 소분류 주요 보안요구사항
특징변환
솔팅 및
바이오해싱
대칭키 암호화 방식 등이 사용하며, 암호화 알고리즘이 공개되기
때문에 암호화 키를 안전한 방식으로 저장 및 전송해야함
역변환 불가
변환
해시 알고리즘의 역변환 불가 성능에 의존적이기 때문에 해시 값
충돌 위협으로부터 안전한 알고리즘을 사용*해야함
* MD5 및 SHA-1 등 충돌 위험이 있는 것으로 알려진 알고리즘 사용 자제
바이오정보
암호방식
키 바인딩
보조데이터로부터 템플릿 및 비교정보의 역추출이 불가능해야함
키 생성
- (공통 보안요구사항) 비교정보와 보조데이터 둘 중 하나라도 유출될 경우,
인증 우회가 가능할 수 있기 때문에 두 정보를 논리.물리적 분리 저장,
또는 보조데이터를 별도 보안 토큰(스마트카드, USIM 등) 내 저장 필요
역변환
불가
변환
- 역변환이 어려운 해시 변환을 하기
때문에 보조데이터(키)가 유출되어도
원본 템플릿은 안전
- 이용자 및 애플리케이션별 독립적인
비교정보 생성 가능
- 비교정보가 유출될 경우, 다른 키 및
변환 방식을 사용하여 손쉽게 재
발급 가능
- 일반적으로 해시 알고리즘의 역변환
불가성이 높을수록, 동일 주체의
비교정보가 서로 다른 주체의 것으로
판정될 가능성도 높음(역변환 불가성과
신뢰성간의 트레이드오프 존재)
바이오정보
암호방식
키
바인딩
- 오차 수정 기능이 존재하여, 센서에서
인식된 동일 주체의 바이오정보 간에
일부 차이(노이즈)가 존재해도 동일
주체로 판단 가능
- 오차 수정 기능으로 인해, 다른 주체의
템플릿이 동일 주체의 것으로 판단될
수 있음(신뢰성 저하)
- 기본적으로 바이오정보 암호방식은
재발급성을 고려하지 않기 때문에
특징 변환 방식 등과 통합 필요
키
생성
- 템플릿에서 비교정보를 직접 추출하는
경우, 기타정보들에 대한 관리 및
보안이 불필요
- 재발급 전/후 비교정보간 유사성이
높을 수 있으며, 유출된 비교정보로도
인증 가능할 수 있음
- 기본적으로 바이오정보 암호방식은
재발급성을 고려하지 않기 때문에
특징 변환 방식 등과 통합 필요

- 5 -
□ 결론 및 시사점
o 재발급 가능한 템플릿 기술은 바이오정보 유출에 대한 대응방안으로서 중요성
및 필요성이 강조되고 있지만, 현재는 여러 방식의 연구*가 개별적으로
진행되고 있는 상태
- 각 기술별로 기술적 한계 보완 및 보안성 강화를 위한 연구가 계속 진행 중
o 금융권 바이오인증 시 이용자 바이오정보 유출 사고로 인한 피해를
최소화하기 위해, 템플릿 재발급 기술에 대한 표준화 및 다각적 기술
검토 등의 노력이 필요함