핀테크, 간편결제, IoT, 스마트워크…. 이 모든 환경에서 공통으로 요구되는 것이 ‘인증’이다. 비대면 환경에서 본인이 자유로운 의지로 해당 거래를 진행하는 것이라는 사실을 검증하기 위해서는 강력한 보안이 보장된 인증 기술이 필요하다. 어떠한 환경에서도 인증을 수행할 수 있도록 표준을 준수하면서 간편하게 인증이 완료돼야 한다는 요구도 있다. 간편결제가 부상하면서 함께 주목받는 다양한 인증기술을 살펴보고, IoT, 클라우드, 스마트워크 환경에서 이용할 수 있는 방법을 소개한다.<편집자>

‘생체행위정보’, 생체인식 부정적 인식 해결

지문인식, 홍채인식, 안면인식 등은 생체정보 자체를 인식하고 비교하는 방식으로, 생체정보가 유출된다면 큰 피해를 입을 수 있게 된다. FIDO 표준에서는 생체정보를 사용자 단말의 안전한 영역에 암호화 해 보관하고, 사용자의 생체정보를 암호화 키로 사용해 사용자가 직접 조작하지 않으면 접근할 수 없도록 했다. 또한 인증정보는 해시값으로 변환돼 인증서버로 저장되기 때문에 중간에서 탈취한다 해도 공격자가 리버스 엔지니어링으로 분석할 수 없게 했다.

그럼에도 불구하고 생체정보 유출이라는 최악의 상황을 걱정하지 않을 수 없다. 아무리 안전한 보안 기술이라고 해도, 운영하는 과정에서 보안홀이 발생할 수 밖에 없기 때문이다. 이러한 점을 보완하기 위해 생체의 행위를 분석하는 기술이 부상하고 있다. 사인이나 패턴, 발성법 등을 분석해 본인을 확인하는 방법이다.

KTB솔루션은 사용자의 사인을 분석하는 ‘스마트사인’으로 생체행위인증을 제공한다. 스마트사인은 단순히 사인 이미지를 비교하는 것이 아니라 사인하는 방법, 사인에 걸리는 시간, 펜의 압력 등을 종합적으로 분석해 사용자 본인이 직접 수행한 사인이 맞는지 확인한다.

생체인식은 납치를 당했다거나 협박을 받거나 하는 상황에서 강압적으로도 인증이 가능하지만 생체행위정보는 행위를 다르게 할 수 있기 때문에 강압에 의한 인증이 어려울 수 있다. 인증정보가 유출됐을 때 비밀번호 바꾸듯 변경할 수 있으며, 추가적인 인식 단말이 필요 없어 비용효율적으로 구축할 수 있다.

김태봉 KTB솔루션 대표이사는 “스마트폰에 본인 사인을 하는 것으로 인증이 완료되는 스마트사인은 실시간 벡터좌표 비교 방식을 통해 서명의 일치율을 정량적 수치로 환산이 가능하다. 이를 통해서 사용자가 기존에 등록한 사인과 방금 서명한 사인이 몇 퍼센트 정확도로 일치하는지 실시간으로 확인할 수 있다. 이 기술을 이용하면 적은 비용과 편리한 방법으로 본인인증기 가능하다”고 설명했다.

KTB솔루션은 IBK기업은행과 핀테크 육성 및 사업 협력에 대한 양해각서를 교환한데 이어 유럽, UAE 등 해외 핀테크 기업과 협력을 맺으면서 해외 시장 개척도 적극적으로 나서고 있다.

KTB솔루션은 스마트사인이 금융기관 본인인증과 이체확인 서비스에 적합하다고 주장하고 있으며, 공인인증서를 대체할 모바일 활용 뱅킹 인증 서비스를 제공할 수 있을 것으로 예상하고 있다.

