핀테크, 간편결제, IoT, 스마트워크…. 이 모든 환경에서 공통으로 요구되는 것이 ‘인증’이다. 비대면 환경에서 본인이 자유로운 의지로 해당 거래를 진행하는 것이라는 사실을 검증하기 위해서는 강력한 보안이 보장된 인증 기술이 필요하다. 어떠한 환경에서도 인증을 수행할 수 있도록 표준을 준수하면서 간편하게 인증이 완료돼야 한다는 요구도 있다. 간편결제가 부상하면서 함께 주목받는 다양한 인증기술을 살펴보고, IoT, 클라우드, 스마트워크 환경에서 이용할 수 있는 방법을 소개한다.<편집자>

FIDO 표준 기반 인증 플랫폼 ‘주목’

FIDO 1.0 인증을 받은 라온시큐어는 PKI 기술과 USIM 스마트인증 기술을 이용해 온라인 간편결제를 위한 인증 플랫폼을 제공할 계획이라고 설명한다.

김태진 라온시큐어 연구개발실장은 “FIDO 인증을 획득하기 위해서는 PKI에 대한 지식이 있어야 하며, FIDO 1.0에서 요구하는 모든 스펙을 이해해야 한다. 라온시큐어는 그동안 PKI 기반 인증서를 제공해왔으며, 스마트폰 USIM칩에 공인인증서를 저장하는 서비스를 제공해 오면서 FIDO 1.0의 인증 요건을 만족시킬 수 있었다”고 설명했다.

라온시큐어의 ‘터치엔 원패스’는 사용자 단말의 인증 결과값을 서버에서 인증할 수 있도록 한다. USIM 스마트인증 서비스를 제공하면서 기반 기술의 안정성을 확보했으며, ETRI와 ‘WebCert 표준 호환성 시험도구’를 공동개발하면서 FIDO 핵심기술을 확보했다. 이어 BC카드와 FIDO 기반 비콘 연동 통한 결제 시범서비스를 구현해 기술의 상용화가 가능하다는 사실을 입증했다.

터치엔 원패스는 공인인증서가 필요한 모든 서비스에 적용될 수 있다. 각종 전자상거래와 인터넷·모바일 뱅킹, 공공기관 민원서비스 등에 사용될 수 있다. ARS를 통한 전화인증, SMS 인증을 대체할 수 있어 금융사가 통신사에 지불하는 비용을 크게 줄일 수 있다.

김 실장은 “SMS, ARS 인증도 안전하지 않다. 스마트폰에 악성코드를 설치해 SMS 정보를 중간에 가로챌 수 있으며, ARS 착신전환으로 사기범이 인증을 수행하는 전자금융사기 수법도 이미 나왔다. FIDO 인증은 사용자가 직접 자신의 단말기에서 인증을 수행하기 때문에 이러한 사기 범죄를 막을 수 있다”고 말했다.

PKI 기술을 공급해 온 기업들은 공인인증서에서 벗어나 다양한 분야에 PKI를 적용하고자 한다. 인증과 전자서명, 무결성 검증 기능을 함께 제공하는 PKI는 모든 거래에서 본인인증과 부인방지 기능을 제공하기 때문에 금융거래를 비롯해 많은 분야에 적용할 수 있다. 중요한 견적서를 보내거나 대금 청구서를 보낼 때, 기밀정보가 포함된 이메일을 전송할 때 등 위변조 방지와 부인방지가 가능한 PKI가 유용하게 사용될 수 있다.

유넷시스템은 PKI 솔루션 ‘트러스트넷(TrustNET)’을 비액티브X 방식의 웹표준 환경에 대응하기 위해 ‘트러스트넷 웹표준 클라이언트’로 새롭게 출시했다. 이 제품은 다양한 OS와 웹브라우저에서 작동하며, 고객사에 최적화해 제공한다.

지문인식, 가장 보편적인 생체인식 기술

생체인식 기술은 SF영화에서 많이 볼 수 있던 것으로, 지문, 얼굴, 홍채, 음성, 정맥 등 다양한 생체정보를 통해 본인을 인증하는 가장 확실한 방법이다. 가짜 실리콘 손가락으로 지문인식 기반 출입통제 시스템을 조작해 출퇴근 시간을 조작하거나 녹음된 파일로 타인이 대신 음성인식을 제공하는 등 생체인식 기술을 우회하는 공격이 나타나기도 했지만, 최근 생체인식 시스템은 사람의 행위나 주변환경에 대한 데이터, 체온, 상황에 따라 조금씩 변화되는 생체 및 주변정보 등을 통해 위조된 신호여부를 알아차린다.

