고성능 PC 없이도 단독으로 이용할 수 있는 독립형 가상현실 헤드셋 오큘러스 퀘스트나 선글라스 같은 소형 가상현실 헤드셋이 등장하면서 가상현실과 증강현실을 지원하는 HMD 존재는 급속하게 가까워지고 있다. 이들 HMD를 보급하는 문제 중 하나는 공공장소에서 HMD를 사용할 때 보안 인증은 어떻게 하면 좋을지다. 이에 대해 새로운 보안 인증 시스템인 ZeTA(Zero-Trust Authentication)가 제안되어 눈길을 끈다.
요즘 나오는 HMD 중에선 손 움직임과 음성 인식 기능을 갖춘 것도 있다. 따라서 인증 시스템으로 몸짓이나 가상 키보드를 이용한 PIN 코드 입력이나 음성 등을 통한 생체 인식 등이 고안되어 있기도 하다.
하지만 손 움직임과 음성을 이용한 인증 시스템은 공공장소에서 사용하면 쉽게 도난될 수 있다는 문제가 있다. 그 밖에 머리와 신체 움직임을 이용한 생체인식 시스템 등도 고안되어 있지만 이런 시스템을 채택하면 추가 장치가 필요하거나 다른 사람이 HMD를 사용할 수 없게 되어버릴 수도 있다.
독일 카를스루에공과대학 보안 연구 기관(SECUSO) 연구팀은 지난 7월 22일 발표한 논문을 통해 ZeTA를 이용한 VR/AR 인증 시스템 구조를 제창했다. ZeTA는 연구팀이 2016년 발표한 논문에서 언급한 개념으로 인증 프로세스에 사용하는 장치와 통신 환경이 신뢰할 수 없지만 보안 안전은 확보할 수 잇다는 걸 골자로 한 인증 프로토콜이다.
먼저 사용자가 계정을 만들면 ZeTA 암호 대신 간단한 비밀을 사용자에게 제공한다. ZeTA에 사용되는 비밀은 예를 들어 노란 바퀴나 파란색이면서 녹색은 아닌 등 2개 이상 개념과 개념간 관계로 이뤄져 있다. 또 계정을 생성할 때에는 보안이 확보되어 있는 장치와 통신 환경이 필요하다.
HMD를 이용하는 사용자가 실제로 인증을 받으려면 ZeTA가 간단한 과제를 제시하고 사용자는 이에 대해 예나 아니오로 답한다. 예를 들어 비밀이 노란바퀴라면 과제로 해바라기가 나오고 해바라기는 보통 노란 꽃이기 때문에 답은 예다. 이런 질문을 몇 차례 해 사용자가 올바르게 답하면 인증이 완료된다.
이 방법을 이용하면 인증 프로세스에서 교환되는 정보는 해바라기와 네 같은 단어 뿐이며 정작 비밀이 직접 전달되는 건 아니다. 따라서 암호 자체를 교환하는 인증 시스템보다 안전하고 손 움직임을 훔쳐볼 수 있는 공공 장소나 통신이 침해될 우려가 있는 무료 와이파이 등 통신 환경에서도 서버만 무사하면 안전 인증할 수 있다.
1번 질문에 예, 아니오 택일이기 때문에 50% 확률이지만 질문 횟수가 거듭되기 때문에 위장 가능성을 줄일 수 있다. 연구팀은 만일 1번 답변에 실수도 허용하지 않는 설정이라면 14번 질문에서 일반적인 PIN 코드와 같은 수준의 안전성을 확보할 수 있다고 밝히고 있다.
사용자 지식을 기반으로 한 ZeTA는 간단한 질문으로 인증을 할 수 있는 반면 문화적 인식차가 걸림돌이 될 수 있다. 예를 들어 해바라기는 흰색과 빨간색으로 보이는 품종도 있기 때문에 해바라기가 노란색이 아니라고 생각하는 사람도 있을 수 있다. 연구팀은 앞으로 다양한 문화간 차이에 주목한 접근 방식으로 ZeTA의 용이성과 보안간 균형을 평가해나갈 예정이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.