카드복제로 인한 피해 막는 기술도 등장

스마트폰에 PIN번호 등 비밀번호를 입력하는 패턴을 분석해 본인을 인증하는 기술도 있다. 테티스에프에스와 앤서가 국내에 공급하는 ‘비해비오섹(BehavioSec)’은 비밀번호와 비밀번호 입력 패턴을 분석해 본인을 확인한다. 온라인 뱅킹, CD/ATM 기기 송출금 등에 사용할 수 있으며, 기업, 국가 정보기관, 중요 연구소 등에도 활용 가능하다.

이 기술은 PIN 패턴을 입력하는 사용자의 입력속도, 리듬, 위치, 압력, 가속도, 시퀀스 등 다양한 정보를 바탕으로 사용자의 행동패턴을 분석한다. 사용자가 어떻게 타자를 치고 스크린을 밀고 확대하는지 등을 기억하며, 스크린 터치 시 자주 가해지는 압력의 세기와 특정 문자들을 입력할 때 그 사이에 생기는 간격을 계산하고, 평소 사용자가 기기를 드는 각도, 마우스를 놓은 위치도 기록한다.

박준형 앤서 대표는 “사용자가 입력하는 비밀번호와 이를 입력하는 행위를 분석해 비밀번호를 통한 인증을 강화할 수 있다. 이 기술은 스마트폰뱅킹 뿐 아니라 ATM에도 적용할 수 있어 카드복제를 통한 피해를 예방할 수 있다”고 말했다.

생체·행위인식, 정오탐률 한계…비밀번호 강화 기술 필요

생체인식은 정확하게 그 사람을 식별할 수 있는 기술이지만, 범용적으로 사용될 만큼 인식률이 높지 않다. 가장 일반적으로 사용되는 지문인식의 경우, 지문이 닳거나 선천적으로 지문이 얇아서 인식이 제대로 안되는 비율이 꽤 높은 비율을 차지한다. 장애나 사고로 일시적 혹은 영구적으로 손가락 지문을 사용할 수 없는 상황도 있다.

안면인식, 홍채인식, 정맥인식 등 다른 생체인식은 인식률이 충분히 높지 않으며, 비용도 높은 편이어서 범용화 되기까지는 상당한 시간이 걸린다. 또한 만에 하나 생체정보가 유출됐을 경우 피해를 우려하지 않을 수 없다.

생체행위인식은 생체정보 유출에 대한 우려는 없지만, 인식률이 충분히 높지 않기 때문에 다른 인증수단과 함께 사용해야 해 간편한 인증이라는 이상을 만족시키기에는 부족한 면이 있다.

디멘터의 ‘그래픽인증’은 간편인증 분야에서 주목받고 있는 기술로, 그래픽인증은 바둑판 모양의 그래픽을 사용자가 미리 지정한 패턴으로 움직여서 인증하는 방식으로, 일회용 비밀번호를 대체할 수 있는 인증 수단으로 각광받고 있다. 사용자가 지정한 그래픽을 보여줘 가짜 사이트 여부를 확인할 수 있어 본인확인 뿐 아니라 피싱 사이트를 통한 피해를 예방할 수 있다.

숫자나 문자가 아니라 그림을 이동하는 행위로 인증을 수행하기 때문에 언어·문자의 장벽 없이 이용할 수 있다. 해외 어느나라에서도 쉽게 사용할 수 있으며, 게임처럼 쉽게 이용할 수 있어 어린이·노인도 이용하는데 어려움이 없다.

그래픽인증은 엘지유플러스의 간편결제 서비스 ‘페이나우’와 국내 주요 은행의 인터넷·스마트 뱅킹, 스마트홈네트워크 시스템 등 간편결제를 넘어 IoT까지 확장하고 있다.

김 대표는 “핀테크·간편결제를 위해 생체인식, 생체행위인식이 각광받고 있지만, 인식률이나 보안성 면에서 범용적으로 사용되기에 충분한 수준에 이르지 못하고 있다”며 “누구나 쉽게 사용할 수 있으며, 보안성이 높은 그래픽 인증은 핀테크·간편결제가 추구하는 이상에 적합하다. 나아가 IoT 환경에도 폭넓게 적용 가능해 무한한 성장 잠재력을 갖고 있다”고 강조했다.