생체인식 중 가장 일반적으로 사용되는 것이 지문이다. 지문인식은 출입시스템에만 일부 사용됐지만, 애플 아이폰 5S가 출시되면서 지문인식을 통한 스마트폰 접근이 가능해졌고, 모바일 뱅킹 이용시 본인인증 수단으로 지문인식 기능을 사용하게 됐다.

국내 지문인식 시장에서 독보적인 선두를 달리고 있는 슈프리마는 스마트폰 제조사, 통신사, 금융권, 사물인터넷 관련 기업들과 다각적인 협력을 맺고 지문인식 기술의 사용처를 다각화하고자 한다.

슈프리마는 생체정보의 특징을 뽑아내는 알고리즘 기술력이 뛰어나며, 지문인식 센서를 소형화하면서 높은 인식률을 제공해 국내는 물론 해외에서도 지문인식 분야의 대표주자로 꼽히고 있다.

생체인식은 본인을 확인하는 것 뿐 아니라 타인이 본인을 가장해 접근하는 것도 막아야 한다. 오인증률과 인식률이 둘다 최소화해야 하는데, 오인증률을 높이면 인식률이 떨어지고 인식률을 높이면 오인증률이 낮아진다는 문제가 있다. 슈프리마는 경쟁제품과 비교했을 때 오인증률, 인식률이 가장 낮으며, 센서 크기도 가장 작고 가격경쟁력도 매우 높은 편이다.

김판희 슈프리마 커뮤니케이션 팀장은 “그동안 슈프리마는 출입통제 시스템, 빌딩보안, 영상감기 등 물리보안에 집중해왔지만, 모바일 보안, 핀테크, 사물인터넷 등 융합보안 시장으로도 적극 확장해 나가려고 한다”며 “세계적으로 가장 뛰어난 생체인식 알고리즘과 센서 기술을 바탕으로 국내외 시장을 적극 개척할 것”이라고 말했다.

OTP 가격으로 제공되는 ‘홍채인식 OTP’

지문인식 다음으로 유망한 기술이 홍채인식이다. 홍채인식은 구축비용이 높기 때문에 고도의 보안을 요구하는 연구소·국방관련 시설 등에 일부 적용됐지만, 수요가 늘어나면서 가격이 낮아지고 활용처가 높아지게 됐다.

KT가 이리언스와 기술 협업으로 IBK기업은행의 인터넷전문은행에 홍채 인식 기술을 공급하기로 하면서 홍채인식을 이용한 인증 상용화가 눈앞에 있는 셈이다. 홍채정보를 은행에 전송하면 대면인증 없이 온라인상에서 인증절차가 완성될 수 있을 것으로 기대된다.

홍채인식 소프트웨어와 하드웨어를 개발하고 있는 아이리시스는 홍채인식 기술을 탑재한 USB와 모바일 애플리케이션을 제공해 새롭게 열리는 홍채인식 시장을 적극 드라이브한다. 아이리시스의 ‘락잇(LOCKIT) USB는 홍채인식을 거쳐야 USB에 담긴 문서를 열 수 있도록 해 중요문서를 안전하게 보호한다.

이 기술을 이용하면 본인인증과 전자서명을 위한 인증장치를 안전한 USB에 저장할 수 있다. 전자금융거래시 홍채인증으로 본인인증을 완료한 후 USB 키를 USB 포트에 연결하면 금융 웹사이트에서 바로 로그인, 송금, 금융결제가 가능하다. USB에 OTP를 내장시켜 2차인증이 필요할 때 일회용 비밀번호를 제공할 수 있다.

생체정보는 USB의 안전한 하드웨어 보안영역에 암호화 돼 저장되며, 이에 접근하기 위해서는 사용자 본인의 홍채정보가 있어야 하기 때문에 USB를 분실해도 생체정보가 유출될 우려가 없다. 기존의 시스템에 변화를 주지 않고 적은 비용으로 적용할 수 있으며, 홍채인식 USB는 OTP 단말과 비슷한 금액으로 공급할 수 있어 비용장벽 없이 사용자를 확보할 수 있다.

아이리시스 관계자는 “홍채는 위변조가 어렵고 가장 높은 정확성을 갖고 있어 생체인식 분야 중 가장 빠르게 상용화 될 것으로 예상한다. 내년에는 홍채정보를 이용한 핀테크 기술이 본격적으로 서비스 될 것으로 기대한다”고 밝혔다.